Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Site to Site VPN zwischen pfSense und Fritzbox - Tunnel steht aber keine Daten gehen durch

    Scheduled Pinned Locked Moved Deutsch
    18 Posts 6 Posters 2.1k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • G
      Gladius @viragomann
      last edited by

      @viragomann said in Site to Site VPN zwischen pfSense und Fritzbox - Tunnel steht aber keine Daten gehen durch:

      Die Nachteile von TCP wären eher durch eine höhere Leitungsbandbreite denn durch stärkere Hardware wettzumachen, doch darauf hat man nicht immer Einfluss.

      Diese Bemerkung bezog sich auf OpenVPN getunnelt über SSL. Okay, das wird nicht jeder einsetzen,
      funktioniert aber problemlos mit entsprechender Hardware.

      LG

      DTAG (VDSL100) / Speedport Entry2 (Modem) / Jetway NF792i-3160 / Version 2.8.0-RELEASE (amd64)

      1 Reply Last reply Reply Quote 0
      • B
        BLinz @Gladius
        last edited by

        @gladius said in Site to Site VPN zwischen pfSense und Fritzbox - Tunnel steht aber keine Daten gehen durch:

        Wie sieht es denn mit der OpenVPN Leistung einer APU2C4 aus? Wo sind die Grenzen des SoC GX-412TC?

        Kann ich leider nicht testen. Da die CPU aber AES-Beschleunigung bietet, pfSense diese laut eigener Anzeige (nach manueller Aktivierung) auch nutzten kann und laut meinem Gedächtnis OpenVPN diese ab Werk nutzt sicherlich einiges.
        Ich habe hier nur einen Telekom Hybrid mit etwa 65MBit Down und 10MBit Up. Wenn ich etwas durch den Tunnel pumpe steigt die CPU-Last nur wenig und liegt so bei 60 bis 150 MHz (von 1.000 Möglichen).

        Die APU-Büchse ist aber recht genial. Ich habe einen VMware ESXi drauf gesetzt und lasse eine pfSense (2vCPU/512MB RAM), eine Ubuntu 18.04 VM mit Pi-Hole (2vCPU,512MB RAM) und einen Windows Server 2016 Server als Domänencontroller (2vCPU, 1GB RAM) drauf laufen. Der Windows Server schwächelt bei Updates, die großen (>1GB) habe ich von Hand eingespielt. Ist halt "nur" eine 4 x 1GHz CPU. Ich habe eine mSATA SSD und eine normal SATA SSD drin (2,5" SSD passt lose mit ins Gehäuse, SSD ist aus Kunststoff daher keine Kurzschlussgefahr). Die Plattenperformance ist nicht so gut, geht aber.

        Ich habe einen Raspberry Pi 3 der als zweiter Pi-Hole Server läuft. Der wirkt etwas flotter als meine Ubuntu-VM, aber es geht. Meinen bisherigen "Server" (normaler Windows PC) kann ich jetzt theoretisch einmotten und habe es besser als zuvor.

        G 1 Reply Last reply Reply Quote 0
        • G
          Gladius @BLinz
          last edited by

          @blinz said in Site to Site VPN zwischen pfSense und Fritzbox - Tunnel steht aber keine Daten gehen durch:

          Da die CPU aber AES-Beschleunigung bietet, pfSense diese laut eigener Anzeige (nach manueller Aktivierung) auch nutzten kann und laut meinem Gedächtnis OpenVPN diese ab Werk nutzt sicherlich einiges.

          Wenn man OpenVPN einsetzt, wird OpenVPN/OpenSSL automatisch die Möglichkeiten der CPU bzgl. AES-NI nutzen.
          Die Aktivierung des Moduls AES-NI betrifft IPsec. Es ist also für die OpenVPN-Leistung ohne Belang ob der
          Modul AES-NI geladen ist.

          DTAG (VDSL100) / Speedport Entry2 (Modem) / Jetway NF792i-3160 / Version 2.8.0-RELEASE (amd64)

          V 1 Reply Last reply Reply Quote 0
          • V
            viragomann @Gladius
            last edited by

            @gladius
            In Advanced > Miscellaneou sollte AES-NI schon aktiviert werden, damit es genutzt wird.

