Open-VPN auf APU zu langsam.
-
Es scheint als würde das OpenVPN jeweils einen Kern voll auslasten und damit in unserem Fall dann die Verbindung auf 30-40MBit begrenzen. Das reicht für mobile Anwender und VOiP-Telefone im Homeoffice aus. bei Site2Site nervt es weil auf beiden Seiten 100MBit synchron vorhanden sind und nur 1/3 davon wirklich ankommt.
Gibt es für "Site2Site" ein schnelleres Protokoll, was ich auf der PFSense nutzen kann?
Wenn ja, wo finde ich dazu ein "HowTo" ? -
@bitboy0
IPSec ist schneller. Am besten schaust du in die offizielle pfSense Doku für Anleitungen und Infos:
https://docs.netgate.com/pfsense/en/latest/vpn/performance.html -
Nun möchte ich Site2Site machen, aber eine Seite des Tunnels sitzt hinter einem NAT und hat keine feste IP
bei OpenVPN kein Problem, weil ich da einen Server und einen Client habe und der Client braucht keine feste IP.
Die Anleitung für IPsec geht aber von dem schönen Fall aus, dass beide Seiten eine feste IP haben und direkt am Netz hängen. Ich muss ja gleich zu Beginn auf Seite A die Adresse von Seite B (Remote gateway) angeben.
Oder hab ich das wieder nur nicht verstanden?
-
Nutzt du da keinen dynDNS Service?
Dann wäre dies der Anlass dafür. Man kann auch Hostnamen angeben. -
@bitboy0 said in Open-VPN auf APU zu langsam.:
Nun möchte ich Site2Site machen, aber eine Seite des Tunnels sitzt hinter einem NAT und hat keine feste IP
bei OpenVPN kein Problem, weil ich da einen Server und einen Client habe und der Client braucht keine feste IP.
Die Anleitung für IPsec geht aber von dem schönen Fall aus, dass beide Seiten eine feste IP haben und direkt am Netz hängen. Ich muss ja gleich zu Beginn auf Seite A die Adresse von Seite B (Remote gateway) angeben.
Oder hab ich das wieder nur nicht verstanden?
Moin.
Du kannst auch ein Hostname eingeben. Namensauflösung über DynDNS ist vorhanden?
edit:
@viragomann war schneller. :) -
So generell
Is ipsec im site2site Bereich wirklich openVpn vorzuziehen. -
Das war neu ein Teil der Antwort, die ich brauche.
Stelle B sitzt hinter einem NAT und kann von außen nicht erreicht werden. Sie kann aber überall hin verbinden.
Nur Seite A ist über ihre öffentliche IP auch direkt ansprechbar.
Also wird die Verbindung nur gehen, wenn Seite B sie initiiert. Geht das?
-
@bitboy0
Ich habe hier auch einen IPSec Router hinter der pfSense. Folgende Weiterleitungen musste ich dafür einrichten:- TCP/UDP WAN address Port 500 > IPSec-Host Port 500
- ESP WAN address > IPSec-Host
- UDP WAN address Port 4500 > IPSec-Host Port 4500
Das war der ganze Zauber.
-
@noplan said in Open-VPN auf APU zu langsam.:
Is ipsec im site2site Bereich wirklich openVpn vorzuziehen.
Man liest es immer wieder, auch von Netgate selbst.
Ich habe hier eine OpenVPN site-to-site für Backupzwecke, die ist langsam, soll aber gar nicht schneller sein, damit sie mit die WANs nicht zu sehr belastet.
-
@bitboy0
Richte zB dyndns auf B ein und fertig -
@viragomann said in Open-VPN auf APU zu langsam.:
Man liest es immer wieder,
Naja no denn
OpenVpn f die nomadic user und f site2site ipsec auch fein paaaasssst auch -
-
Is doch so... Die User die da draußen herumziehen und sich ins geheiligte corporate net verbinden.... ;)
HomeOffice kriegt bei uns jetzt eine apuBox und einen TPlink Switch zwecks der Trennung home & firma
-
;) Also absichtlich OVPN nutzen um den Traffic zu beschränken? ;)
Also noch Mal ... Site B ist nicht unser Netz und wir können dort keinen Port weiterleiten. DynDNS wird sicher gehen.
