Site to Site VPN zwischen pfSense und Fritzbox - Tunnel steht aber keine Daten gehen durch



  • Hallo zusammen,

    ich habe eine Site to Site VPN Verbindung zwischen einer pfSense und einer Fritzbox konfiguriert. Auf beiden Seiten sehe ich das der Tunnel aktiv ist. Allerdings gehen keine Daten durch den Tunnel egal von welcher Seite.

    Ich habe mich genaustens an diese Anleitung gehalten -> https://znil.net/index.php?title=FritzBox_-_Site_to_Site_VPN_zu_pfSense_2.2

    Da ich leider in den Logs keinerlei Fehler sehe bin ich mir nicht ganz sicher wie ich jetzt weiter machen soll. Kann mir jemand helfen?



  • Sind die beiden VPN Endpunkte die Standard-Gateways in ihren lokalen Netzen?

    Kannst du die Tunnel IP des anderen Endpunkts pingen?
    Kannst du die lokale IP des anderen Endpunkts pingen?

    Die Firewall-Regeln erlauben die Zugriffe?

    Stimmen die Routen auf beiden Seiten? D.h., wenn du ein Traceroute machst, erreicht es den anderen Endpunkt?

    Wenn du das selbst nicht überprüfen kannst, musst du schon etwas mehr von deiner Konfiguration verraten, um Hilfe zu bekommen:
    Wie sehen die beiden VPN-Konfigurationen aus?
    Welche lokalen Netze sind auf beiden Seiten vorhanden, die von der anderen Seite erreicht werden sollen?



  • Moin,

    zufällig habe ich genau die gleichen Probleme. Und zufällig bin ich der Ersteller der von dir verlinkten Anleitung.
    Ich habe in letzter Zeit mehrere Abende damit verbracht das Problem zu Lösung ... und bin gescheitert.

    Meine FritzBox 7390 (FRITZ!OS 06.83) ist zwar zusätzlich hinter einem Telekom Hybrid-Router und ich hatte diesen in Verdacht. Immer nach dem trennen und wiederherstellen der DSL Verbindung ging es wieder ... für eine Weile.
    MIch habe auch alles mögliche an der IPSec-Verbindung ausprobiert - hat auch nicht geklappt. Nach vielen Fummeln (In der FritzBox gelöscht und neu verbunden) geht es zwischendurch mal - ist eher Zufall. Wenn es klappt dann nach einiger Zeit (Minuten bis Stunden) nicht mehr - und kommt auch von alleine nicht wieder hoch.

    Die Verbindung ist eigentlich auch nicht das Problem. Der Tunnel baut sich zuverlässig auf und steht. Aber wie bei dir geht nichts durch. Laut dem Status auf der pfSense funktioniert der Tunnel in eine Richtung nicht, die hat dann keinen Traffic mehr.
    Das ganze hat fast 3 Jahre ohne Probleme funktioniert, auch mit dem FritzOS seit dem es raus ist .... und ich kann nicht sagen was jetzt anders ist.

    Ich habe eine 2. FritzBox die ebenfalls ein IPsec zur pfSense aufbaut - von EWE und deshalb mit einer älteren Firmware. Die läuft scheinbar ohne Probleme.

    Inzwischen habe ich mir ein APU2C4 Kit gekauft und baue den Tunnel nicht mehr über die FritzBox und IPSec auf sondern zwischen 2 pfSense und OpenVPN. Und das sogar als "TCP4" , ob es hier auch mit UDP Probleme gibt teste ich dieser Tage.

    Welchen Provider hast du? FritzBox ist direkt angeschlossen?

    Bernhard



  • @blinz said in Site to Site VPN zwischen pfSense und Fritzbox - Tunnel steht aber keine Daten gehen durch:

    Inzwischen habe ich mir ein APU2C4 Kit gekauft und baue den Tunnel nicht mehr über die FritzBox und IPSec auf sondern zwischen 2 pfSense und OpenVPN. Und das sogar als "TCP4" , ob es hier auch mit UDP Probleme gibt teste ich dieser Tage.

