(solved) Zugriff auf die pfsense per VPN seeehr träge



  • Nabend.

    Allen erst mal ein schönen dritten Advent.

    Möchte von ausserhalb per VPN auf die Sense zugreifen, leider ist die Bedienung und der Seitenaufbau sehr träge. Im Log, wenn mal aufgebaut, erschlägt mich diese Meldung:

    nginx: 2018/12/16 16:48:47 [crit] 16463#100501: *70663 SSL_write() failed (SSL:) (13: Permission denied) while processing HTTP/2 connection, client: 10.0.1.1, server: 0.0.0.0:443 
    
    

    Hat das was mit dem Zertifikat für die Webkonfiguraton zu tun? Ein SSH-Zugriff per VPN auf die pfsense funktioniert, sowie Zugriff auf alle anderen Applikationen hier im Intranet.

    Hier die Konfig falls wichtig:
    Telekom, 50er VDSL2 --> Draytec Vigor 130 Modem --> APU4B4 mit pfsense 2.4.4 --> Switch

    Eine "default allow to any" Regel ist für IPSec in den Rules hinterlegt.
    Die "Anti Logout rule" ist deaktiviert, komme vom jeden Interface (ausser WAN) in die Webkonfiguration.

    Kann leider keine Screenshots zaubern, baut die Seiten seltenst auf. Hat jemand eine Idee?

    Gruß, Mike


  • LAYER 8 Moderator

    @mike69 said in Zugriff auf die pfsense per VPN seeehr träge:

    Eine "default allow to any" Regel ist für IPSec in den Rules hinterlegt.

    Also Einwahl VPN via IPSEC? Oder wie darf das interpretiert werden? VPN ist vielfältig :)



  • @jegr said in Zugriff auf die pfsense per VPN seeehr träge:

    @mike69 said in Zugriff auf die pfsense per VPN seeehr träge:

    Eine "default allow to any" Regel ist für IPSec in den Rules hinterlegt.

    Also Einwahl VPN via IPSEC? Oder wie darf das interpretiert werden? VPN ist vielfältig :)

    Hmm... ja stimmt, die Info fehlt. Zugriff von aussen per IPSec auf die pfsense. Der Seitenaufbau der WebGUI kommt fast zum erliegen, dafür hagelt es die oben genannte Fehlermeldung.
    Ich mein, das lief schon mal geschmeidiger, ist schon bissl her und könnte unter pfsense 2.4.3 oder 2.3.4 gewesen sein. Bin schon lange nicht mehr von außerhalb auf den Router eingestiegen.


  • LAYER 8 Moderator

    Verstehe. Sorry, dann leider keine Idee. :/

    Einwahl-VPN mit IPSEC war uns irgendwann die Lebenszeit einfach zu schade zumal OpenVPN an der Stelle auf allen Plattformen einfach läuft während es mit (Mobile)IPSEC einfach ein graus ist, alles unter einen Hut zu bekommen. :)



  • @jegr

    Mit dem Zugang per IPSec gibt es bislang keine Probleme, ist das ein überhaupt ein Problem von VPN? Es sind ja Fehlermeldungen des HTTP-Servers.

    Bin gerade nicht zu Hause, Screenshots werden nachgereicht bei Bedarf.


  • LAYER 8 Moderator

    Wenn nur der Zugriff per VPN langsam/träge und zeitgleich der direkte Zugriff von innen bspw. relativ normal läuft, dann sieht es schon so aus, als wäre das VPN verantwortlich. Die Meldungen vom NGINX müssen dabei nicht die Ursache sein, sondern können auch Auswirkungen des Problems sein (träge Verbindung, Latenz/Lag, Langsame/Keine Antwort auf Verbindungspakete etc.)



  • @jegr

    Der Rest über VPN läuft ohne Komplikationen. Hatte gestern mit einem heimischen NAS und iperf mal die Traffic gemessen, 4Mbit/s down und knapp 1Mbit/s up, resultierend von unserem hiesigen lausigen D2-Netz. Zugriff mit einem Notebook auf ein Android Hotspot ins Vodafone-Netz.

    Alle anderen Seiten von der NAS (vpsinfo, phpmyadmin, adminer, etc...) ploppen gleich auf, Zugriff auf Freigaben per NFS oder SMB sind zügig abgearbeitet. Keine Ahnung was das soll.

    Update auf 2.4.4-1 brachte keine Verbesserung.
    Installierte Pakete sind:
    squid,
    lightsquid
    squidguard
    und seit gestern abend ACME.

    Limiter ist gesetzt für IPSec, 20Mbit/s down und 5Mbit/s up unter Rules/IPSec.
    Morgen hatter paar Tage frei, da kommen paar Screenshots der Einstellungen.

    edit: wie ändere ich die Signatur? Unter Profil, Einstellungen, oder wie?