            Ich zittiere aus https://www.netgate.com/docs/pfsense/hardware/cryptographic-accelerator-support.html:
            "Others, such as AES-NI or glxsb on ALIX require choosing the appropriate module under System > Advanced on the Miscellaneous tab. Choose the appropriate module to match the hardware for Cryptographic Hardware and then Save. The module will be loaded and available immediately."

            1 Reply Last reply Reply Quote 0
            • G
              Gladius
              last edited by

              Ich habe in einem anderen Thema die Leistung von OpenVPN auf meiner Hardware ausgiebig getestet und ich stehe
              zu meiner Aussage:

              OpenVPN/OpenSSL ist es egal ob der Modul AES-NI geladen ist oder nicht. Wer etwas mehr Leistung mit OpenVPN
              erreichen will sollte AES-GCM statt AES-CBC nutzen.

              DTAG (VDSL100) / Speedport Entry2 (Modem) / Jetway NF792i-3160 / Version 2.8.0-RELEASE (amd64)

              1 Reply Last reply Reply Quote 0
              • G
                Gladius
                last edited by

                Abschließend von mir zum Thema OpenVPN und AES-NI stelle ich eine Bemerkung von
                pfSense (pfsense-ivork) in den Raum und beziehe mich auf diese Internetquelle:

                https://www.reddit.com/r/PFSENSE/comments/7931o7/pfsense_241_crypto_question

                "OpenVPN uses AES-NI automatically if the CPU is compatible."

                DTAG (VDSL100) / Speedport Entry2 (Modem) / Jetway NF792i-3160 / Version 2.8.0-RELEASE (amd64)

                JeGrJ 1 Reply Last reply Reply Quote 0
                • J
                  johndo
                  last edited by

                  Hallo zusammen,

                  habe mich dazu entschieden noch eine pfsense aufzusetzen und dann das VPN aufzubauen. Das mit der Fritzbox geht mir etwas auf die Nerven :).

                  1 Reply Last reply Reply Quote 0
                  • JeGrJ
                    JeGr LAYER 8 Moderator @Gladius
                    last edited by

                    @gladius said in Site to Site VPN zwischen pfSense und Fritzbox - Tunnel steht aber keine Daten gehen durch:

                    Abschließend von mir zum Thema OpenVPN und AES-NI stelle ich eine Bemerkung von
                    pfSense (pfsense-ivork) in den Raum und beziehe mich auf diese Internetquelle:

                    https://www.reddit.com/r/PFSENSE/comments/7931o7/pfsense_241_crypto_question

                    "OpenVPN uses AES-NI automatically if the CPU is compatible."

                    Da bezieht sich ivor aber auf eine ganz andere Fragestellung. Es bleibt aber festzuhalten, dass bei den RC Tests zu Beginn von 2.4 bereits klar gestellt wurde, dass das beste Geschwindigkeitsverhältnis mit der damaligen OVPN 2.4 Version mit geladenem AES-NI UND Cryptodev Modul erreicht wurde. Dazu gab es im RC Thread auch mehrere Benchmarks die das klar belegt haben, dass die Kombination von beidem am Sinnvollsten ist.

                    Die Bemerkung dass OVPN via OpenSSL das ganze selbst aussucht ist aber korrekt, da OVPN hier kein Kernelspace nutzt sondern via Software und OpenSSL das selbst feststellt und nutzt. Auch sollte man - wenn man beide Enden kontrolliert und aktuelle OVPN Versionen laufen - beide mit GCM lösen, was nochmal Performance rauskitzeln kann :)

                    Haben also (fast) alle mit allem recht ;)

                    Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                    If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                    G 1 Reply Last reply Reply Quote 0
                    • G
                      Gladius @JeGr
                      last edited by

                      @jegr said in Site to Site VPN zwischen pfSense und Fritzbox - Tunnel steht aber keine Daten gehen durch:

                      Auch sollte man - wenn man beide Enden kontrolliert und aktuelle OVPN Versionen laufen - beide mit GCM lösen, was nochmal Performance rauskitzeln kann :)

                      Diese Erfahrung habe ich bei meinen Tests auch gemacht. Weitere Infos dazu.