    Was soll denn gegen OpenVPN/"TCP4" sprechen? In einem Roadwarrior Szenarium hat TCP sogar Vorteile gegenüber UDP.
    OpenVPN/TCP getunnelt über SSL funktioniert bei ausreichend leistungsfähiger Hardware ohne Probleme.

    Wie sieht es denn mit der OpenVPN Leistung einer APU2C4 aus? Wo sind die Grenzen des SoC GX-412TC?



  • @gladius
    OpenVPN via TCP hat nur dann einen Vorteil, wenn UDP nicht machbar ist, bspw. wenn die Clients die Verbindung aus eingeschränkten Hotspots aufbauen wollen, die UDP nicht erlauben. Dann ist zumeist aber auch Port 1194 nicht erlaubt und man muss auf einen der Standardprotokolle HTTP/S, SMTP/S ausweichen.

    Die Nachteile von TCP wären eher durch eine höhere Leitungsbandbreite denn durch stärkere Hardware wettzumachen, doch darauf hat man nicht immer Einfluss.

    Grüße



  • @viragomann said in Site to Site VPN zwischen pfSense und Fritzbox - Tunnel steht aber keine Daten gehen durch:

    Die Nachteile von TCP wären eher durch eine höhere Leitungsbandbreite denn durch stärkere Hardware wettzumachen, doch darauf hat man nicht immer Einfluss.

    Diese Bemerkung bezog sich auf OpenVPN getunnelt über SSL. Okay, das wird nicht jeder einsetzen,
    funktioniert aber problemlos mit entsprechender Hardware.

    LG



  • @gladius said in Site to Site VPN zwischen pfSense und Fritzbox - Tunnel steht aber keine Daten gehen durch:

    Wie sieht es denn mit der OpenVPN Leistung einer APU2C4 aus? Wo sind die Grenzen des SoC GX-412TC?

    Kann ich leider nicht testen. Da die CPU aber AES-Beschleunigung bietet, pfSense diese laut eigener Anzeige (nach manueller Aktivierung) auch nutzten kann und laut meinem Gedächtnis OpenVPN diese ab Werk nutzt sicherlich einiges.
    Ich habe hier nur einen Telekom Hybrid mit etwa 65MBit Down und 10MBit Up. Wenn ich etwas durch den Tunnel pumpe steigt die CPU-Last nur wenig und liegt so bei 60 bis 150 MHz (von 1.000 Möglichen).

    Die APU-Büchse ist aber recht genial. Ich habe einen VMware ESXi drauf gesetzt und lasse eine pfSense (2vCPU/512MB RAM), eine Ubuntu 18.04 VM mit Pi-Hole (2vCPU,512MB RAM) und einen Windows Server 2016 Server als Domänencontroller (2vCPU, 1GB RAM) drauf laufen. Der Windows Server schwächelt bei Updates, die großen (>1GB) habe ich von Hand eingespielt. Ist halt "nur" eine 4 x 1GHz CPU. Ich habe eine mSATA SSD und eine normal SATA SSD drin (2,5" SSD passt lose mit ins Gehäuse, SSD ist aus Kunststoff daher keine Kurzschlussgefahr). Die Plattenperformance ist nicht so gut, geht aber.

    Ich habe einen Raspberry Pi 3 der als zweiter Pi-Hole Server läuft. Der wirkt etwas flotter als meine Ubuntu-VM, aber es geht. Meinen bisherigen "Server" (normaler Windows PC) kann ich jetzt theoretisch einmotten und habe es besser als zuvor.



  • @blinz said in Site to Site VPN zwischen pfSense und Fritzbox - Tunnel steht aber keine Daten gehen durch:

    Da die CPU aber AES-Beschleunigung bietet, pfSense diese laut eigener Anzeige (nach manueller Aktivierung) auch nutzten kann und laut meinem Gedächtnis OpenVPN diese ab Werk nutzt sicherlich einiges.

