Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    OpenVPN-Fehler nach IPsec-Einrichtung

    Scheduled Pinned Locked Moved Deutsch
    12 Posts 4 Posters 809 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • N
      NOCling
      last edited by

      Bitte nur 1 Thread pro Problem!

      Dann fehlen hier noch Details zur Hardware und zur Bandbreite der Anschlüssen.

      Denn IPSec ist sehr Leistungsstark und kann auch einige hundert MBit Bandbreite ausnutzen, wenn die Hardware und Leitung stimmt.
      Aber was mich wundert, das du anscheinen die Leitung mit einer Fritz als Gegenstelle ausgelastet bekommst, das muss dann ein der neueren Intel Boxen sein mit AES.

      Netgate 6100 & Netgate 2100

      1 Reply Last reply Reply Quote 0
      • R
        Radioman2000 Radioproduktion
        last edited by

        Ich probiere einmal, Licht ins Dunkel zu bringen:

        beim Telekom-WAN am Stern handelt es sich um eine Gigabit-Standleitung., genauso wie an beiden anderen Standorten, wo OpenVPN zum Einsatz kommt. Alle drei Router arbeiten mit pfSense.

        Die IPsec-Verbindung, die neu hinzugekommen ist, hängt an einer 50 Mbit/s-Leitung. Die Fritzbox dort ist eine 7490 mit aktueller Software. Die kann aber leider nur 3DES, weil sie sonst in die Knie geht.

        Es reicht eine Datenübertragung von 5 Mbit/s über IPsec (und nur über diesen Tunnel, nicht aber über die andere IPsec-Verbindung, die über ein andes WAN läuft), um die Datenübertragung des OpenVPN zu stören.

        1 Reply Last reply Reply Quote 0
        • N
          NOCling
          last edited by

          Ok und um welche Hardware handelt es sich bei der pfsense?

          Die 7490 schafft mit P1: AES256 Sha256 und P2: AEA256 Sha1 und PFS2 ca. 10-12 MBit mit der neuen 7.21er Firmware.

          Ist Hardware AES auf deiner Sense aktiv für alle Tunnel?

          Netgate 6100 & Netgate 2100

          1 Reply Last reply Reply Quote 0
          • R
            Radioman2000 Radioproduktion
            last edited by

            Hier mal der Auszug vom Dashboard:

            System pfSense
            Seriennummer: 161290838300869
            Netgate Geräte ID: 54d0518e46be6fc309ef
            BIOS Hersteller: American Megatrends Inc.
            Version: 0601
            Veröffentlichungsdatum: Wed Apr 27 2016
            Version 2.4.5-RELEASE-p1 (amd64)
            kompiliert am: Tue Jun 02 17:51:17 EDT 2020
            FreeBSD 11.3-STABLE

            Das System ist aktuell.
            Versionsinformationen aktualisiert am Fri Oct 2 17:21:46 CEST 2020
            CPU Typ Intel(R) Celeron(R) CPU N3050 @ 1.60GHz
            2 CPUs: 1 package(s) x 2 core(s)
            AES-NI CPU Crypto: Yes (active)
            Hardwarekryptographie AES-CBC,AES-XTS,AES-GCM,AES-ICM

            Wenn ich der 7490 eine andere Verschlüsselung gebe (z.B: AES256), dann wird sie im glimpflichsten Fall richtig langsam, im schlimmsten Fall (und das hatten wir auch schon) musste sie komplett resettet werden, da sie nicht einmal mehr starten wollte.

            1 Reply Last reply Reply Quote 0
            • R
              Radioman2000 Radioproduktion
              last edited by

              Hat noch jemand eine Idee?

              1 Reply Last reply Reply Quote 0
              • V
                viragomann @Radioman2000 Radioproduktion
                last edited by

                Leider nein. Aber was hast du schon fürs Troubleshooting gemacht?

                @Radioman2000-Radioproduktion said in OpenVPN-Fehler nach IPsec-Einrichtung:

                Daten kommen zerstückelt an.

                Was heißt das genau? Wie hast du dieses festgestellt? Wie wirkt sich das Problem aus?

                Hast du den OpenVPN Instanzen Interfaces zugewiesen?
                Wenn ja, zeigen sich da Packet-Loss oder Errors?
                Fehler auf anderen Interfaces?

                Gibt es Hinweise auf das Problem im System-Log oder im OpenVPN- oder IPSec-Log?

                R 1 Reply Last reply Reply Quote 0
                • N
                  NOCling
                  last edited by NOCling

                  Wie man den Tunnel stabil hin bekommt habe ich dir ja geschrieben.
                  Mit dem Fritzeditor kann man sogar den Main Mode erzwingen.

                  Aufhängen tut sich die Box nicht, das NAS von meinem Schwiegervater hat da 700GB+ durch gesichert. Dauert zwar über eine Woche aber es gab von der Fbox her keine Probleme.
                  Aber mehr kann man von einem SoC aus der Leistungsklasse und alter ohne Hardware AES auch nicht erwarten.