                      Als Randbemerkung folgender Fakt:
                      OpenVPN/TUN/TCP lieferte bessere Werte bei meinen Tests als OpenVPN/TUN/UDP. Dafür habe ich keine Erklärung.

                      DTAG (VDSL100) / Speedport Entry2 (Modem) / Jetway NF792i-3160 / Version 2.8.0-RELEASE (amd64)

                      1 Reply Last reply Reply Quote 0
                      • A
                        alexander90
                        last edited by

                        Gibt es hier zum Ursprungsproblem schon eine Lösung?

                        1 Reply Last reply Reply Quote 0
                        • JeGrJ
                          JeGr LAYER 8 Moderator
                          last edited by

                          Da sich @johndo schon ewig nicht mehr gemeldet hat, glaube ich das nicht. Allerdings ist sowohl die verlinkte Anleitung als auch die Aussagen teils mehr als überholt.

                          Aktuell gerade heute morgen bei einem Kunden zwangsweise eine FritzBox zu pfSense 2.4.4 Strecke in Betrieb genommen. Die verwendete Box hatte 6.93 als OS drauf und konnte damit, im Gegensatz zu vielen anders kursierenden Antworten im Netz:

                          • Auch OHNE das AVM Tool direkt in der UI für VPN konfiguriert werden (allerdings sehr wenig und mies aber es geht)
                          • Konnten innerhalb einer halben Stunde den Tunnel einrichten (allerdings geht nur eine Phase 2 pro Tunnel)
                          • Funktioniert zumindest AES256 mit SHA1 (leider kein SHA256) mit DH2 (leider kein DH14 von der Box angeboten worden)

                          Ein Downsizing der Crypto auf 3DES oder AES128 wie es viele aber immer noch propagieren ist unnötig. Lediglich SHA1/DH2 sind schlecht, hier könnte aber ggf. das Update auf OS 7.01 Abhilfe bringen bzw. wenn man die Konfiguration mit dem AVM Tool erstellt sind ggf. andere Settings möglich als direkt nur in der sehr abgespeckten UI.

                          Grüße

                          Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                          If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                          1 Reply Last reply Reply Quote 2
                          • A
                            alexander90
                            last edited by

                            Danke dir! Ich hatte es bislang immer nur mit dem AVM-Tool probiert und es leider nicht zum laufen gebracht. Über die Web-GUI funktioniert es aber.

                            PS: Die Fritzbox hatte auch schon OS 7.01 drauf.

                            JeGrJ 1 Reply Last reply Reply Quote 0
                            • JeGrJ
                              JeGr LAYER 8 Moderator @alexander90
                              last edited by

                              @alexander90 said in Site to Site VPN zwischen pfSense und Fritzbox - Tunnel steht aber keine Daten gehen durch:

                              Danke dir! Ich hatte es bislang immer nur mit dem AVM-Tool probiert und es leider nicht zum laufen gebracht. Über die Web-GUI funktioniert es aber.

                              Jap, bei dem AVM Tool muss m.W. auch noch das ein oder andere dann händisch umgestrickt werden im File bevor es wieder eingespielt wird, dann sollen auch bessere Cipher/Hashes laufen aber die o.g. haben zumindest auf Anhieb über die UI funktioniert.

                              Randnotiz: Seltsamerweise war die Kundenbox so drauf, dass sie die Verbindung selbst nie aufbauen konnte (Fehlermeldung im Syslog laut AVM: Auth Token falsch, also der PSK inkorrekt). Sobald die andere Seite die Verbindung aber aufgebaut hat (einmal mit einer alten Kunden-Endian-Instanz und dann mit der neuen pfSense getestet) lief alles problemlos. Schade dass das so ein Problemkind bleibt. Wenn man die Box auf "Receive only" stellen könnte, wäre es sicher einfacher, den Tunnel schnell aufgebaut zu bekommen, so machte er immer 3-5min lang Probleme bis die FB die Versuche einstellt und die pfSense ran lässt ohne "dazwischenzuquatschen". ;)

                              Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                              If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                              1 Reply Last reply Reply Quote 0
                              • First post
                                Last post
                              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.