Beantwortet: PfSense mit der Option: [TLS-Verschlüsselung und Authentifizierung] Problem

CypherOne

New Member
Moin,
ich habe PP bei mir auf Pfsense eingerichtet, soweit läuft auch alles, allerdings, wenn ich die Option [TLS-Verschlüsselung und Authentifizierung] nehme, statt [TLS-Authentifizierung], kann ich innerhalb des Tunnels keine Verbindungen aufbauen, ein blick auf die Gateway-Diagnose zeigt mir dies hier an:
unb0000enanntaok2r.png

Weiß nicht, woran das liegen könnte.

Die Verbindung zum PP-Server an sich ist erfolgreich initialisiert, zumindest sieht es so aus von außen aus:

(Beispielbild) - Ist eine andere Verbindung zu PP. Bei der, die ich oben erwähnt habe, bei der sieht das genau so aus, wenn ich auf die OpenVPN-Diagnose gucke, deswegen dieses Bild hier (Da ich die andere Verbindung bereits weggenommen habe.)
unbena000000000nnt7lka7.png


Ja, keine Ahnung woran das liegt, hoffe mir kann hier einer helfen o_O

Danke im Voraus :)
 
Solution
OpenVPN Client Konfiguration:
  • Server Host oder Alias: 85.17.28.145
(amsterdam.perfect-privacy.com)
  • Server Port: 443
  • Beschreibung: PP_Amsterdam_Client
  • Benutzername: Ihr Perfect Privacy Nutzername
  • Kennwort: Ihr Perfect Privacy Passwort (nochmals mit dem Passwort im zweiten Feld bestätigen)
Deaktivieren Sie die Option Automatische Generierung des TLS-Schlüssels und kopieren Sie den Inhalt zwischen den <tls-crypt></tls-crypt> Tags aus der *.ovpn-Datei in das Feld TLS Schlüssel.

  • TLS Key Usage Mode: TLS Encryption and Authentication
  • Gegenstellen Zertifikatsauthorität: PP_CA
  • Client Zertifikat: PP_Amsterdam_Cert
Falls PP_CA und PP_Amsterdam_Cert vorhanden...
Auch wenn PP eine TLS-Variante TLS-crypt als Konfiguration anbietet, scheint es noch nicht zu funktionieren. Ich hatte damit kein Erfolg, rsa4096 und du auch nicht. PP muss das wohl noch korrigieren. Bis dahin bleibt dir nichts anderes übrig als [TLS-Authentifizierung] wieder zu nehmen.
 
Auch wenn PP eine TLS-Variante TLS-crypt als Konfiguration anbietet, scheint es noch nicht zu funktionieren. Ich hatte damit kein Erfolg, rsa4096 und du auch nicht. PP muss das wohl noch korrigieren. Bis dahin bleibt dir nichts anderes übrig als [TLS-Authentifizierung] wieder zu nehmen.
Ah , Okay. Dachte das würde schon gehen, bzw. dachte dass ich da irgendwas eventuell in den Optionen falsch konfiguriert habe, was dann dazu führt, das es nicht richtig funktioniert.

Dann mal schauen^^

Danke für die Antwort :)
 
Last edited:
Bei mir funktioniert TLS Crypt ganz hervorragend mit Pfsense.

Die tun-mtu, tun-mtu-extra und mssfix müssen aber manuell gesetzt werden. Ich empfehle die Configdateien die PP für Linux zur Verfügung stellt genau zu analysieren und es in der PFsense Maske zu replizieren.

Wenn Ihr möchtet kann ich euch gern meine Advanced Options als PM schicken.
 
Bei mir funktioniert TLS Crypt ganz hervorragend mit Pfsense.

Die tun-mtu, tun-mtu-extra und mssfix müssen aber manuell gesetzt werden. Ich empfehle die Configdateien die PP für Linux zur Verfügung stellt genau zu analysieren und es in der PFsense Maske zu replizieren.

Wenn Ihr möchtet kann ich euch gern meine Advanced Options als PM schicken.