                  Aber das die Abstürzt oder ähnliches könnte auf einen Defekt hin deuten.
                  Hatte von meiner pfSense über 6 Monate einen Tunnel zur 6490 meiner Eltern wo das Backup NAS steht.
                  Das sichern dauerte halt lange aber du funktionierte stabil.

                  Netgate 6100 & Netgate 2100

                  1 Reply Last reply Reply Quote 0
                  • R
                    Radioman2000 Radioproduktion @viragomann
                    last edited by

                    @viragomann said in OpenVPN-Fehler nach IPsec-Einrichtung:

                    Was heißt das genau? Wie hast du dieses festgestellt? Wie wirkt sich das Problem aus?

                    Sobald Daten (außer die paar Pakete zum schauen, ob das VPN noch steht) von der pfSense und zur Fritzbox geschickt werden, bricht die eingehende Performance via OpenVPN ein. Wenn ich an der externen pfSense sage, es sollen maximal 5 Mbit/s durch die Leitung, kommen diese reibungslos an. Bei mehr gehen die Pingzeiten einiger Datenpakete an der pfSense auf 3000ms hoch.

                    Hast du den OpenVPN Instanzen Interfaces zugewiesen?

                    Wenn Du damit meinst, ob OpenVPN über ein spezielles WAN rausgeht, dann ja. Am WAN des Telekom-Anschlusses.

                    Gibt es Hinweise auf das Problem im System-Log oder im OpenVPN- oder IPSec-Log?

                    Das Log zeigt nichts, was es nicht sonst auch loggt. Leider.

                    @NOCling said in OpenVPN-Fehler nach IPsec-Einrichtung:

                    Mit dem Fritzeditor kann man sogar den Main Mode erzwingen.

                    Das habe ich - wie gesagt - probiert. Doch dann kann man nur noch einen Griff an die Fritzbox schweißen.

                    Aber das die Abstürzt oder ähnliches könnte auf einen Defekt hin deuten.

                    Ich habe zwischenzeitig ein gleiches Modell angebracht. Das Problem ist dasselbe.

                    1 Reply Last reply Reply Quote 0
                    • R
                      Radioman2000 Radioproduktion
                      last edited by Radioman2000 Radioproduktion

                      Ergänzung: eben gerade ist mir eine Fehlermeldung ins Auge gefallen. Offenbar muss das Zufall sein, da immer nur eine bestimmte Anzahl an Einträgen angezeigt werden und diese dann quasi schon weg war, wenn ich im Log geschaut habe:

                      PID_ERR replay-window backtrack occurred [4] [SSL-1] [0____00000000000000000000000000000000000000000000000000000000000] 0:349802 0:349798 t=1602536512[0] r=[-3,64,15,4,1] sl=[22,64,64,528]

                      Wenn ich richtig gegooglet habe, deutet das auf Paketverluste hin. Das würde meinen Eindruck im Ansatz bestätigen (zwischendurch hohe Pinzeiten).

                      Das ganze tritt nur auf, wenn a) mein Mitarbeiter über IPsec Daten "saugt" (bei mir also Upload) und mir aus meiner Zweigstelle Daten vom Server hole (bei mir also Download). Die Daten meiner Zweigstelle haben dann offenbar Nachrang.

                      Und: ich habe soeben festgestellt, dass der Download am Anschluss im Allgemeinen in die Knie geht, sobald nun ein Upload über den IPsec läuft. Die CPU-Last an meinem pfSense liegt nun bei 22 Prozent, was eigentlich nicht kritisch sein sollte.

                      1 Reply Last reply Reply Quote 0
                      • R
                        Radioman2000 Radioproduktion
                        last edited by

                        Hat noch jemand eine Idee?

                        Ich selbst glaube ja langsam, dass die Telekom Probleme hat, zeitgleich große Download- und Upload-Mengen über die Leitung zu schicken.

                        1 Reply Last reply Reply Quote 0
                        • JeGrJ
                          JeGr LAYER 8 Moderator
                          last edited by

                          Da würde ich auch langsam eher auf Hardware und/oder Anschluß tippen und die mal durchmessen lassen. Ist durchaus nicht so ungewöhnlich dass Fehler/Probleme am Anschluß erst auftreten wenn etwas mehr Traffic drüberlaufen. Wundert mich auch, dass du Probleme hast, mit dem FritzVPN Editor Konfigurationen zu bauen/ändern, die dann mit MainMode laufen. Hat bislang auf allen Boxen geklappt, die ich getestet habe, egal ob DSL oder Kabel. Das macht mich ebenfalls stutzig.

                          Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                          If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                          1 Reply Last reply Reply Quote 0
                          • First post
                            Last post
                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.