Internet (Wilhelm.Tel) -> Fritzbox -> pfSense (APU2C4) -> Fritzbox

magicteddy

Sorry, muss ich morgen mal reinschauen. muss jetzt los.
Hierfür brauchst Du aber keinen exposed Host weil die Verbindung ja von Dir ausgeht!!

-teddy

tele_01

Die FB wählt sich nach wie vor ein...nicht das APU2C4 Board.

viragomann

@tele_01 said in Internet (Wilhelm.Tel) -> Fritzbox -> pfSense (APU2C4) -> Fritzbox:

Z.B wenn ich das Interface IPv4 Configuration auf DHCP stellen soll gibt es dafür hier keine Einstellung mehr.

Hallo,

ich denke nicht, dass da in der Anleitung was von auf DHCP stellen steht.
Das Interface nur aktivieren und, wenn gewünscht, einen hübschen Namen eintragen und speichern.

Die IP-Konfiguration dafür macht OpenVPN.

Grüße

tele_01

"IPv4 Configuration Type: DHCP" -> Das geht in dem Interface (Reiter) nicht mehr. Egal. Ich bekam es zum laufen. Trotz AES-NI Beschleunigung nur bei 70MBIT, Suche geht weiter.

Gladius

@tele_01 said in Internet (Wilhelm.Tel) -> Fritzbox -> pfSense (APU2C4) -> Fritzbox:

Trotz AES-NI Beschleunigung nur bei 70MBIT

Mit welchen OpenVPN-Parametern wird der Tunnel von pfSense zu NordVPN aufgebaut? Ist die Verbindung mit
AES‑256‑CBC noch aktuell? Die Verschlüsselung mit AES‑256‑GCM könnte etwas mehr Durchsatz bringen.

Allerdings gibt es in Bezug auf OpenVPN Durchsatz bessere Hardware als eine APU2. Das Teil ist zwar
preiswert aber nicht mehr auf der Höhe der Zeit an schnellen Internetanschlüssen.

LG

tele_01

Hallo Gladius,

1. UDP
2. Encryption Algorithm AES 256-CBC
3. NCP Algorithmus AES-256-GCM und CBC
4. Auth digest algorithm SHA512
5. Hardware Crypto No Hardware (keine andere Auswahl übrig)
6. Compression Adaptive LZO

Advanced Conf:
7. Custom Options:
tls-client;
remote-random;
tun-mtu 1500;
tun-mtu-extra 32;
mssfix 1450;
persist-key;
persist-tun;
reneg-sec 0;
remote-cert-tls server;

8. Send/Receive Buffer Default
9. Gateway creation Both

Gladius

@tele_01

Kann es sein, daß sich Client und Server bei der Aushandlung der Verschlüsselung auf AES-256-GCM einigen?
Das OpenVPN Protokoll verschafft Klarheit, falls der Client "Verbosity level > 3" gesetzt hat.
Wenn ja, ist das Ende der Fahnenstange bzgl. Durchsatz wohl erreicht.

LG

tele_01

Hallo.

Ja das kann sein. Ich testete Verbosity level 2 und lande bei ca. 74Mbit/sec. Laut: https://teklager.se/en/knowledge-base/aputlsense-boards-spec-comparison/ sollten aber 100Mbit/sec drin sein, ohne VPN komme ich auf ca. ca. 102Mbit/sec. Bei meiner aktuellen Konfig komme ich nicht mal auf 40% Prozessorlast. Die AES-NI Einstellung bringt keine Änderung. Ich vermute da ist noch mehr drin. Es kommt mir auch so vor, als das man bei NordVPN nicht viel an der Höhe der Verschlüsselung drehen kann, eine 128er würde mir sicher reichen aber die Option gibt das nicht her, zumindest kommt keine Verbindung zu stande. Sollte ich mal opnSense statt pfSense probieren?

magicteddy

Hast Du unter: System --> Advanced --> Miscellaneous --> Power Savings -->

PowerD aktiv gesetzt und Hiadaptive ausgewählt?

-teddy

Gladius

@tele_01 said in Internet (Wilhelm.Tel) -> Fritzbox -> pfSense (APU2C4) -> Fritzbox:

Sollte ich mal opnSense statt pfSense probieren?

Wenn es dir Spaß macht. Es wird aber nicht helfen.

@tele_01 said in Internet (Wilhelm.Tel) -> Fritzbox -> pfSense (APU2C4) -> Fritzbox:

Bei meiner aktuellen Konfig komme ich nicht mal auf 40% Prozessorlast.

Diagnostics -> Command Prompt -> top

zeigt dir die Auslastung der Kerne. Du wirst erstaunt sein.

LG

tele_01

Hallo teddy & gladius.

Danke für eure Inputs.

Hiadaptive probierte ich, bringt aber weniger Bandbreite als Adaptive. Über SSH ließ ich auch Top laufen - bei 72Mbit/sec hatte ich ca. 73% Last, zugegeben ein anderer Wert als in der Web-Gui.

Ich werde damit erst einmal leben, ist ja jammern auf hohem Niveau. Ich las auch das pfSense 2.3 eine deutlich effektivere AES-NI Hardware-Unterstützung hatte für OpenVPN. Kommt Zeit kommt Rat.

Es stellt sich aber eine weitere Frage. Ich war bisher immer sehr zufrieden mit meinem PiHole als AddBlocker auf einem RPi. Da die pfSense den DNS von NordVPN nutzt, kann ich PiHole in der Form nicht mehr nutzen.

Kann mir jemand verraten wie ich meinen lokalen DNS und dem effektiven AddBlocker weiter nutzen kann ohne auf VPN zu verzichten? Die pfSense läuft auf 192.168.180.1 mit DHCP von .10 aufwärts.

Gladius

@tele_01 said in Internet (Wilhelm.Tel) -> Fritzbox -> pfSense (APU2C4) -> Fritzbox:

Ich las auch das pfSense 2.3 eine deutlich effektivere AES-NI Hardware-Unterstützung hatte für OpenVPN.

Diese Behauptung beruht auf welchen Fakten? Ich bin auf die Antworten gespannt.

LG

tele_01

Guten Morgen. Reichen dir Messergebnisse unter sonst gleicher Hardwareumgebung?

MfG

Gladius

@tele_01 said in Internet (Wilhelm.Tel) -> Fritzbox -> pfSense (APU2C4) -> Fritzbox:

Reichen dir Messergebnisse unter sonst gleicher Hardwareumgebung?

Messen ist sicher gut wenn man alle die OpenVPN Leistung beinflussenden Faktoren unter Kontrolle hat.
Ich habe seinerzeit auch gemessen und die Randbedingungen bei der Durchführung der Tests genannt.

LG