    Wenn man OpenVPN einsetzt, wird OpenVPN/OpenSSL automatisch die Möglichkeiten der CPU bzgl. AES-NI nutzen.
    Die Aktivierung des Moduls AES-NI betrifft IPsec. Es ist also für die OpenVPN-Leistung ohne Belang ob der
    Modul AES-NI geladen ist.



  • @gladius
    In Advanced > Miscellaneou sollte AES-NI schon aktiviert werden, damit es genutzt wird.

    Ich zittiere aus https://www.netgate.com/docs/pfsense/hardware/cryptographic-accelerator-support.html:
    "Others, such as AES-NI or glxsb on ALIX require choosing the appropriate module under System > Advanced on the Miscellaneous tab. Choose the appropriate module to match the hardware for Cryptographic Hardware and then Save. The module will be loaded and available immediately."



  • Ich habe in einem anderen Thema die Leistung von OpenVPN auf meiner Hardware ausgiebig getestet und ich stehe
    zu meiner Aussage:

    OpenVPN/OpenSSL ist es egal ob der Modul AES-NI geladen ist oder nicht. Wer etwas mehr Leistung mit OpenVPN
    erreichen will sollte AES-GCM statt AES-CBC nutzen.



  • Abschließend von mir zum Thema OpenVPN und AES-NI stelle ich eine Bemerkung von
    pfSense (pfsense-ivork) in den Raum und beziehe mich auf diese Internetquelle:

    https://www.reddit.com/r/PFSENSE/comments/7931o7/pfsense_241_crypto_question

    "OpenVPN uses AES-NI automatically if the CPU is compatible."



  • Hallo zusammen,

    habe mich dazu entschieden noch eine pfsense aufzusetzen und dann das VPN aufzubauen. Das mit der Fritzbox geht mir etwas auf die Nerven :).


  • Moderator

    @gladius said in Site to Site VPN zwischen pfSense und Fritzbox - Tunnel steht aber keine Daten gehen durch:

    Abschließend von mir zum Thema OpenVPN und AES-NI stelle ich eine Bemerkung von
    pfSense (pfsense-ivork) in den Raum und beziehe mich auf diese Internetquelle:

    https://www.reddit.com/r/PFSENSE/comments/7931o7/pfsense_241_crypto_question

    "OpenVPN uses AES-NI automatically if the CPU is compatible."

    Da bezieht sich ivor aber auf eine ganz andere Fragestellung. Es bleibt aber festzuhalten, dass bei den RC Tests zu Beginn von 2.4 bereits klar gestellt wurde, dass das beste Geschwindigkeitsverhältnis mit der damaligen OVPN 2.4 Version mit geladenem AES-NI UND Cryptodev Modul erreicht wurde. Dazu gab es im RC Thread auch mehrere Benchmarks die das klar belegt haben, dass die Kombination von beidem am Sinnvollsten ist.

    Die Bemerkung dass OVPN via OpenSSL das ganze selbst aussucht ist aber korrekt, da OVPN hier kein Kernelspace nutzt sondern via Software und OpenSSL das selbst feststellt und nutzt. Auch sollte man - wenn man beide Enden kontrolliert und aktuelle OVPN Versionen laufen - beide mit GCM lösen, was nochmal Performance rauskitzeln kann :)

    Haben also (fast) alle mit allem recht ;)



  • @jegr said in Site to Site VPN zwischen pfSense und Fritzbox - Tunnel steht aber keine Daten gehen durch:

    Auch sollte man - wenn man beide Enden kontrolliert und aktuelle OVPN Versionen laufen - beide mit GCM lösen, was nochmal Performance rauskitzeln kann :)

    Diese Erfahrung habe ich bei meinen Tests auch gemacht. Weitere Infos dazu.

    Als Randbemerkung folgender Fakt:
    OpenVPN/TUN/TCP lieferte bessere Werte bei meinen Tests als OpenVPN/TUN/UDP. Dafür habe ich keine Erklärung.