Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    OpenVPN DCO in OpenVPN 2.6

    Scheduled Pinned Locked Moved
    Allgemeine Themen
    2
    5
    873
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • JeGrJ
      JeGr LAYER 8 Moderator
      last edited by JeGr

      Anfang Dezember ist aktuell noch das erste main Release von OpenVPN 2.6 geplant:
      Status of OpenVPN 2.6

      Dort wird dann (hoffentlich) OpenVPN DCO für Clients und Server zur Verfügung stehen. Ein erster Backport davon ist in pfSense Plus 22.05 aktuell schon enthalten für die Serverseite, aber aktuell noch ein wenig buggy. Zusätzlich gibt es einige Drawbacks die nicht konfiguriert werden können bei Nutzung von DCO:

      • andere cipher als AES-GCM oder CHACHA20-POLY1305 (kein großes Problem)
      • compression oder compression framing (auch kein Drama)
      • fragmentation (muss man sich ansehen)
      • TAP mode (das WILL auch niemand!)
      • andere Topologien außer subnet (also net30 o.ä. - braucht man heute IMHO ebenfalls nicht mehr)
      • traffic shaping (von OpenVPN selbst)

      Dafür steht dann aber ggf. wesentlich mehr BUMM zur Verfügung. Erste performance Werte auf virtuellen Testsystemen sehen sehr vielversprechend aus:

      DCO with Windows Client
      DCO with Linux

      Ob und wie gut das dann in FreeBSD umgesetzt wird muss sich zeigen. Es macht aber heute zu 2.5 Zeiten schon Sinn, bei Windows Clients bspw. auf den neuen wintun Treiber umzustellen, und wenn die Gegenstelle später mit DCO läuft sieht man dort schon ohne 2.6er Client einen ordentlichen Sprung nach vorn. Mit angepasstem DCO Client unter Windows dann nochmal mehr, so dass wir über das Gigabit herauskommen können.

      Auch Tunnel/Client-Server unter Linux sehen hier wesentlich spannender aus mit annähernd 3Gbps erreichbarer Leistung wäre das für viele mehr als genug um in kleineren Setups mit OpenVPN ähnliche Werte wie IPsec oder Wireguard erreichen zu können aber mit der Flexibilität, die OpenVPN zur Konfiguration mitbringt (bspw. MultiWAN steuerbar, Redundanz, Einwahlreihenfolge/Balancing, User-Auth, etc.)

      Man darf gespannt sein :)

      Cheers

      (Quelle der Bilder: https://openvpn.net/blog/openvpn-data-channel-offload/)

      Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

      If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

      Bob.DigB 1 Reply Last reply Reply Quote 1
      • Bob.DigB
        Bob.Dig LAYER 8 @JeGr
        last edited by

        @jegr Wobei JimP hier meinte, dass es nicht auf die Gegenseite ankommt. Und ich kann dem zustimmen, es wurde bei mir auch mit den PrivacyVPN-Verbindungen einfach in der Sense genutzt. Nur als die Option ganz neu war, gab es bei bestehenden Tunneln noch Probleme, aber das ist gelöst.
        Dass die "Community" Clients auch bald davon profitieren können, ist natürlich trotzdem nett, ich bin inzwischen komplett weg von OpenVPN.

        JeGrJ 1 Reply Last reply Reply Quote 0
        • JeGrJ
          JeGr LAYER 8 Moderator @Bob.Dig
          last edited by

          @bob-dig said in OpenVPN DCO in OpenVPN 2.6:

          Wobei JimP hier meinte, dass es nicht auf die Gegenseite ankommt

          Wo hab ich was von ankommen auf der Gegenseite geschrieben? ;)
          Es ist asymmetrisch, es muss nicht auf der Gegenseite gesetzt sein, sondern kann wie in der Grafik zu sehen entweder auf Client oder auf Serverseite laufen. Gepusht o.ä. wird hier nichts, das würde der Technik zuwiderlaufen. Es gab/gibt allerdings mitunter noch Problemchen bei der Einwahl mit DCO enabled, dass nur der erste Clients sauber funktioniert hatte und man die restlichen selbst NAT/routen musste damit die gehen, aber das sollte spätestens mit dem nächsten Release gefixt sein. Es ist auch noch experimentell in 2.5 daher ist das auch eher ab 2.6 relevant und das soll - wenn alles gut läuft - Anfang Dezember droppen und könnte dann vllt. bereits in 23.01 mit integriert werden.

          Gerade da OVPN wesentlich flexibler ist als andere Lösungen wird das mit 2.6 schon recht spannend :)

          Cheers

          Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

          If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

          Bob.DigB 1 Reply Last reply Reply Quote 0
          • Bob.DigB
            Bob.Dig LAYER 8 @JeGr
            last edited by

            @jegr Overview of changes in 2.6

            Data channel offloading with ovpn-dco
            2.6.0+ implements support for data-channel offloading where the data packets are directly processed and forwarded in kernel space thanks to the ovpn-dco kernel module. The userspace openvpn program acts purely as a control plane application. Note that DCO will use DATA_V2 packets in P2P mode, therefore, this implies that peers must be running 2.6.0+ in order to have P2P-NCP which brings DATA_V2 packet support.

            Also scheint es da doch ein paar dependencies zu geben.

            Mit war und ist OpenVPN leider zu kompliziert, aber wenn ich es mal wieder brauche, werde ich hier fragen. 😉

            JeGrJ 1 Reply Last reply Reply Quote 0
            • JeGrJ
              JeGr LAYER 8 Moderator @Bob.Dig
              last edited by JeGr

              @bob-dig said in OpenVPN DCO in OpenVPN 2.6:

              Also scheint es da doch ein paar dependencies zu geben.

              Ich versteh nicht ganz was die das mit dem zitierten Block zu tun hat. Meine Aussage ist relativ klar, was das angeht. Es bringt IMMER etwas (siehe Grafik) aber am meisten, wenn es bidirektional eingesetzt wird. Was ist daran jetzt eine große Abhängigkeit? Jede Seite braucht OVPN 2.6 und das gibts aktuell noch nicht. 🤔

              Mit war und ist OpenVPN leider zu kompliziert, aber wenn ich es mal wieder brauche, werde ich hier fragen. 😉

              Das hatten wir schon mehrfach und das ist sicherlich ein Thema für dich, aber es passt halt auf - subjektive Behauptung - 90% des Rests nicht. Wireguard mag ein nettes Spielzeug sein wenn man allein dran rumbastelt aber wenn die Szenarien komplexer werden ist es eben nicht einfach / gut einsetzbar. Und IPsec ist für Einwahl immer noch unnötig komplex und eingeschränkt. Daher ist OpenVPN da schlicht der way-to-go. Was an simplem Tunnel oder Einwahl komplex sein soll muss ich nicht verstehen, aber dein spezifisches Setup fällt da auch nicht rein und das als Vergleich anzulegen passt eben - wie gesagt - für den Rest hier so gut wie nicht. :)

              Cheers

              Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

              If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

              1 Reply Last reply Reply Quote 1
              • First post
                Last post