Anleitung: OpenVPN auf pfSense

randypan

New Member
Falls sich noch jemand mit OpenVPN von pfSense zu PP schwer tut: Zumindest für die aktuelle pfSense 2.4.5 stimmt die Anleitung nicht mehr so ganz. Hier muss stattdessen in pfSense unter OpenVPN -> Clients -> Edit -> Tunnel Settings als Kompressionsalgorithmus eingestellt werden: Omit Preference + Disable Adaptive LZO Compression [legacy style, comp-noadapt].

Ansonsten sieht man im tcpdump zwar Pakete von der pfSense ins VPN ausgehen, die zugehörigen Antworten jedoch nicht. Diese erzeugen stattdessen wegen der unterschiedlichen Kompression auf beiden Seiten in /var/log/openvpn.log solche Fehlermeldungen:
Bad LZO decompression header byte: 42

Außerdem kann auf der selben Einstellungs-Seite der pfSense als Topology einfach Subnet ausgewählt werden. Die Vorgabe net30 aus der Anleitung ist offenbar nicht mehr aktuell und wird sowieso von der pfSense einfach ignoriert.

Beste Grüße
Tim
 

Wall-E

Member
Hallo liebes Forum!
Nach einigen Jahren mit altem Rechner für pfsense und einer 30 bzw. 100Mbit Kabelverbindung, habe ich mit Einrichtung einer 1 Gbit Kabelverbindung nun auch meine Hardware erneuert (i7-5550U CPU @ 2.00GHz, vier CPUs; s. Bild). Es kommen auch tatsächlich die technisch möglichen ca. 950Mbit down bzw. die bereitgestellten 50Mbit up an. Nachdem ich die 100Mbit "Fesseln" gesprengt habe, hatte ich fröhlich die Performance am Windows-PC mit den Windows-eigenen-VPN-Bordmitteln getestet; z.B. Frankfurt kam da auf knapp 300Mbit down, 50Mbit up Sehr gut! Habe dann nach der offiziellen Anleitung PP eingerichtet. Wie im obigen Post, scheint diese Anleitung ja nicht mehr so ganz gültig zu sein, so oder so: Die Verbindung steht!
Allerdings pendelt sich die Geschwindigkeit bei ca. 70Mbit down/ca. 40Mbit up ein. Die Auslastung des Systems weicht dabei quasi kaum vom "Ruhezustand" ab. Anders ausgedrückt: Bei 4,5 Megabyte / Sekunde liegt die Auslastung der CPU/des Speichers bei 0-4 Prozent......

Kennt jemand von euch möglicherweise Stelllschrauben, mit denen man da etwas im Positiven beeinflussen kann?
Liegt es an der veralteten Anleitung?
Oder geht vllt gar nicht mehr? *grübel*
Vielen Dank für eure Hinweise!
Wall-E


1597579468693.png
 

Gerd

Active Member
Oder geht vllt gar nicht mehr? *grübel*

Die Anleitung ist garnicht so alt. PP könnte eine neue Anleitung rausbringen. Einige Wochen/ Monate später würde dann die 2.5 kommen. Ob die Arbeit für die Version 2.4.X das wert ist, kann ich nicht beurteilen.

Kennt jemand von euch möglicherweise Stelllschrauben, mit denen man da etwas im Positiven beeinflussen kann?

Ja.

Hier einige Änderungen für deine OpenVPN Client 2.5 Entwicklerversion @Wall-E:

Key1.JPG

(Nur für CPUs mit AES-NI)
Bei Hardwarecryptographie etwas auswählen, was vorhanden ist.
Falls nichts vorhanden ist, dann zu "System/Advanced/Miscellaneous" wechseln, und unter "Cryptographic Hardware" was anderes auswählen. Dann das gleiche Spiel noch einmal und im OpenVPN Client unter Hardwarecryptographie etwas auswählen, was vorhanden ist.

AES-128-GCM auswählen.
  • NCP aktivieren: Haken entfernen
  • Auth Hashwert Algorithmus: SHA512
  • Kompression: Omit Preference + Disable Adaptive LZO Compression [legacy style, comp-noadapt]
  • Topology: Subnet - One IP address per client in a common subnet
pfSense.jpg

Bei einer gewöhnlichen UDP Konfiguration von der PP Anleitung:

Code:
tun-mtu 1500
fragment 1300
mssfix
hand-window 120
mute-replay-warnings
ns-cert-type server
persist-remote-ip
redirect-gateway def1
reneg-sec 3600
resolv-retry 60
tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256:TLS-DHE-RSA-WITH-CAMELLIA-256-CBC-SHA:TLS-DHE-RSA-WITH-AES-256-CBC-SHA:TLS-RSA-WITH-CAMELLIA-256-CBC-SHA:TLS-RSA-WITH-AES-256-CBC-SHA
 

enterprise973

Freshly Joined Member
Last edited:

rkayswissalpha

Freshly Joined Member
Ich hab 2 Sense' im DataCenter am laufen, mit vergleichbaren Basisweten- nur sind meine halt komplett virtuell auf einem einem VMWare Esxi 6.7 Hypervisor und die haben jeweils nur 1 vCPU zugewiesen. Auf den Throughput am meisten Einfluss hat, neben der Bandbreite und der Latenz zwischen den Endpunkten (und dem Protokoll), nicht mal die Hardware (sofern du nicht mittlere - grosse Netzwerke connectest - und du machst ja die Verbindung nicht von der Sense aus, sondern mit Windows - d.H. die Rechenlast liegt hier auf der Windows-Büchse. Stellt sich jetzt die Frage: Die Maschine die als VPN Endpoint/Client genutzt wird, hat diese HW-Support für Cryptography? (AES-NI etc.)? Welchen VPN-Typ verwendest du, welche Settings? Was ist dein ISP? (Stichwort: Peerings/Routen zum Ziel, die teilweise mögliche Superresultate ins Bescheidene verschieben). Auch kann man natürlich - wenns dann um die letzten Prozente geht, auf dem Interface selbst noch einiges anpassen, aber das ist eher was für cracks die Ahnung von haben (ich habs nicht, bin aber auch eher Dev als Sys). ,