Können wir mit DynDNS, aber ohne Ports auf Site B ankommend zu öffnen oder weiterzuleiten, mit IPsec-Site2Site arbeiten?
-
Was hängt auf B vor der pfS?
Wenn das Modem whatever alles an die pfS weiterleitet dann kein Problem sonst musst du ein port weiterleiten von modem an pfSWie machst dyndns ohne auf das Modem zu greifen oder was da halt vor der pfS hängt
Die Verbindung von B z A aufbauen geht manchmal aber das kostet dich in der Wartung mehr Nerven als gut ist.
-
Ich kann dort nichts weiterleiten , weil das so ein sharedb Büro ist und da macht der Admin nichts dergleichen. und dyndns macht ich über ein eigenes Skript über ein Debian auf site A. Da bin ich Herr über den DNS. Also Aufbau muss zwingend von b nach a sein. Das war der Vorteil von openvpn, dass das bei b weder eine IP noch ankommende Ports nötig waren.
-
Das hab ich vermutet
Hatte sowas auch hab dann an unserem zugewiesenen Netzwerk anschl. Eine pfS box APU Box hingeklemmt und an die unseren switch geknalltSomit war unser Netz sauber
Zwar doppeltes NAT und eine kranke private IP aber was sollsKann dir jetzt nicht sagen obwir ports weitergeleitet bekommen haben oder ob wir on demand aufgebaut haben (was ich eher glaub)
Ich weiß nur das wir so ziemlich viel von unserem Netz ferngehalten haben -
@noplan said in Open-VPN auf APU zu langsam.:
So generell
Is ipsec im site2site Bereich wirklich openVpn vorzuziehen.Nö. Einfach Nö. Frag mal Leute die IPSec aus dem FF kennen bzw können müssen. Keine Sau will freiwillig IPSec.
Ist es schneller? Klar, Kernel vs User. Außerdem mehr Stellen für Multicore optimiert. Daher nicht so single core bound. Ist es besser? HELL NO! Es fuckt einen tierisch ab, wenn man jedes verdammte Mal wenn man einen dummen S2S Tunnel braucht erstmal diplomatische Beziehungen zur Gegenseite aufbauen muss um zu verhandeln, welche Einstellungen, welche Netze in P2, welche Features die abgefuckte Hardware unterstützt (in fucking 2020!) etc. etc. drekct.
Ich habs so satt (und bin krank und angepisst - daher mal so Rüde ausgedrückt).DAS ist der Scheiß Grund warum alle wie die Idioten auf Wireguard abgehen und mir ein Ohr abkauen deshalb. Weil WG dann (wenn es FERTIG ist) auch Kernel ist - daher schnell - und einfach konfiguriert werden soll (hopefully). Für Roadwarrior find ichs trotzdem schlecht weil auth etc ziemlich matsch ist. Aber S2S kann das echt was werden.
Aber deshalb mag keiner IPSec! -
Jop das war mir klar
Die diplomatische Beziehung kürzen wir immer ab weil wir nur Boxen aus unserer IT Diktatur verwenden ;)
Und ja du hast recht
-
Ich bin mit meinem Tunnel Netgate to Netgate mega zufrieden, das läuft in Hardware und man merkt nix das die Leitung gerade voll ausgelastet wird wenn ich ein NAS Backup fahre.
Wenn es also um reine Performance geht, du beide Endpunkte kontrollierst und du weißt was zu tun ist, ist IPSec auf kein Problem und in wenigen Minuten eingerichtet.
Wenn du das mit einem default Admin machen sollst, ohje. Aber mit so jemandem ist sehr viele mit ohje zu umschreiben.
Teste es doch einfach.
