OpenVPN Performance verbessern?



  • Hi zusammen,

    Ich habe vor einiger Zeit OpenVPN aufgesetzt und alles relativ auf default gelassen. In letzter Zeit höre ich öfter Berichte, dass beim Zugriff auf Windows Shares über VPN Probleme auftreten wie lange Ladezeiten oder dass der Windows Explorer beim Versuch auf nen Share zuzugreifen nach zu langer Ladezeit abschmiert.

    Meine Config:

    • DH Parameter Length: 2048 bit
    • Encryption Algorythm: AES-256-CBC(256bit, 128bit block)
    • Enable NCP
    • Auth Digest Algorythm: SHA1
    • Hardware Crypto: No Hardware Crypto Acceleration
    • Compression: Omit Preference

    Gibt es irgendetwas was man einstellen könnte um die Performance zu verbessern? Oder habe ich irgendwas nicht konfiguriert was ich konfigurieren sollte?

    Bonus Frage: Jedes mal wenn sich von Zuhause jemand mit dem VPN verbindet und auf einen Windows Share zugreifen will, muss er sein Domain Passwort eingeben. Passwort speichern bringt nichts, beim nächsten Neustart müsste man es wieder eingeben. Gibt es eine Möglichkeit dies zu umgehen?

    Wäre cool wenn jemand helfen kann :)

    VG

    Ceo



  • @ceofreak said in OpenVPN Performance verbessern?:

    Gibt es irgendetwas was man einstellen könnte um die Performance zu verbessern?

    Wenn möglich AEAD ciphers nutzen.

    Ist die Hardware für OpenVPN zu schwachbrüstig?

    LG



  • Was ist AEAD?

    Nein, denke für paar concurrent Verbindungen sollte es locker ausreichen.


  • LAYER 8 Rebel Alliance

    Dein Problem und die Bonusfrage hängen zusammen.
    Das Verhalten welches du beschreibst ist normal, wenn der Client zur Authentifizierung einen DC sucht. Du musst deinen Clients wenn sie sich mit dem VPN verbinden einen DC als DNS Server pushen, im Optimalfall wäre das der Selbe den auch dein Windows Fileserver benutzt.
    Die Clients müssen den DC auf Port 53 TCP/UDP, 389 TCP/UDP und Port 445 TCP erreichen können/dürfen (Firewall Rules). Ggf. zum Debuggen erst mal den kompletten Traffic der Clients in Richtung DC erlauben.
    Falls das nicht schon hilft, mal den DC zum Testen fest als DNS Server im OpenVPN Interface eines Windows Client eintragen (TAP-Windows Adapter V9).

    -Rico



  • @rico Danke für ausführliche Antwort erstmal!

    Das Ganze ist etwas kompliziert bei mir.

    Die pfSense ist der lokale DNS Server der die Anfragen an den DC (offsite) mittels Domain Override weiterleitet.

    Daher bin ich mir nicht sicher, ob den DC als DNS eintragen etwas bringt.

    Die Ports, 53,389,445 müsste ich in den Firewall Rules von OpenVPN oder m LAN freigeben? Ich nehme an du meinst OpenVPN.

    EDIT: Sehe grade OpenVPN auto created rule auf OpenVPN Interface is sowieso ANY to ANY.

    Bis dann!



  • Ich habs gelöst.

    Es haben Phase2 einträge für das OpenVPN Tunnelnetzwerk gefehlt auf beiden Seiten (DC + Local Network).

    Jetzt funzt der Zugriff :)

    Vielen Dank anyways