Anleitung: OpenVPN auf pfSense

randypan

New Member
Falls sich noch jemand mit OpenVPN von pfSense zu PP schwer tut: Zumindest für die aktuelle pfSense 2.4.5 stimmt die Anleitung nicht mehr so ganz. Hier muss stattdessen in pfSense unter OpenVPN -> Clients -> Edit -> Tunnel Settings als Kompressionsalgorithmus eingestellt werden: Omit Preference + Disable Adaptive LZO Compression [legacy style, comp-noadapt].

Ansonsten sieht man im tcpdump zwar Pakete von der pfSense ins VPN ausgehen, die zugehörigen Antworten jedoch nicht. Diese erzeugen stattdessen wegen der unterschiedlichen Kompression auf beiden Seiten in /var/log/openvpn.log solche Fehlermeldungen:
Bad LZO decompression header byte: 42
Außerdem kann auf der selben Einstellungs-Seite der pfSense als Topology einfach Subnet ausgewählt werden. Die Vorgabe net30 aus der Anleitung ist offenbar nicht mehr aktuell und wird sowieso von der pfSense einfach ignoriert.

Beste Grüße
Tim
 

Wall-E

Junior Member
Hallo liebes Forum!
Nach einigen Jahren mit altem Rechner für pfsense und einer 30 bzw. 100Mbit Kabelverbindung, habe ich mit Einrichtung einer 1 Gbit Kabelverbindung nun auch meine Hardware erneuert (i7-5550U CPU @ 2.00GHz, vier CPUs; s. Bild). Es kommen auch tatsächlich die technisch möglichen ca. 950Mbit down bzw. die bereitgestellten 50Mbit up an. Nachdem ich die 100Mbit "Fesseln" gesprengt habe, hatte ich fröhlich die Performance am Windows-PC mit den Windows-eigenen-VPN-Bordmitteln getestet; z.B. Frankfurt kam da auf knapp 300Mbit down, 50Mbit up Sehr gut! Habe dann nach der offiziellen Anleitung PP eingerichtet. Wie im obigen Post, scheint diese Anleitung ja nicht mehr so ganz gültig zu sein, so oder so: Die Verbindung steht!
Allerdings pendelt sich die Geschwindigkeit bei ca. 70Mbit down/ca. 40Mbit up ein. Die Auslastung des Systems weicht dabei quasi kaum vom "Ruhezustand" ab. Anders ausgedrückt: Bei 4,5 Megabyte / Sekunde liegt die Auslastung der CPU/des Speichers bei 0-4 Prozent......

Kennt jemand von euch möglicherweise Stelllschrauben, mit denen man da etwas im Positiven beeinflussen kann?
Liegt es an der veralteten Anleitung?
Oder geht vllt gar nicht mehr? *grübel*
Vielen Dank für eure Hinweise!
Wall-E


1597579468693.png
 

Gerd

Junior Member
Oder geht vllt gar nicht mehr? *grübel*
Die Anleitung ist garnicht so alt. PP könnte eine neue Anleitung rausbringen. Einige Wochen/ Monate später würde dann die 2.5 kommen. Ob die Arbeit für die Version 2.4.X das wert ist, kann ich nicht beurteilen.

Kennt jemand von euch möglicherweise Stelllschrauben, mit denen man da etwas im Positiven beeinflussen kann?
Ja.

Hier einige Änderungen für deine OpenVPN Client 2.5 Entwicklerversion @Wall-E:

Key1.JPG

(Nur für CPUs mit AES-NI)
Bei Hardwarecryptographie etwas auswählen, was vorhanden ist.
Falls nichts vorhanden ist, dann zu "System/Advanced/Miscellaneous" wechseln, und unter "Cryptographic Hardware" was anderes auswählen. Dann das gleiche Spiel noch einmal und im OpenVPN Client unter Hardwarecryptographie etwas auswählen, was vorhanden ist.

AES-128-GCM auswählen.
  • NCP aktivieren: Haken entfernen
  • Auth Hashwert Algorithmus: SHA512
  • Kompression: Omit Preference + Disable Adaptive LZO Compression [legacy style, comp-noadapt]
  • Topology: Subnet - One IP address per client in a common subnet
pfSense.jpg

Bei einer gewöhnlichen UDP Konfiguration von der PP Anleitung:

Code:
tun-mtu 1500
fragment 1300
mssfix
hand-window 120
mute-replay-warnings
ns-cert-type server
persist-remote-ip
redirect-gateway def1
reneg-sec 3600
resolv-retry 60
tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256:TLS-DHE-RSA-WITH-CAMELLIA-256-CBC-SHA:TLS-DHE-RSA-WITH-AES-256-CBC-SHA:TLS-RSA-WITH-CAMELLIA-256-CBC-SHA:TLS-RSA-WITH-AES-256-CBC-SHA
 

enterprise973

New Member
Last edited:

rkayswissalpha

New Member
Ich hab 2 Sense' im DataCenter am laufen, mit vergleichbaren Basisweten- nur sind meine halt komplett virtuell auf einem einem VMWare Esxi 6.7 Hypervisor und die haben jeweils nur 1 vCPU zugewiesen. Auf den Throughput am meisten Einfluss hat, neben der Bandbreite und der Latenz zwischen den Endpunkten (und dem Protokoll), nicht mal die Hardware (sofern du nicht mittlere - grosse Netzwerke connectest - und du machst ja die Verbindung nicht von der Sense aus, sondern mit Windows - d.H. die Rechenlast liegt hier auf der Windows-Büchse. Stellt sich jetzt die Frage: Die Maschine die als VPN Endpoint/Client genutzt wird, hat diese HW-Support für Cryptography? (AES-NI etc.)? Welchen VPN-Typ verwendest du, welche Settings? Was ist dein ISP? (Stichwort: Peerings/Routen zum Ziel, die teilweise mögliche Superresultate ins Bescheidene verschieben). Auch kann man natürlich - wenns dann um die letzten Prozente geht, auf dem Interface selbst noch einiges anpassen, aber das ist eher was für cracks die Ahnung von haben (ich habs nicht, bin aber auch eher Dev als Sys). ,

Idealerweise testest du mal von der Sense aus ein eine OVpn-UDP-Verbindung zu den deutschen Servern von PP. Ich mach demnächst mal paar Tests von meiner zu PP (1Gbit/s symmetrisch,Standort Nürnberg, dann können wir mal vergleichen.).
 
Top