OpenVPN auf Alix2D13 - welche Settings sind optimal?



  • Hallo!

    System: Alix2D13 mit 2.2-RELEASE (i386)

    Ich habe hier einen Road Warrior-Zugang mittels OpenVPN realisiert und kann mich auch sowohl mit iPhone als auch von einem Win7-PC verbinden.
    Zugriff auf verschiedene Rechner im Heimnetz funktioniert - teilweise ;)

    Ich kann problemlos ewig in verschiedenen Web-GUI's (pfSense, NAS, vdr) "rumwerkeln", sobald aber ein realer Download durchgeführt werden soll hängt sich das System für einige Zeit fast auf.
    Es geht dann zwar irgendwann weiter, der Download bricht aber immer ab.

    Beispiel:
    Ich kann problemlos das Web-GUI meines Raspberry-Pi mit Kameramodul erreichen und das Vorschaubild wird auch zügig aufgebaut. Sobald ich aber ein aufgenommenes Bild ansehen möchte und der Download startet, so bricht der Download irgendwann mittendrin ab (Datei ca. 2MB groß).

    Das Gleiche passiert wenn ich einfach mal testweise eine mp3-Datei vom NAS kopieren möchte - nach 80% ist Ende.

    Hier mal die Config von OpenVPN auf dem Win7-Rechner:

    dev tun
    persist-tun
    persist-key
    cipher AES-128-CBC
    auth SHA1
    tls-client
    client
    resolv-retry infinite
    remote xxxxxxx.xxxx.xx 1195 udp
    lport 0
    verify-x509-name "vpnuser" name
    auth-user-pass
    pkcs12 pfSense-udp-1195-vpnuser.p12
    tls-auth pfSense-udp-1195-vpnuser-tls.key 1

    Was kann ich hier evtl. optimieren? Mein Upload aus dem Heimnetz liegt bei ca. 500kB/s - da sollte doch eine 2MB-Datei halbwegs schnell zu übertragen sein.

    Welche Einstellungen bzgl. OpenVPN sind für die Alix-Boards zu empfehlen?

    Vielen Dank für jegliche Hilfe!



  • Hallo!

    Hast du die Hardwareverschlüsselung am Server aktiviert?

    Erst in
    System: Advanced: Miscellaneous
    den Wert für "Cryptographic Hardware" auf "AMD Geode LX…" setzen.
    Dann in der OVPN Server Konfig. bei "Hardware Crypto" auf Hardwarecrypto umstellen.

    Grüße



  • Danke!

    Hardwareverschlüsselung war natürlich nicht aktiviert. Hab da jetzt die AMD Geode-Option ausgewählt.
    Im OpenVPN-Server hab ich bei "Hardware Crypto" die Option "BSD cryptodev engine - RSA, DSA, DH" gewählt.

    Nun muß ich sicherlich mit dem Client Export Utility ein neues Paket exportieren, oder?
    Kann ich evtl. die OpenVPN-config hier per Hand anpassen?

    Gruß!



  • Was mir jetzt noch in deine Client-Konfig auffällt: Keine Komprimierung aktiviert.

    Am Server bei Compression "Enabled with Adaptive Compression" einstellen und dann die Client-Konfig exportieren.

    Grüße



  • OK, ich werd's später versuchen.

    Danke!



  • Hi bax2000,
    wie das mit der BSD cryptodev engine nachträglich funktioniert, kann ich Dir auch nicht sagen.
    Ich habe das immer gleich anfangs aktiviert.
    Das wirst Du aber merken wenn nichts mehr geht… ;)
    Ob das von Dir geschilderte Problem aber damit zu tun hat, ist ein anderes Kapitel.
    Das klingt mir ganz nach zu hohem MTU-Wert......
    Du betreibst den Tunnel sicher mit der original Konfiguration MTU 1500.
    Sollte das Problem weiter bestehen, stelle die mal beidseits auf MTU 1300. wenn es dann funktioniert, arbeitest Du Dich dann wieder langsam Richtung 1500 hoch. Den höchsten, noch funktionierende MTU-Wert, verwendest Du dann.
    Gruß orcape



  • Ja, an den MTU-Werten hab ich sicherlich nicht "rumgedreht".
    Auf der pfSense werde ich diese Settings schon finden, aber wo muß ich das auf der anderen Seite (OpenVPN Win7) einstellen?

    Gruß!



  • Hi,
    auf der pfSense unter Advanced Settings in der OpenVPN-Server Config…

    MTU=1300
    

    ..eingeben und abspeichern.
    Winblows habe ich null Ahnung… ;D
    ...hab´ Dir´s trotzdem mal herausgesucht, die Pfade zur Config sind je nach 32 / 64 bit unterschiedlich.
    Auf der Seite ganz unten...
    https://www.cms.hu-berlin.de/de/dl/netze/vpn/openvpn_old/windows7
    ..direkt in die Client.config eintragen und abspeichern.
    Muss überein stimmen, sonst kein Tunnel…
    Gruß orcape


Log in to reply