OpenVPN-Fehler nach IPsec-Einrichtung
-
Ich probiere einmal, Licht ins Dunkel zu bringen:
beim Telekom-WAN am Stern handelt es sich um eine Gigabit-Standleitung., genauso wie an beiden anderen Standorten, wo OpenVPN zum Einsatz kommt. Alle drei Router arbeiten mit pfSense.
Die IPsec-Verbindung, die neu hinzugekommen ist, hängt an einer 50 Mbit/s-Leitung. Die Fritzbox dort ist eine 7490 mit aktueller Software. Die kann aber leider nur 3DES, weil sie sonst in die Knie geht.
Es reicht eine Datenübertragung von 5 Mbit/s über IPsec (und nur über diesen Tunnel, nicht aber über die andere IPsec-Verbindung, die über ein andes WAN läuft), um die Datenübertragung des OpenVPN zu stören.
-
Ok und um welche Hardware handelt es sich bei der pfsense?
Die 7490 schafft mit P1: AES256 Sha256 und P2: AEA256 Sha1 und PFS2 ca. 10-12 MBit mit der neuen 7.21er Firmware.
Ist Hardware AES auf deiner Sense aktiv für alle Tunnel?
-
Hier mal der Auszug vom Dashboard:
System pfSense
Seriennummer: 161290838300869
Netgate Geräte ID: 54d0518e46be6fc309ef
BIOS Hersteller: American Megatrends Inc.
Version: 0601
Veröffentlichungsdatum: Wed Apr 27 2016
Version 2.4.5-RELEASE-p1 (amd64)
kompiliert am: Tue Jun 02 17:51:17 EDT 2020
FreeBSD 11.3-STABLEDas System ist aktuell.
Versionsinformationen aktualisiert am Fri Oct 2 17:21:46 CEST 2020
CPU Typ Intel(R) Celeron(R) CPU N3050 @ 1.60GHz
2 CPUs: 1 package(s) x 2 core(s)
AES-NI CPU Crypto: Yes (active)
Hardwarekryptographie AES-CBC,AES-XTS,AES-GCM,AES-ICMWenn ich der 7490 eine andere Verschlüsselung gebe (z.B: AES256), dann wird sie im glimpflichsten Fall richtig langsam, im schlimmsten Fall (und das hatten wir auch schon) musste sie komplett resettet werden, da sie nicht einmal mehr starten wollte.
-
Hat noch jemand eine Idee?
-
Leider nein. Aber was hast du schon fürs Troubleshooting gemacht?
@Radioman2000-Radioproduktion said in OpenVPN-Fehler nach IPsec-Einrichtung:
Daten kommen zerstückelt an.
Was heißt das genau? Wie hast du dieses festgestellt? Wie wirkt sich das Problem aus?
Hast du den OpenVPN Instanzen Interfaces zugewiesen?
Wenn ja, zeigen sich da Packet-Loss oder Errors?
Fehler auf anderen Interfaces?Gibt es Hinweise auf das Problem im System-Log oder im OpenVPN- oder IPSec-Log?
-
Wie man den Tunnel stabil hin bekommt habe ich dir ja geschrieben.
Mit dem Fritzeditor kann man sogar den Main Mode erzwingen.Aufhängen tut sich die Box nicht, das NAS von meinem Schwiegervater hat da 700GB+ durch gesichert. Dauert zwar über eine Woche aber es gab von der Fbox her keine Probleme.
Aber mehr kann man von einem SoC aus der Leistungsklasse und alter ohne Hardware AES auch nicht erwarten.Aber das die Abstürzt oder ähnliches könnte auf einen Defekt hin deuten.
Hatte von meiner pfSense über 6 Monate einen Tunnel zur 6490 meiner Eltern wo das Backup NAS steht.
Das sichern dauerte halt lange aber du funktionierte stabil. -
@viragomann said in OpenVPN-Fehler nach IPsec-Einrichtung:
Was heißt das genau? Wie hast du dieses festgestellt? Wie wirkt sich das Problem aus?
Sobald Daten (außer die paar Pakete zum schauen, ob das VPN noch steht) von der pfSense und zur Fritzbox geschickt werden, bricht die eingehende Performance via OpenVPN ein. Wenn ich an der externen pfSense sage, es sollen maximal 5 Mbit/s durch die Leitung, kommen diese reibungslos an. Bei mehr gehen die Pingzeiten einiger Datenpakete an der pfSense auf 3000ms hoch.
Hast du den OpenVPN Instanzen Interfaces zugewiesen?
Wenn Du damit meinst, ob OpenVPN über ein spezielles WAN rausgeht, dann ja. Am WAN des Telekom-Anschlusses.
Gibt es Hinweise auf das Problem im System-Log oder im OpenVPN- oder IPSec-Log?
Das Log zeigt nichts, was es nicht sonst auch loggt. Leider.
@NOCling said in OpenVPN-Fehler nach IPsec-Einrichtung:
Mit dem Fritzeditor kann man sogar den Main Mode erzwingen.
Das habe ich - wie gesagt - probiert. Doch dann kann man nur noch einen Griff an die Fritzbox schweißen.
Aber das die Abstürzt oder ähnliches könnte auf einen Defekt hin deuten.
Ich habe zwischenzeitig ein gleiches Modell angebracht. Das Problem ist dasselbe.
-
Ergänzung: eben gerade ist mir eine Fehlermeldung ins Auge gefallen. Offenbar muss das Zufall sein, da immer nur eine bestimmte Anzahl an Einträgen angezeigt werden und diese dann quasi schon weg war, wenn ich im Log geschaut habe:
PID_ERR replay-window backtrack occurred [4] [SSL-1] [0____00000000000000000000000000000000000000000000000000000000000] 0:349802 0:349798 t=1602536512[0] r=[-3,64,15,4,1] sl=[22,64,64,528]
Wenn ich richtig gegooglet habe, deutet das auf Paketverluste hin. Das würde meinen Eindruck im Ansatz bestätigen (zwischendurch hohe Pinzeiten).
Das ganze tritt nur auf, wenn a) mein Mitarbeiter über IPsec Daten "saugt" (bei mir also Upload) und mir aus meiner Zweigstelle Daten vom Server hole (bei mir also Download). Die Daten meiner Zweigstelle haben dann offenbar Nachrang.
Und: ich habe soeben festgestellt, dass der Download am Anschluss im Allgemeinen in die Knie geht, sobald nun ein Upload über den IPsec läuft. Die CPU-Last an meinem pfSense liegt nun bei 22 Prozent, was eigentlich nicht kritisch sein sollte.
-
Hat noch jemand eine Idee?
Ich selbst glaube ja langsam, dass die Telekom Probleme hat, zeitgleich große Download- und Upload-Mengen über die Leitung zu schicken.
-
Da würde ich auch langsam eher auf Hardware und/oder Anschluß tippen und die mal durchmessen lassen. Ist durchaus nicht so ungewöhnlich dass Fehler/Probleme am Anschluß erst auftreten wenn etwas mehr Traffic drüberlaufen. Wundert mich auch, dass du Probleme hast, mit dem FritzVPN Editor Konfigurationen zu bauen/ändern, die dann mit MainMode laufen. Hat bislang auf allen Boxen geklappt, die ich getestet habe, egal ob DSL oder Kabel. Das macht mich ebenfalls stutzig.
