Beantwortet: PfSense mit der Option: [TLS-Verschlüsselung und Authentifizierung] Problem

[CypherOne]

Moin,
ich habe PP bei mir auf Pfsense eingerichtet, soweit läuft auch alles, allerdings, wenn ich die Option [TLS-Verschlüsselung und Authentifizierung] nehme, statt [TLS-Authentifizierung], kann ich innerhalb des Tunnels keine Verbindungen aufbauen, ein blick auf die Gateway-Diagnose zeigt mir dies hier an:

Weiß nicht, woran das liegen könnte.

Die Verbindung zum PP-Server an sich ist erfolgreich initialisiert, zumindest sieht es so aus von außen aus:

(Beispielbild) - Ist eine andere Verbindung zu PP. Bei der, die ich oben erwähnt habe, bei der sieht das genau so aus, wenn ich auf die OpenVPN-Diagnose gucke, deswegen dieses Bild hier (Da ich die andere Verbindung bereits weggenommen habe.)

Ja, keine Ahnung woran das liegt, hoffe mir kann hier einer helfen

Danke im Voraus

 

[Gerd]

Auch wenn PP eine TLS-Variante TLS-crypt als Konfiguration anbietet, scheint es noch nicht zu funktionieren. Ich hatte damit kein Erfolg, rsa4096 und du auch nicht. PP muss das wohl noch korrigieren. Bis dahin bleibt dir nichts anderes übrig als [TLS-Authentifizierung] wieder zu nehmen.

 

[CypherOne]

Auch wenn PP eine TLS-Variante TLS-crypt als Konfiguration anbietet, scheint es noch nicht zu funktionieren. Ich hatte damit kein Erfolg, rsa4096 und du auch nicht. PP muss das wohl noch korrigieren. Bis dahin bleibt dir nichts anderes übrig als [TLS-Authentifizierung] wieder zu nehmen.

Ah , Okay. Dachte das würde schon gehen, bzw. dachte dass ich da irgendwas eventuell in den Optionen falsch konfiguriert habe, was dann dazu führt, das es nicht richtig funktioniert.

Dann mal schauen^^

Danke für die Antwort

 

[pearf1337]

Bei mir funktioniert TLS Crypt ganz hervorragend mit Pfsense.

Die tun-mtu, tun-mtu-extra und mssfix müssen aber manuell gesetzt werden. Ich empfehle die Configdateien die PP für Linux zur Verfügung stellt genau zu analysieren und es in der PFsense Maske zu replizieren.

Wenn Ihr möchtet kann ich euch gern meine Advanced Options als PM schicken.

 

[CypherOne]

Bei mir funktioniert TLS Crypt ganz hervorragend mit Pfsense.

Die tun-mtu, tun-mtu-extra und mssfix müssen aber manuell gesetzt werden. Ich empfehle die Configdateien die PP für Linux zur Verfügung stellt genau zu analysieren und es in der PFsense Maske zu replizieren.

Wenn Ihr möchtet kann ich euch gern meine Advanced Options als PM schicken.

Hey cool, das wäre echt toll, wenn du das machen würdest.

Hab mich schon gewundert, da ich hier glaub sogar irgendwo im Forum gelesen habe, das jemand mit Pfsense diese Option verwendet und dann.. geht das bei uns ausgerechnet nicht

Aber aufjedenfall wissen wir jetzt schon mal, dass es definitiv funktioniert.

 

[saraband]

Bei mir funktioniert TLS Crypt ganz hervorragend mit Pfsense.

Die tun-mtu, tun-mtu-extra und mssfix müssen aber manuell gesetzt werden. Ich empfehle die Configdateien die PP für Linux zur Verfügung stellt genau zu analysieren und es in der PFsense Maske zu replizieren.

Wenn Ihr möchtet kann ich euch gern meine Advanced Options als PM schicken.

Please do, I would be very grateful, I have struggled with pfSense for a long time.?

 

[warcolour]

Würde auch das auch gerne hinbekommen. Irgendwie möchte das nicht so recht mit TLS crypt. Wäre echt nett wenn ich die Config erhalten könnte.

 

[Gerd]

OpenVPN Client Konfiguration:

• Server Host oder Alias: 85.17.28.145

(amsterdam.perfect-privacy.com)

• Server Port: 443
• Beschreibung: PP_Amsterdam_Client
• Benutzername: Ihr Perfect Privacy Nutzername
• Kennwort: Ihr Perfect Privacy Passwort (nochmals mit dem Passwort im zweiten Feld bestätigen)

Deaktivieren Sie die Option Automatische Generierung des TLS-Schlüssels und kopieren Sie den Inhalt zwischen den <tls-crypt></tls-crypt> Tags aus der *.ovpn-Datei in das Feld TLS Schlüssel.

• TLS Key Usage Mode: TLS Encryption and Authentication
• Gegenstellen Zertifikatsauthorität: PP_CA
• Client Zertifikat: PP_Amsterdam_Cert

Falls PP_CA und PP_Amsterdam_Cert vorhanden sind, dann von Amsterdam.conf PP_CA und PP_Amsterdam_Cert neu anlegen.

Tipp: Abhängig von der CPU-Leistung Ihres Routers möchten Sie eventuell die schwächere Verschlüsselung AES-128-CBC benutzen, um mehr Geschwindigkeit beziehungsweise Bandbreite zu erreichen. Wählen Sie dazu bei der Option Verschlüsselungsalgorithmus die Auswahl AES-128-CBC.

• NCP aktivieren: Haken entfernen
• Auth Hashwert Algorithmus: SHA512
• Kompression: Omit Preference + Disable Adaptive LZO Compression [legacy style, comp-noadapt]
• Topology: Subnet - One IP address per client in a common subnet

Custom options:

hand-window 120 mute-replay-warnings persist-remote-ip reneg-sec 3600 resolv-retry 60 tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256:TLS-DHE-RSA-WITH-CAMELLIA-256-CBC-SHA:TLS-DHE-RSA-WITH-AES-256-CBC-SHA:TLS-RSA-WITH-CAMELLIA-256-CBC-SHA:TLS-RSA-WITH-AES-256-CBC-SHA tls-timeout 5 tun-mtu 1500 tun-mtu-extra 32 mssfix 1450 remote-cert-tls server

• Gateway creation:"IPv4 only" auswählen
• Ausführlichkeitsstufe: 4

 

[warcolour]

Vielen lieben Dank! Ich kann die Config erst später nutzten.

Ich glaube mein Xeon 1225 v3 mit 32GB RAM müssten 256 GCM gut hinbekommen oder?
Also Zürich ohne TLS Crypt läuft recht schnell.

 

[Kurio38J]

Der Prozessor sollte dafür locker aussreichen ja. Andernfalls kannst du es ja mit 128 ausprobieren.

 

[Gerd]

Der Xeon 1225 v3 Prozessor ist ohnehin schon ziemlich schnell. Für mich würde es da keine Rolle spielen, ob GCM oder CBC.

Auf YouTube behandelt Lawrence das Thema Verschlüsselung mit pfSense CBC vs GCM und da ist GCM mit aktivierten AES-NI etwas schneller.

Wenn Perfect Privacy schon die Configs mit 128 GCM anbietet, dann sollte man sie auch auf pfSense Router mit AES-NI Unterstützung nutzen.