Peer to peer OpenVPN verstopft



  • Hallo,

    ich hab hier zwei PfSense mit OpenVPN Peer-To-Peer AES-256-CBC PSK UDP verbunden. Leider geht zumindest von der Server-Seite zeitweilig nicht mehr viel durch. SSH geht dann noch, aber z.B. HTTP geht dann nicht mehr. Dagegen hilft einfaches warten oder auch mitunter ein Neustart von OpenVPN auf der Client-Seite. Ein Speed-Test zeigt keine Auffälligkeiten. Die einzige Auffälligkeit in den Logs findet sich auf Server-Seite:

    Authenticate/Decrypt packet error: bad packet ID (may be a replay)
    

    Der konkrete Netzaufbau:
    pfSense Server -> Router Server -> Internet <- Router Client <- pfSense Client

    Hat jemand ne Idee woran das liegen könnte? Was ich wohl mal probieren würde wäre auf der Client-PfSense einen festen Port einzustellen und auf dem Router eine Portweiterleitung darauf einzurichten.



  • @iam:

    Was ich wohl mal probieren würde wäre auf der Client-PfSense einen festen Port einzustellen und auf dem Router eine Portweiterleitung darauf einzurichten.

    Würd wohl nichts bringen, da die Client-PfSense hinter einem DS-Lite ist (private IPv4).



  • Tja man sollte halt schon auch die MTU anpassen  ;)

    Scheint so als wärs das gewesen.



  • Servus,
    hatte sich das Problem damit erledigt? Ich habe hin und wieder auch entsprechende Meldungen im Log. Ein MTU-Test ergibt:

    NOTE: Empirical MTU test completed [Tried,Actual] local->remote=[1600,1600] remote->local=[1600,1600]

    Welche Leitungen wurden bei dir genutzt?

    Grüße



  • Ja bei mir war es damit erledigt. An der Server-Seite habe ich einen DSL-Anschluß, die Clientseite wird über einen Kabelanschluß versorgt.



  • Danke für die Antwort. Hattest Du zuvor einen MTU-Test gemacht und wenn ja, was hat der ergeben? Ich habe mal ein wenig gespielt und bei MTU 1472 geht nur noch die hälfte der Übertragungsleistung via SMB durch. Also nur noch 5 statt 10 MByte/sec. Mit den Pings habe ich ab 1473 kompletten Verlust, bis 1472 alles schön.

    Man liest recht selten davon, die MTU-Einstellungen verändern zu müssen. Gibts da einen Automatismus in OpenVPN für die MTU-Einstellungen?



  • Nein, einen Test habe ich nicht gemacht, da die Gegenheiten aus dem verlinkten Thread ja eigentlich gleich zu meinen waren. Und mit der link-mtu von 1432 bin ich ja auch gut gefahren, daher sah ich bis jetzt keine Veranlassung doch mal einen Test zu machen.

    Einen Automatismus für die Anpassung der MTU gibt es es meines Wissen nicht, es wird immer für tun-mtu der Wert 1500 genommen. tun-mtu berücksichtig anders als link-mtu nicht den Overhead des Tunnels, weshalb der Wert eigentlich immer zu hoch ist. Dementsprechend ist es schon paradox, daß das Thema MTU so selten Erwähnung findet.



  • Hi,

    Dementsprechend ist es schon paradox, daß das Thema MTU so selten Erwähnung findet.

    Da kann ich Dir nur recht geben.
    Die Standarteinstellung von 1500 sollte man nicht beibehalten, obwohl sich bei geringerer MTU-Größe meist die Logs beschweren.
    Ist wohl auch immer die Server-/Client-seitige DSL-Anbindung entscheidend, ob Probleme auftreten oder nicht.
    Ich hatte z.B. Tunnel über 2 Jahre mit MTU 1500 laufen, bis Clientseitig die DSL-Technik wechselte.
    Erst dann traten hier Probleme auf.
    Wobei ich in diesem Fall von MTU 1500, sogar bis auf MTU 1342 korrigieren musste, bis alles problemlos lief.
    Gruß orcape