Post by: lfirewall1243 on May 07, 2020, 08:51:17 pm
und zwar möchte ich 2 OPNsense per ipsec verbinden.
An dem einen Standort habe ich eine feste ipv4 Adresse und auf der anderen leider nur einen DSLite Anschluss wo man die ipv4 Adresse von außen nicht erreichen kann.
Ist das überhaupt machbar? und wenn ja was muss man da beachten?
Danke euch ;)
Post by: micneu on May 07, 2020, 09:32:46 pm
Gesendet von iPhone mit Tapatalk Pro
Post by: lfirewall1243 on May 07, 2020, 09:33:36 pm
Post by: lfirewall1243 on May 07, 2020, 09:34:32 pm
Post by: micneu on May 07, 2020, 09:35:08 pm
Gesendet von iPhone mit Tapatalk Pro
Post by: lfirewall1243 on May 07, 2020, 09:38:24 pm
Und jeweils eine 500/500 Leitung
Mehr als 25mbit sind nicht drin selbst ohne Verschlüsselung
Post by: lfirewall1243 on May 07, 2020, 09:46:50 pm
https://r.tapatalk.com/shareLink/topic?url=https%3A%2F%2Fforum%2Eopnsense%2Eorg%2Findex%2Ephp%3Ftopic%3D17086%2E0&share_tid=17086&share_fid=197904&share_type=t&link_source=app
Post by: micneu on May 07, 2020, 09:57:26 pm
Post by: lfirewall1243 on May 07, 2020, 09:58:43 pm
Post by: lfirewall1243 on May 07, 2020, 10:05:37 pm
Post by: micneu on May 07, 2020, 10:25:04 pm
Post by: lfirewall1243 on May 08, 2020, 06:17:27 am
Wir es mit ipsec denn schneller?
Post by: Hildi on May 12, 2020, 02:53:11 pm
- Büro: 1000MBit/s down, 50MBit up - öffentliche IP
- Home: 200MBit/s down, 50MBit up
IPSec-Performance extrem schwankend. An der Hardware liegt es nicht. Wenn ich beide Firewalls über einen Switch verbinde bekomme ich 200MBit/s mit AES256 durch.
Das Problem bei mir ist die MTU.
Büro -> Home: 2MBit/s
Home -> Büro: 20MBit/s
Wenn ich die Hart auf 1422 setzte bekomme ich in beide Richtungen 50MBit/s Durchsatz - so wie vom Provider versprochen. Allerdings habe ich dann massive Probleme mit iPads und anderen Geräten, die auch im Netz hängen und auf diversen Internet-Seiten nicht mehr funktionieren.
Ein weiterer Schlüssel bei der ganzen Sache scheint zu sein, das NAT-Traversal auf "Force" zu stellen.
Was mit auch noch nicht so ganz klar ist, ist wie das ganze mit den "Interface Scrubbing" der Firewall zusammen hängt.
Das sorgt wohl dafür, dass die "Do not Fragment"-Flags der IP-Pakete gelöscht werden und so Pakete automatisch fragmentieren... Aktuell vermute ich, dass das eher auf "Disabled" stehen sollte - sonst bekommen die Clients nicht mit, wenn sie zu große Pakete verschicken.
Post by: lfirewall1243 on May 12, 2020, 02:56:12 pm
Ich kämpfe gerade mit einem ähnlichen Setup:
- Büro: 1000MBit/s down, 50MBit up - öffentliche IP
- Home: 200MBit/s down, 50MBit up
IPSec-Performance extrem schwankend. An der Hardware liegt es nicht. Wenn ich beide Firewalls über einen Switch verbinde bekomme ich 200MBit/s mit AES256 durch.
Das Problem bei mir ist die MTU.
Büro -> Home: 2MBit/s
Home -> Büro: 20MBit/s
Wenn ich die Hart auf 1422 setzte bekomme ich in beide Richtungen 50MBit/s Durchsatz - so wie vom Provider versprochen. Allerdings habe ich dann massive Probleme mit iPads und anderen Geräten, die auch im Netz hängen und auf diversen Internet-Seiten nicht mehr funktionieren.
Ein weiterer Schlüssel bei der ganzen Sache scheint zu sein, das NAT-Traversal auf "Force" zu stellen.
Was mit auch noch nicht so ganz klar ist, ist wie das ganze mit den "Interface Scrubbing" der Firewall zusammen hängt.
Das sorgt wohl dafür, dass die "Do not Fragment"-Flags der IP-Pakete gelöscht werden und so Pakete automatisch fragmentieren... Aktuell vermute ich, dass das eher auf "Disabled" stehen sollte - sonst bekommen die Clients nicht mit, wenn sie zu große Pakete verschicken.
Hi,
also ich habe verschiedenste MTU Werte und CO getestet.
Bin dann jetzt umgesprungen auf Wireguard. Damit läuft es Top.
Bekomme dort so ca 350 MBit in beide Richtungen (Der test lief als an der Firewall so ca. 400Mbit ankamen, Leitung war wohl gestört).
Und ist Super easy einzurichten
Post by: Hildi on May 12, 2020, 06:10:05 pm
The WireGuard VPN software is still in experimental state, use with caution.
Willst Du Dir das wirklich antun? Selbst für rein private Zwecke?
Post by: lfirewall1243 on May 12, 2020, 06:33:10 pm
Da ginge die letzten die letzten Tage n paar TB rüber.
Läuft bisher alles stabil
Post by: Hildi on May 12, 2020, 08:28:40 pm
Hab mein IPSec inzwischen auch stabil am laufen. Nach diversen Experimenten mit MTU bin ich letztendlich dabei gelandet, MSS über die Firewall-Normalization zu setzen. Damit sieht erst mal alles gut aus.
Einziger Haken ist momentan, dass der Roadwarrior noch langsam ist und manuell die MTU/MSS anpassen muss.
Wenn WireGuard mal stabil ist, ist das definitiv auch etwas, was ich mir anschauen werde.
Post by: lfirewall1243 on May 12, 2020, 09:10:18 pm
Wireguard selbst hat soweit ich weiß ja weniger Sicherheitsprobleme.
Außerdem gehen die Backups nochmal verschlüsselt durch den Tunnel.
