Open-VPN auf APU zu langsam.
-
So generell
Is ipsec im site2site Bereich wirklich openVpn vorzuziehen. -
Das war neu ein Teil der Antwort, die ich brauche.
Stelle B sitzt hinter einem NAT und kann von außen nicht erreicht werden. Sie kann aber überall hin verbinden.
Nur Seite A ist über ihre öffentliche IP auch direkt ansprechbar.
Also wird die Verbindung nur gehen, wenn Seite B sie initiiert. Geht das?
-
@bitboy0
Ich habe hier auch einen IPSec Router hinter der pfSense. Folgende Weiterleitungen musste ich dafür einrichten:- TCP/UDP WAN address Port 500 > IPSec-Host Port 500
- ESP WAN address > IPSec-Host
- UDP WAN address Port 4500 > IPSec-Host Port 4500
Das war der ganze Zauber.
-
@noplan said in Open-VPN auf APU zu langsam.:
Is ipsec im site2site Bereich wirklich openVpn vorzuziehen.
Man liest es immer wieder, auch von Netgate selbst.
Ich habe hier eine OpenVPN site-to-site für Backupzwecke, die ist langsam, soll aber gar nicht schneller sein, damit sie mit die WANs nicht zu sehr belastet.
-
@bitboy0
Richte zB dyndns auf B ein und fertig -
@viragomann said in Open-VPN auf APU zu langsam.:
Man liest es immer wieder,
Naja no denn
OpenVpn f die nomadic user und f site2site ipsec auch fein paaaasssst auch -
-
Is doch so... Die User die da draußen herumziehen und sich ins geheiligte corporate net verbinden.... ;)
HomeOffice kriegt bei uns jetzt eine apuBox und einen TPlink Switch zwecks der Trennung home & firma
-
;) Also absichtlich OVPN nutzen um den Traffic zu beschränken? ;)
Also noch Mal ... Site B ist nicht unser Netz und wir können dort keinen Port weiterleiten. DynDNS wird sicher gehen.
Können wir mit DynDNS, aber ohne Ports auf Site B ankommend zu öffnen oder weiterzuleiten, mit IPsec-Site2Site arbeiten?
-
Was hängt auf B vor der pfS?
Wenn das Modem whatever alles an die pfS weiterleitet dann kein Problem sonst musst du ein port weiterleiten von modem an pfSWie machst dyndns ohne auf das Modem zu greifen oder was da halt vor der pfS hängt
Die Verbindung von B z A aufbauen geht manchmal aber das kostet dich in der Wartung mehr Nerven als gut ist.
-
Ich kann dort nichts weiterleiten , weil das so ein sharedb Büro ist und da macht der Admin nichts dergleichen. und dyndns macht ich über ein eigenes Skript über ein Debian auf site A. Da bin ich Herr über den DNS. Also Aufbau muss zwingend von b nach a sein. Das war der Vorteil von openvpn, dass das bei b weder eine IP noch ankommende Ports nötig waren.
-
Das hab ich vermutet
Hatte sowas auch hab dann an unserem zugewiesenen Netzwerk anschl. Eine pfS box APU Box hingeklemmt und an die unseren switch geknalltSomit war unser Netz sauber
Zwar doppeltes NAT und eine kranke private IP aber was sollsKann dir jetzt nicht sagen obwir ports weitergeleitet bekommen haben oder ob wir on demand aufgebaut haben (was ich eher glaub)
Ich weiß nur das wir so ziemlich viel von unserem Netz ferngehalten haben -
@noplan said in Open-VPN auf APU zu langsam.:
So generell
Is ipsec im site2site Bereich wirklich openVpn vorzuziehen.Nö. Einfach Nö. Frag mal Leute die IPSec aus dem FF kennen bzw können müssen. Keine Sau will freiwillig IPSec.
Ist es schneller? Klar, Kernel vs User. Außerdem mehr Stellen für Multicore optimiert. Daher nicht so single core bound. Ist es besser? HELL NO! Es fuckt einen tierisch ab, wenn man jedes verdammte Mal wenn man einen dummen S2S Tunnel braucht erstmal diplomatische Beziehungen zur Gegenseite aufbauen muss um zu verhandeln, welche Einstellungen, welche Netze in P2, welche Features die abgefuckte Hardware unterstützt (in fucking 2020!) etc. etc. drekct.