Idealerweise testest du mal von der Sense aus ein eine OVpn-UDP-Verbindung zu den deutschen Servern von PP. Ich mach demnächst mal paar Tests von meiner zu PP (1Gbit/s symmetrisch,Standort Nürnberg, dann können wir mal vergleichen.).
 

Mugga6315

Freshly Joined Member
Hallo Leute,
ich habe leider massive Probleme mit meinem OpenVPN Setup in pfSense. Ich glaube das gibt es mehrere Probleme, einmal bricht die Verbindung wohl immer wieder ab. Zweitens habe ich sobald der VPN Tunnel aufgebaut ist, über die LAN Clients keinerlei Internetverbindung mehr.

Wäre super wenn mir jemand helfen könnte. Ein Logfile habe ich in den Anhang gepackt.
 

Attachments

  • pfsense_log.txt
    26.8 KB · Views: 2

Gerd

Active Member
Code:
FRAG TTL expired

Packet Loss? Werden Pakete im Netzwerk verworfen? Könnte auch an deinem ISP liegen.

Hier ist ein Post vom FeuerPhoenix. Mag sein, dass es dir weiter hilft.
 

Mugga6315

Freshly Joined Member
Das scheint leider insgesamt Probleme laut Support mit meiner Leitung zu geben. Da ich immer wieder kleine Aussetzer bei Online-Games habe oder bei VPN Verbindung in die Firma. Bekomme im VPN-Manager auf Windows auch immer mal schön "PID_ERR replay-window backtrack occurred". Habe halt schon alles versucht IPSec, StealthVPN, andere Server, etc. Alles ohne Erfolg, auf TCP umzustellen hilft, aber die Geschwindigkeitseinbuße sind zu groß. Mit meine ISP hatte ich auch schon Kontakt und wurde von Dual-Stack Lite auf Dual-Stack umgestellt, leider gleiches Problem.

Das ist auch der Grund warum ich das pfSense Konstrukt mal testen wollte, um meinen PC aus der Gleichung rauszunehmen.
 

chrysen

Junior Member
Moin Moin,

mal ne Frage weiß jemand wie man mehrere Openvpn Tunnel in Kaskade schalten kann in Pfsense.

Habe zuerst die normale Anleitung durchgeführt sowie testweise alles in den PP Einstellung deaktiviert (zufällige IP...)

Hab mich dann an die Kaskaden Einstellung des anderen Pfsense Tutorial gerichtet




Habe 3 openvpn Clients eingestellt.

Dann hab ich am ersten Hop bei IPv4 Remote network(s) die IP vom zweiten PP Server eingetragen
Aus den Custom options den Bereich redirect-gateway def1 gelöscht.
Und Don't pull routes aktiviert.

Genauso hab ich den zweiten Hop eingestellt mit der IP vom dritten PP Server bei IPv4 Remote network(s)

Den dritten Hop hab ich so gelassen.

Habe dann in den DNS Einstellung und Firewall Rules + NAT den dritten Hop eingestellt.

Allerdings wird der Traffic nur durch den dritten Hop geleitet und nicht erst durch die anderen beiden.

Vielleicht hat ja wer eine Idee.

Liebe Grüße
Chrysen
 

Gerd

Active Member
Allerdings wird der Traffic nur durch den dritten Hop geleitet und nicht erst durch die anderen beiden.
Die Kaskaden Anleitung hatte ich von einem aus pfSense Forum. Deshalb kann ich dazu nicht viel sagen.

Man könnte versuchen unter DNS-Resolver und unter NAT alle 3 VPN-Server anzugeben.

Auch wenn es danach funktionieren würde, wäre die Kaskade nicht ausgereift. Falls ein VPN Server ausfallen würde, würde die Reihenfolge der VPN Server nicht mehr stimmen und ich weiß nicht, ob die Kaskade dann noch funktionsfähig wäre. Ebenso könnte man vorsichtshalber ein KillSwitch hinzufügen, der dafür sorgt, das der Traffic über die Server 1,2 und 3 geht.

Ich habe gestern im pfSense Forum ein Thread aufgemacht und das Problem geschildert. Nächster Schritt wäre soviele pfSense-User zu erreichen, wie möglich und versuchen die zu bewegen mitzumachen.
 

chrysen

Junior Member
Ich habe gestern im pfSense Forum ein Thread aufgemacht und das Problem geschildert. Nächster Schritt wäre soviele pfSense-User zu erreichen, wie möglich und versuchen die zu bewegen mitzumachen.
Habe mal die NAT und DNS Einstellung angepasst ohne Erfolg.
Wie man so einen Killswitch baut weiß ich nicht.
Und genau sowas wie in deinem Thread meine ich. das wär nice. :)
Hoffentlich kommt da oder vielleicht hier ne Antwort mit der man arbeiten kann.
 
Top