  • Obwohl ich OpenVPN gegenüber IPsec für VPN bevorzuge, werde ich dem Problem mal nachgehen.
    Das Resultat kann ich aber nicht sofort liefern, weil ich mit pfSense/IPsec noch keine Erfahrungen
    gesammelt habe und ich mit Stolpersteinen rechnen muß.

    Zum Test werde ich Windows mit eingebautem VPN nutzen. Bis später.

    LG

    Nachtrag:
    Mit OpenVPN (Windows <-> pfSense) gibt es beim GUI-Zugriff die o. g. Probleme nicht.
    Das ist auch meine Erfahrung.


  • LAYER 8 Rebel Alliance

    Ich arbeite extrem viel und lange per OpenVPN auf der pfSense GUI und hatte noch nie irgendwelche Probleme.
    Weshalb bist du auf IPSEC fixiert?
    Ansonsten hört sich das irgendwie nach einem MTU Problem an würde ich aus der Ferne sagen.

    -Rico



  • Das artet ja in einem Glaubenskrieg aus.

    @rico said in Zugriff auf die pfsense per VPN seeehr träge:

    Weshalb bist du auf IPSEC fixiert?

    Bin ich nicht.
    Läuft mit Debian und Android oofb und bis jetzt keine Probleme. Und wie schon erwähnt ist der Zugriff auf andere Applikationen im Intranet problemlos möglich.

    Ob IPsec oder OpenVPN, mir egal. Hauptsache ich komme von aussen per VPN auf die Sense,.

    Da @Gladius den Beweis angetreten hat, daß es bei ihm unabhängig voneinander funktioniert, besteht hier die Chance bei Verwendung von OpenVPN daß es ebenfalls nicht klappt. Könnte es eventuell nicht an den VPN-Zugängen liegen?

    Werde mal OpenVPN einrichten, um die Fehler einzugrenzen.

    edith:
    Unglaublich, es funktioniert wieder. ☺
    Nix gemacht, nur hier zu Hause über ein Hotspot vom Mobilfunkanbieter eine VPN-Verbindung aufgebaut und es loooft als wäre nie was gewesen.

    Da hatte @JeGr wohl recht mit dem lausigen Funknetz

    @jegr said in Zugriff auf die pfsense per VPN seeehr träge:

    Wenn nur der Zugriff per VPN langsam/träge und zeitgleich der direkte Zugriff von innen bspw. relativ normal läuft, dann sieht es schon so aus, als wäre das VPN verantwortlich. Die Meldungen vom NGINX müssen dabei nicht die Ursache sein, sondern können auch Auswirkungen des Problems sein (träge Verbindung, Latenz/Lag, Langsame/Keine Antwort auf Verbindungspakete etc.)

    Dann kann der Thread als gelöst markiert werden. Danke an Euch für die Unterstützung.👍


  • LAYER 8 Moderator

    @mike69 said in (solved) Zugriff auf die pfsense per VPN seeehr träge:

    Das artet ja in einem Glaubenskrieg aus.

    Eher in Funktionsaussagen. IPSEC hatte m.W. schon immer seine Problemchen, gerade weil es auf FW Seite anders ansetzt als OpenVPN (mit eigenem Interface). Das komplette Routing etc. läuft hier anders ab. Da es auch bei Tunneln ja u.a. das Problem gibt, dass die Gegenseitigen Gateways mitunter ihre Probleme haben auf sich zuzugreifen. Es könnte also auch ein Seiteneffekt davon sein:

    https://www.netgate.com/docs/pfsense/vpn/ipsec/accessing-firewall-services-over-ipsec-vpns.html



  • Danke für den Tip, hab das mal umgesetzt. Wird ein bissl dauern mit dem Feedback.



  • @mike69 said in (solved) Zugriff auf die pfsense per VPN seeehr träge:

    Danke für den Tip, hab das mal umgesetzt. Wird ein bissl dauern mit dem Feedback.

    Hi @JeGr .
    Die Einstellung brachte keine Verbesserung, es liegt doch an der Verbindungsqualität des Mobilfunknetzes. Konnte diese obrigen Fehlermeldungen reproduzieren, Hotspot im Freien, hinter einer Glasscheibe, und im Keller war es logischerweise komplett tot. Sobald die Bandbreite zur Verfügung steht, ist alles tutti.



  • Diese Angelegenheit lässt mich einfach nicht in Ruhe.

    Habe endlich den Fehler gefunden, der sitzt nämlich vor dem Monitor.😁

    Es lag doch nicht an der Qualität des Mobilfunknetzes, der Zugriff auf die GUI per HTTP funktionierte überall einwandfrei, nur nicht über HTTPS. Hatte vor einer Ewigkeit das von pfsense generierte Zertifikat gegen ein eigenes ausgetauscht, im LAN alles Tutti, nur von aussen nicht.
    Also wie hier beschrieben ein neues Zertifikat erstellt mit der FQDN der pfSense in der Beschreibung und unter Common Name. Das war es, seitdem ist der Zugriff auf die WebGUI per VPN und HTTPS möglich.