VPN Performance bei S2S
-
@viragomann
Hi
danke für deine Rückmeldung !Mit IPSec kenne ich mich leider überhaupt nicht aus - weißt du zufälligerweise eine gute Anleitung für PFSENSE und IPSEC für eine S2S ?
Grüße
-
@gtrdriver
Nein. Doch so schwierig ist es nicht. Ich hatte auch mit nichts gestartet.Ich kann aber gerne meine Einstellungen teilen:
Eine kleiner Herausforderung für Neulinge sind vielleicht die Peer Identifier. Die müssen passen, damit eine Verbindung zustande kommt.
"My identifier" übermittelt die Instanz an die Remoteseite zur Identifikation. Im einfachen Fall ist das die Public WAN IP oder der FQDN.
Und bei "Peer identifier" ist das einzugeben, was die Remoteseite als ihren übermittelt. -
Wichtig die richtige MSS setzen, die beste für IPsec ist 1328, da hier immer ganze Blöcke übertragen werden können und das Padding gegen 0 geht.
Fahre hier auch mit IPsec zu mehreren Standorten und da geht das durch was die Leitung kann, wenn das kein SMB ist was bei hohen Latenzen halt total nutzlos wird.
Sprich, es muss schon was WAN optimiertes sein.Fahre leicht andere Einstellungen und DH 21 aber auf den + Kisten.
-
Ahja, ohne MSS Clamping waren es bei mir auch nur wenige Mbit/s.
Ich habe durch Herantasten einen maximalen MSS Wert von 1398 für meine Verbindung ermittelt. Ich wollte es eben wissen.
Für deine Verbindung könnte das aber auch schon zu hoch sein, daher also eher mit einem niedrigeren Wert beginnen. -
@gtrdriver auch nicht ganz unkritisch, ist da PPPoE im Spiel?
-
Hat nix mit rantasten zu tun sondern Mathematik:
https://packetpushers.net/blog/ipsec-bandwidth-overhead-using-aes -
@NOCling
Setzt aber voraus, dass man die Formel kennt. -
@slu hi ja pppoe ist im Spiel !
-
Hallo SLU - wie beschrieben - PPPoE ist im Spiel - aber das macht nicht die Pfsense Box sondern ein vorgeschalteter Router
Was gibt es in diesem Bezug zu beachten ?
-
@gtrdriver said in VPN Performance bei S2S:
PPPoE ist im Spiel - aber das macht nicht die Pfsense Box sondern ein vorgeschalteter Router
Dann kann die Kombination PPPoE auf der pfSense kein Problem sein. Der Router davor bringt die Leistung?
-
@slu
Hallo SLU - ja der vorgeschaltete Router bringt die Leistung (gemietet vom Anbieter) - aber ja die Tests bestätigen dass dieser nicht der Flaschenhals ist. -
Das kannst du nicht vergleichen da hier Protokolle im Einsatz sind die die MTU/MSS selbständig aushandeln.
Das musst du bei VPN halt selber sauber umsetzten und die MSS von 1328 ist die die immer funktioniert, weil selbst PPPoE und DS-Lite groß genug ist das die Pakete sauber durch laufen ohne Fragmentierung.