Ich habs so satt (und bin krank und angepisst - daher mal so Rüde ausgedrückt).DAS ist der Scheiß Grund warum alle wie die Idioten auf Wireguard abgehen und mir ein Ohr abkauen deshalb. Weil WG dann (wenn es FERTIG ist) auch Kernel ist - daher schnell - und einfach konfiguriert werden soll (hopefully). Für Roadwarrior find ichs trotzdem schlecht weil auth etc ziemlich matsch ist. Aber S2S kann das echt was werden.
Aber deshalb mag keiner IPSec! -
Jop das war mir klar
Die diplomatische Beziehung kürzen wir immer ab weil wir nur Boxen aus unserer IT Diktatur verwenden ;)
Und ja du hast recht
-
Ich bin mit meinem Tunnel Netgate to Netgate mega zufrieden, das läuft in Hardware und man merkt nix das die Leitung gerade voll ausgelastet wird wenn ich ein NAS Backup fahre.
Wenn es also um reine Performance geht, du beide Endpunkte kontrollierst und du weißt was zu tun ist, ist IPSec auf kein Problem und in wenigen Minuten eingerichtet.
Wenn du das mit einem default Admin machen sollst, ohje. Aber mit so jemandem ist sehr viele mit ohje zu umschreiben.
Teste es doch einfach.
-
@NOCling said in Open-VPN auf APU zu langsam.:
Ich bin mit meinem Tunnel Netgate to Netgate mega zufrieden
Und ab da kannst du dir auf die Schulter klopfen und dich freuen :) Leider ist in der häufig anzutreffenden realen Welt/Szenarien die andere Seite meist HerstellerXYFuckUPFirewall23 der IPSec aus Jux und Dollerei gerade wieder mal Feature X ein- dafür aber Feature Y ausgebaut hat. ARGH.
Wenn es also um reine Performance geht, du beide Endpunkte kontrollierst und du weißt was zu tun ist, ist IPSec auf kein Problem und in wenigen Minuten eingerichtet.
Agreed :)
Und sorry über den IPSec Rant, aber es kotzt auf Dauer einfach nur an ;)
-
So viel Ärger haben wir mit unseren zentralen Tunneln gar nicht, die Einrichtung mag das einen oder andere mal interessant sein, je nach Qualität des Mitarbeiters der Gegenstelle.
Aber wenn die mal laufen, dann laufen die bei uns und der einen oder andere rostet so langsam in der config fest.
-
@viragomann said in Open-VPN auf APU zu langsam.:
ESP WAN address
Also Wireguard wäre mutmaßlich dafür gut weil schnell und einfacher zu implementieren. Gibts bei OpenSense, aber auf unbestimmte Zeit nicht bei PFSense.
IPsec will am besten feste IPs und auf beiden Seiten offene Ports
OpenVPN ist weniger anspruchsvoll bei der Config, funktioniert zuverlässig und ist nie so schnell wie man es gerne hätte.@JeGr Wann genau ist WireGuard fertig? ;)
-
@bitboy0 said in Open-VPN auf APU zu langsam.:
funktioniert zuverlässig und ist nie so schnell wie man es gerne hätte.
ja da kann ich zustimmen !
bei IPsec haben wir mit dynamischen Adressen auch so unsere problemchen ...
wusste gar nicht das wir fast alles von IPsec auf openVPN umgestellt haben ... -
Hmm, ihr habt dann kein IKEv2 mit Mobike eingerichtet oder?
Habe hier ja auch immer wieder mal eine neue IP und auf beiden Seiten Dyndns, seit Einrichtung läuft der Tunnel wenn mir nicht mal wieder die Cabel Strecke zum CMTS um die Ohren fliegt.
Aber es kann auch an der Sense liegen, die das einfach sauber umsetzt und nicht son Gurken GW representiert.
