VPN Problem CARP NAT & Durchsatz



  • Hallo,

    ich bin noch recht frisch auf der pfSense unterwegs, teste viel aus, und es gefällt mir immer besser =)

    Aktuell habe ich zwei Probleme zu denen ich noch keine Lösungen gefunden habe und hoffe da auf nen Tipp:

    A) CARP bei IPSeC IKEv1
    Das Carp steht und die Kommunikation funktioniert über die virtuellen IP's für normales Routing/Firewall, OpenVPN sowie IPSeC IKEv2 Tunnel. Nur der IKEv1 Tunnel kommuniziert weiterhin über die normale WAN Adresse. Die pfSense ist 2.4.5-RELEASE-p1. Ist das ein bekanntes Problem oder Limitierung?

    B) IPSeC Durchsatz
    Ich nutze zum Test zwei Systeme auf esxi Basis die über das Internet verbunden sind. System 1 hat einen Upload/Download über die pfSense von 930 Mbit. System 2 hat einen Download von 450Mbit und Upload von 280Mbit über die pfSense. Über einen IKEv2 Tunnel bekomme per FTP jedoch im Schnitt nur auf 12Mbit durch den Tunnel.

    Aus esxi Sicht langweilen sich die Systeme. Die Verschlüsselung habe ich bereits angepasst auf folgende Parameter für p1&P2: AES128-GCM (128 Bits)/SHA256/Group15 (3072 bit) (AES-XCBC ebenfalls getestet). AES-NI ist aktiviert. https://docs.netgate.com/pfsense/en/latest/vpn/scaling.html bin ich bereits durchgegangen

    Zu Performance Problemen mit esxi finde ich viel aber da der allgemeine Durchsatz gut ist gehe ich eher von VPN spezifischen Parametern aus. Hat da jemand noch einen Tipp oder Link auf dem ich weitere Info's finde?

    MfG


  • LAYER 8 Moderator

    @KerioNet said in VPN Problem CARP NAT & Durchsatz:

    A) CARP bei IPSeC IKEv1
    Das Carp steht und die Kommunikation funktioniert über die virtuellen IP's für normales Routing/Firewall, OpenVPN sowie IPSeC IKEv2 Tunnel.

    Hat zwar nichts mit IPsec zu tun, aber welche IP genutzt wird, bestimmen entweder oubound NAT oder das ausgewählte Interface und ja, die CARP IP ist ein eigenes Interface.

    Nur der IKEv1 Tunnel kommuniziert weiterhin über die normale WAN Adresse. Die pfSense ist 2.4.5-RELEASE-p1. Ist das ein bekanntes Problem oder Limitierung?

    Bei IPsec wählst du an Hand des Interfaces selbst ob du auf WAN oder die VIP bindest. Wenn es falsch eingestellt ist, ist es dein Fehler :)

    System 2 hat einen Download von 450Mbit und Upload von 280Mbit über die pfSense. Über einen IKEv2 Tunnel bekomme per FTP jedoch im Schnitt nur auf 12Mbit durch den Tunnel.

    Warum ausgerechnet FTP? Grausames Protokoll...
    12 Mbps wenn korrekt ist aber unterirdisch und je nach Hardware sicher ein Problem woanders. Da du aber nicht konkret schreibst was wo wie miteinander verbunden ist und von wo nach wo gemessen, ist das schwierig zu raten. Wir wissen außer IKE2 nichts über den Tunnel, die Gateways an beiden Enden, die HW etc. Aber 12Mbps wären grade mal 1,5MB/s - da ist sicherlich entweder irgendwo Netz, Interface, MTU oder Konfiguration das Problem.

    Gruß



  • Hallo JeGr,
    vielen Dank für das Feedback.
    Zu Punkt A hast du wahrscheinlich Recht. Ich sehe gerade das ich im VPN Profil das normale WAN Interface ausgewählt habe. Für die anderen IKEv2 Tunnel reicht es anscheinend das der Outbount NAT Eintrag gesetzt ist aber v1 will nicht. Werde das Morgen umsetzen und testen.

    Die Hardware für den Test sind zwei Lenovo SR650 Systeme mit esxi 7 und 6.7, die aktuell keine weitere Aufgabe haben. Die pfsense haben jeweils 4 core's & 12 GB HSP, die sich langweilen. Die Verbindung besteht zwischen 2 Rechenzentren und die pfSense hängen mit eigenen öffentlichen Adresse direkt am Uplink. Parallel habe ich ein VPN auf Sonicwall Basis zwischen den Standorten mit dem ich auf 80Mbps komme, das liegt dort an der Hardware das nicht mehr geht. Aus diesem Grund würde ich äußere Faktoren vorerst auschließen wollen.
    Welche Info's würden noch helfen ? Gibts es vll. eine Art "best practise" pfsense auf esxi?"

    MfG


  • LAYER 8 Moderator

    @KerioNet said in VPN Problem CARP NAT & Durchsatz:

    Für die anderen IKEv2 Tunnel reicht es anscheinend das der Outbount NAT Eintrag gesetzt ist aber v1 will nicht. Werde das Morgen umsetzen und testen.

    Das dürfte dann eher ein Glitch o.ä. sein, wichtig ist, dass da alles auf dem CARP IF eingestellt ist und nichts auf dem WAN was da nicht gezielt hin soll. Ansonsten hast du später irgendwo ein potentielles Split-Brain

    Welche Info's würden noch helfen ? Gibts es vll. eine Art "best practise" pfsense auf esxi?"

    Müsste man in der Doku nochmal nachlesen, da gab es zu ESXi ein zwei Hinweise, die sich aber meist auf promiscious mode bei vSwitchen/dSwitchen etc. bezogen.
    Ansonsten sollte das eigentlich mit VMXnet und paravirt etc. sauber laufen, das OpenVM-Tools Package noch installieren und die CPU sollte richtig durchgereicht erscheinen (also entsprechende CPU Options wie AES-NI erkannt werden).

    Zusätzlich - wenn ich das richtig lese sind auf beiden Seiten pfSensen? - sollte dann das VPN zwischen der Location das du testest ncah Möglichkeit optimal konfiguriert sein. AES-GCM und XCBC wären da sicher zu bevorzugen. Zum Messen müsste man dann jeweils auf Clients/Servern hinter den beiden Seiten noch sowas wie iperf haben, damit man eine vernünftige Messung über die Gateways drüber machen kann.

    Beide Seiten sind dann virtuell oder wie kann man sich das vorstellen?



  • Wie ist denn die Latenz zwischen den beiden Clients über die pfsense?

    Denn je nach Protokoll ist dieses mehr oder weniger Problematisch für die Bandbreite.
    Die Windowsize wird zwar inzwischen oft gut mit skaliert aber das macht sich immer noch sehr negativ bemerkbar.

    Über mein VPN konnte ich im Urlaub mit SMB auch nur 10-12 MBit nutzen.
    FTP mit 10 Streams konnte den Tunnel dann auslasten.

    Also auch ruhig im iperf mehrere gleichzeitig testen.


Log in to reply