pfS 2.5 OpenVPN Client Export Tool - comp-lzo adaptive immer wieder enthalten

tpf

Servus,
obwohl Compression im OpenVPN-Server abgeschalten, befindet sich die Option "comp-lzo adaptive" immer wieder in der Konfig und ich muss sie manuell entfernen,.

Hat jemand ne Ahnung, wie das final gelöst werden kann?

Grüße

mike69

@tpf

hier nicht:

dev tun
persist-tun
persist-key
data-ciphers AES-256-GCM
data-ciphers-fallback AES-256-GCM
auth SHA512
tls-client
client
resolv-retry infinite
remote 203.0.113.123 1194 udp
verify-x509-name "pfsense.home.de" name
auth-user-pass
remote-cert-tls server
explicit-exit-notify

In der server.conf steht:

allow-compression no

Abgesehen davon sieht die Konfigurationsseite bissl anders aus. Musste mir regelmässig die server.conf anschauen, welcher Schalter was bewirkt.

tpf

@mike69
Servus,
vielen Dank für die Info. Seltsam - bei mir steht es weiterhin drin. Dann geh ich mal auf die Suche.

Btw: wie zufrieden bist Du mit deinem A2SDi-4C-HLN4F ? Ich wollte mir das zu testzwecken kaufen, kostet aber gerade rund 300 brutto. Wie ist die Performanz mit OpenVPN und ggf. Proxy / pfBlockerNG? Ggfs sollte da mal noch eine 10GE-Karte dran.

Das A2SAV-L steht auch noch auf meiner Wunschliste.

mike69

Moin @tpf,

die Leistung für eine echte VDSL 74/34 Leitung mehr als ausreichend. Bei der Bandbreite und OpenVPN sind andere Faktoren limitierend, z.B. die mobilen Endgeräte.
Der ix Treiber konnte bis 2.4.5 nicht mit ALTQ umgehen und sollte mit 2.5 gefixt sein.

Auch mit pfBlockerNG langweilt sich das Board, kenne aber deine Konfig nicht.
Gbit Traffic von einem VLAN Netz zum anderen über ein IF entlockt dem Board auf 2 Kernen je knapp 50%

Zum Thema Proxy oder Snort etc kann ich nichts sagen, mal mit rumgespielt und wieder entsorgt weil nicht gebraucht.

@tpf said in pfS 2.5 OpenVPN Client Export Tool - comp-lzo adaptive immer wieder enthalten:

Ggfs sollte da mal noch eine 10GE-Karte dran.

Dann schau dir das Board, oder gleich fett mit 10 Netzwerkports das hier, ist dann aber kein mini-ITX mehr.

tpf

@mike69 Das Board kenne ich schon - danke. Die 50% CPU wundern mich. Sollten die Intel-Nics den Traffic nicht ohne CPU-Belastung durchschieben? Oder machen das erst die i3xx-Karten?

50% ist auch recht viel, finde ich. Bis zu einen GBit up/down am WAN sollen da durch. Bestenfalls mit 200MBit OpenVPN. Muss ich da wohl doch zu den Xeons greifen?

mike69

@tpf said in pfS 2.5 OpenVPN Client Export Tool - comp-lzo adaptive immer wieder enthalten:

@mike69 Das Board kenne ich schon - danke. Die 50% CPU wundern mich. Sollten die Intel-Nics den Traffic nicht ohne CPU-Belastung durchschieben? Oder machen das erst die i3xx-Karten?

Die Sense übernimmt das Routing zwischen beiden VLAN Netzen. Ob das andere Chips besser wuppen weiss ich nicht.

@tpf said in pfS 2.5 OpenVPN Client Export Tool - comp-lzo adaptive immer wieder enthalten:

Bis zu einen GBit up/down am WAN sollen da durch. Bestenfalls mit 200MBit OpenVPN

Wen DG mal endlich buddelt, könnte ich bald dazu was sagen. :)
Wird Coronabedingt nichts dieses Jahr, so wie es aussieht.
Schmeiss mal die Suche an, hier schwirren paar Benchmarks rum zum Thema VPN Leistung. Bei 2,2GHz könnte es eng werden, bin mir da nicht 100%ig sicher.

@tpf said in pfS 2.5 OpenVPN Client Export Tool - comp-lzo adaptive immer wieder enthalten:

Muss ich da wohl doch zu den Xeons greifen?

Diese Entscheidung liegt ganz bei Dir. :)

tpf

@mike69 Bei den Atom-Boards, die mehr als 300 Euro kosten muss man sich schon fragen, weshalb man nicht ein X11-Board nimmt und einfach einen i3 drauf macht. Kostet fast dasselbe, liegt leistungstechnisch aber weit drüber.

Zum Thema:
so sieht meine Server-Konfig aus:
data-ciphers AES-256-GCM:AES-256-CBC:AES-128-GCM
data-ciphers-fallback AES-256-CBC
allow-compression no
persist-remote-ip
float
topology subnet

Und so meine Client:

auth-user-pass
remote-cert-tls server
comp-lzo adaptive
explicit-exit-notify

Ich verstehe es nicht.

mike69

@tpf said in pfS 2.5 OpenVPN Client Export Tool - comp-lzo adaptive immer wieder enthalten:

@mike69 Bei den Atom-Boards, die mehr als 300 Euro kosten muss man sich schon fragen, weshalb man nicht ein X11-Board nimmt und einfach einen i3 drauf macht. Kostet fast dasselbe, liegt leistungstechnisch aber weit drüber

Das ist soweit richtig. Kenne aber kein 4Kern I3 mit einer TPW von 16 Watt. Der Boxed Kühler passt auch nicht in ein 1U Gehäuse und über ECC REG DIMMs brauchen wir uns dann auch nicht unterhalten. :)

@tpf said in pfS 2.5 OpenVPN Client Export Tool - comp-lzo adaptive immer wieder enthalten:

so sieht meine Server-Konfig aus:
data-ciphers AES-256-GCM:AES-256-CBC:AES-128-GCM
data-ciphers-fallback AES-256-CBC
allow-compression no
persist-remote-ip
float
topology subnet

Und so meine Client:

auth-user-pass
remote-cert-tls server
comp-lzo adaptive
explicit-exit-notify

Ich verstehe es nicht.

Hmmm, server.conf ist bis auf cipher soweit identisch.
Ist das ein Fresh Install der Sense oder ein Upgrade? Eventuell mal den Client Export de- und neu installieren, hat sich ja einiges geändert mit 2.5.0. auch zum Thema "compress". Nicht, das alte Fragmente übrig geblieben sind.

Oder einfach oldschool die Zeile aus der client.conf entfernen. :)
So oft wird die Client Export Funktion nicht gebraucht. Läuft hier sauber ohne Eintrag in der client.conf, unter OpenVPN2.5 wohlgemerkt.

tpf

@mike69 Es ist ein Upgrade. Das Paket habe ich bereits neu installiert. Ja, ich behelfe mir durch manuelles Löschen. Ist aber nervig, da es um 40 Profile geht...

EDIT: Übrigens tritt das auf all meinen Installationen auf.

Bob.Dig

Habe das Problem auch nicht mit einer neuen pfSense 2.5.
Im Server steht allow-compression no und beim client export ist es gar nicht enthalten.