Hey cool, das wäre echt toll, wenn du das machen würdest. :D

Hab mich schon gewundert, da ich hier glaub sogar irgendwo im Forum gelesen habe, das jemand mit Pfsense diese Option verwendet und dann.. geht das bei uns ausgerechnet nicht o_O

Aber aufjedenfall wissen wir jetzt schon mal, dass es definitiv funktioniert.
 
Bei mir funktioniert TLS Crypt ganz hervorragend mit Pfsense.

Die tun-mtu, tun-mtu-extra und mssfix müssen aber manuell gesetzt werden. Ich empfehle die Configdateien die PP für Linux zur Verfügung stellt genau zu analysieren und es in der PFsense Maske zu replizieren.

Wenn Ihr möchtet kann ich euch gern meine Advanced Options als PM schicken.
Please do, I would be very grateful, I have struggled with pfSense for a long time.?
 
OpenVPN Client Konfiguration:
  • Server Host oder Alias: 85.17.28.145
(amsterdam.perfect-privacy.com)
  • Server Port: 443
  • Beschreibung: PP_Amsterdam_Client
  • Benutzername: Ihr Perfect Privacy Nutzername
  • Kennwort: Ihr Perfect Privacy Passwort (nochmals mit dem Passwort im zweiten Feld bestätigen)
Deaktivieren Sie die Option Automatische Generierung des TLS-Schlüssels und kopieren Sie den Inhalt zwischen den <tls-crypt></tls-crypt> Tags aus der *.ovpn-Datei in das Feld TLS Schlüssel.

  • TLS Key Usage Mode: TLS Encryption and Authentication
  • Gegenstellen Zertifikatsauthorität: PP_CA
  • Client Zertifikat: PP_Amsterdam_Cert
Falls PP_CA und PP_Amsterdam_Cert vorhanden sind, dann von Amsterdam.conf PP_CA und PP_Amsterdam_Cert neu anlegen.

Tipp: Abhängig von der CPU-Leistung Ihres Routers möchten Sie eventuell die schwächere Verschlüsselung AES-128-CBC benutzen, um mehr Geschwindigkeit beziehungsweise Bandbreite zu erreichen. Wählen Sie dazu bei der Option Verschlüsselungsalgorithmus die Auswahl AES-128-CBC.
  • NCP aktivieren: Haken entfernen
  • Auth Hashwert Algorithmus: SHA512
  • Kompression: Omit Preference + Disable Adaptive LZO Compression [legacy style, comp-noadapt]
  • Topology: Subnet - One IP address per client in a common subnet
Custom options:
hand-window 120
mute-replay-warnings
persist-remote-ip
reneg-sec 3600
resolv-retry 60
tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256:TLS-DHE-RSA-WITH-CAMELLIA-256-CBC-SHA:TLS-DHE-RSA-WITH-AES-256-CBC-SHA:TLS-RSA-WITH-CAMELLIA-256-CBC-SHA:TLS-RSA-WITH-AES-256-CBC-SHA
tls-timeout 5
tun-mtu 1500
tun-mtu-extra 32
mssfix 1450
remote-cert-tls server

  • Gateway creation:"IPv4 only" auswählen
  • Ausführlichkeitsstufe: 4
 
Solution
Vielen lieben Dank! Ich kann die Config erst später nutzten.

Ich glaube mein Xeon 1225 v3 mit 32GB RAM müssten 256 GCM gut hinbekommen oder?
Also Zürich ohne TLS Crypt läuft recht schnell.
 
Der Xeon 1225 v3 Prozessor ist ohnehin schon ziemlich schnell. Für mich würde es da keine Rolle spielen, ob GCM oder CBC.

Auf YouTube behandelt Lawrence das Thema Verschlüsselung mit pfSense CBC vs GCM und da ist GCM mit aktivierten AES-NI etwas schneller.

Wenn Perfect Privacy schon die Configs mit 128 GCM anbietet, dann sollte man sie auch auf pfSense Router mit AES-NI Unterstützung nutzen.
 
Back
Top