Site to Site VPN zwischen pfSense und Fritzbox - Tunnel steht aber keine Daten gehen durch

viragomann

@gladius
In Advanced > Miscellaneou sollte AES-NI schon aktiviert werden, damit es genutzt wird.

Ich zittiere aus https://www.netgate.com/docs/pfsense/hardware/cryptographic-accelerator-support.html:
"Others, such as AES-NI or glxsb on ALIX require choosing the appropriate module under System > Advanced on the Miscellaneous tab. Choose the appropriate module to match the hardware for Cryptographic Hardware and then Save. The module will be loaded and available immediately."

Gladius

Ich habe in einem anderen Thema die Leistung von OpenVPN auf meiner Hardware ausgiebig getestet und ich stehe
zu meiner Aussage:

OpenVPN/OpenSSL ist es egal ob der Modul AES-NI geladen ist oder nicht. Wer etwas mehr Leistung mit OpenVPN
erreichen will sollte AES-GCM statt AES-CBC nutzen.

Gladius

Abschließend von mir zum Thema OpenVPN und AES-NI stelle ich eine Bemerkung von
pfSense (pfsense-ivork) in den Raum und beziehe mich auf diese Internetquelle:

https://www.reddit.com/r/PFSENSE/comments/7931o7/pfsense_241_crypto_question

"OpenVPN uses AES-NI automatically if the CPU is compatible."

johndo

Hallo zusammen,

habe mich dazu entschieden noch eine pfsense aufzusetzen und dann das VPN aufzubauen. Das mit der Fritzbox geht mir etwas auf die Nerven :).

JeGr

@gladius said in Site to Site VPN zwischen pfSense und Fritzbox - Tunnel steht aber keine Daten gehen durch:

Abschließend von mir zum Thema OpenVPN und AES-NI stelle ich eine Bemerkung von
pfSense (pfsense-ivork) in den Raum und beziehe mich auf diese Internetquelle:

https://www.reddit.com/r/PFSENSE/comments/7931o7/pfsense_241_crypto_question

"OpenVPN uses AES-NI automatically if the CPU is compatible."

Da bezieht sich ivor aber auf eine ganz andere Fragestellung. Es bleibt aber festzuhalten, dass bei den RC Tests zu Beginn von 2.4 bereits klar gestellt wurde, dass das beste Geschwindigkeitsverhältnis mit der damaligen OVPN 2.4 Version mit geladenem AES-NI UND Cryptodev Modul erreicht wurde. Dazu gab es im RC Thread auch mehrere Benchmarks die das klar belegt haben, dass die Kombination von beidem am Sinnvollsten ist.

Die Bemerkung dass OVPN via OpenSSL das ganze selbst aussucht ist aber korrekt, da OVPN hier kein Kernelspace nutzt sondern via Software und OpenSSL das selbst feststellt und nutzt. Auch sollte man - wenn man beide Enden kontrolliert und aktuelle OVPN Versionen laufen - beide mit GCM lösen, was nochmal Performance rauskitzeln kann :)

Haben also (fast) alle mit allem recht ;)

Gladius

@jegr said in Site to Site VPN zwischen pfSense und Fritzbox - Tunnel steht aber keine Daten gehen durch:

Auch sollte man - wenn man beide Enden kontrolliert und aktuelle OVPN Versionen laufen - beide mit GCM lösen, was nochmal Performance rauskitzeln kann :)

Diese Erfahrung habe ich bei meinen Tests auch gemacht. Weitere Infos dazu.

Als Randbemerkung folgender Fakt:
OpenVPN/TUN/TCP lieferte bessere Werte bei meinen Tests als OpenVPN/TUN/UDP. Dafür habe ich keine Erklärung.

alexander90

Gibt es hier zum Ursprungsproblem schon eine Lösung?

JeGr

Da sich @johndo schon ewig nicht mehr gemeldet hat, glaube ich das nicht. Allerdings ist sowohl die verlinkte Anleitung als auch die Aussagen teils mehr als überholt.

Aktuell gerade heute morgen bei einem Kunden zwangsweise eine FritzBox zu pfSense 2.4.4 Strecke in Betrieb genommen. Die verwendete Box hatte 6.93 als OS drauf und konnte damit, im Gegensatz zu vielen anders kursierenden Antworten im Netz:

• Auch OHNE das AVM Tool direkt in der UI für VPN konfiguriert werden (allerdings sehr wenig und mies aber es geht)
• Konnten innerhalb einer halben Stunde den Tunnel einrichten (allerdings geht nur eine Phase 2 pro Tunnel)
• Funktioniert zumindest AES256 mit SHA1 (leider kein SHA256) mit DH2 (leider kein DH14 von der Box angeboten worden)

Ein Downsizing der Crypto auf 3DES oder AES128 wie es viele aber immer noch propagieren ist unnötig. Lediglich SHA1/DH2 sind schlecht, hier könnte aber ggf. das Update auf OS 7.01 Abhilfe bringen bzw. wenn man die Konfiguration mit dem AVM Tool erstellt sind ggf. andere Settings möglich als direkt nur in der sehr abgespeckten UI.

Grüße

alexander90

Danke dir! Ich hatte es bislang immer nur mit dem AVM-Tool probiert und es leider nicht zum laufen gebracht. Über die Web-GUI funktioniert es aber.

PS: Die Fritzbox hatte auch schon OS 7.01 drauf.

JeGr

@alexander90 said in Site to Site VPN zwischen pfSense und Fritzbox - Tunnel steht aber keine Daten gehen durch:

Danke dir! Ich hatte es bislang immer nur mit dem AVM-Tool probiert und es leider nicht zum laufen gebracht. Über die Web-GUI funktioniert es aber.

Jap, bei dem AVM Tool muss m.W. auch noch das ein oder andere dann händisch umgestrickt werden im File bevor es wieder eingespielt wird, dann sollen auch bessere Cipher/Hashes laufen aber die o.g. haben zumindest auf Anhieb über die UI funktioniert.

Randnotiz: Seltsamerweise war die Kundenbox so drauf, dass sie die Verbindung selbst nie aufbauen konnte (Fehlermeldung im Syslog laut AVM: Auth Token falsch, also der PSK inkorrekt). Sobald die andere Seite die Verbindung aber aufgebaut hat (einmal mit einer alten Kunden-Endian-Instanz und dann mit der neuen pfSense getestet) lief alles problemlos. Schade dass das so ein Problemkind bleibt. Wenn man die Box auf "Receive only" stellen könnte, wäre es sicher einfacher, den Tunnel schnell aufgebaut zu bekommen, so machte er immer 3-5min lang Probleme bis die FB die Versuche einstellt und die pfSense ran lässt ohne "dazwischenzuquatschen". ;)