OPNsense Forum
International Forums => German - Deutsch => Topic started by: lfirewall1243 on May 07, 2020, 08:51:17 pm
-
Hallo zusammen,
und zwar möchte ich 2 OPNsense per ipsec verbinden.
An dem einen Standort habe ich eine feste ipv4 Adresse und auf der anderen leider nur einen DSLite Anschluss wo man die ipv4 Adresse von außen nicht erreichen kann.
Ist das überhaupt machbar? und wenn ja was muss man da beachten?
Danke euch ;)
-
Am besten auf der Seite mit der festenip den openvpn Server und gut.
Gesendet von iPhone mit Tapatalk Pro
-
Möchte OpenVPN ersetzen. Da ich dort nur maximal 25 Mbit bekomme:(
-
Geht es sonst vielleicht mit wireguard
-
Was hast du denn für Hardware auf beiden Seiten? Ich habe eine 100mbit Leitung und mein aktives System schafft locker die Bandbreite verschlüsselt
Gesendet von iPhone mit Tapatalk Pro
-
Beide Seiten einen i7 3667U mit 8GB Ram.
Und jeweils eine 500/500 Leitung
Mehr als 25mbit sind nicht drin selbst ohne Verschlüsselung
-
Der thread hier
https://r.tapatalk.com/shareLink/topic?url=https%3A%2F%2Fforum%2Eopnsense%2Eorg%2Findex%2Ephp%3Ftopic%3D17086%2E0&share_tid=17086&share_fid=197904&share_type=t&link_source=app
-
was für ein ethernet interface intel oder realtek?
-
Sieht man das in der webui?
-
Sind Intel nics
-
ich könnte mir gut vorstellen das die 2GHz zu wenig sind. dein system ist ja recht alt.
-
Ich hatte vorher auf der einen Seite einen j1900 da war das Ergebnis Recht ähnlich
Wir es mit ipsec denn schneller?
-
Ich kämpfe gerade mit einem ähnlichen Setup:
- Büro: 1000MBit/s down, 50MBit up - öffentliche IP
- Home: 200MBit/s down, 50MBit up
IPSec-Performance extrem schwankend. An der Hardware liegt es nicht. Wenn ich beide Firewalls über einen Switch verbinde bekomme ich 200MBit/s mit AES256 durch.
Das Problem bei mir ist die MTU.
Büro -> Home: 2MBit/s
Home -> Büro: 20MBit/s
Wenn ich die Hart auf 1422 setzte bekomme ich in beide Richtungen 50MBit/s Durchsatz - so wie vom Provider versprochen. Allerdings habe ich dann massive Probleme mit iPads und anderen Geräten, die auch im Netz hängen und auf diversen Internet-Seiten nicht mehr funktionieren.
Ein weiterer Schlüssel bei der ganzen Sache scheint zu sein, das NAT-Traversal auf "Force" zu stellen.
Was mit auch noch nicht so ganz klar ist, ist wie das ganze mit den "Interface Scrubbing" der Firewall zusammen hängt.
Das sorgt wohl dafür, dass die "Do not Fragment"-Flags der IP-Pakete gelöscht werden und so Pakete automatisch fragmentieren... Aktuell vermute ich, dass das eher auf "Disabled" stehen sollte - sonst bekommen die Clients nicht mit, wenn sie zu große Pakete verschicken.
-
Ich kämpfe gerade mit einem ähnlichen Setup:
- Büro: 1000MBit/s down, 50MBit up - öffentliche IP
- Home: 200MBit/s down, 50MBit up
IPSec-Performance extrem schwankend. An der Hardware liegt es nicht. Wenn ich beide Firewalls über einen Switch verbinde bekomme ich 200MBit/s mit AES256 durch.
Das Problem bei mir ist die MTU.
Büro -> Home: 2MBit/s
Home -> Büro: 20MBit/s
Wenn ich die Hart auf 1422 setzte bekomme ich in beide Richtungen 50MBit/s Durchsatz - so wie vom Provider versprochen. Allerdings habe ich dann massive Probleme mit iPads und anderen Geräten, die auch im Netz hängen und auf diversen Internet-Seiten nicht mehr funktionieren.
Ein weiterer Schlüssel bei der ganzen Sache scheint zu sein, das NAT-Traversal auf "Force" zu stellen.
Was mit auch noch nicht so ganz klar ist, ist wie das ganze mit den "Interface Scrubbing" der Firewall zusammen hängt.
Das sorgt wohl dafür, dass die "Do not Fragment"-Flags der IP-Pakete gelöscht werden und so Pakete automatisch fragmentieren... Aktuell vermute ich, dass das eher auf "Disabled" stehen sollte - sonst bekommen die Clients nicht mit, wenn sie zu große Pakete verschicken.
Hi,
also ich habe verschiedenste MTU Werte und CO getestet.
Bin dann jetzt umgesprungen auf Wireguard. Damit läuft es Top.
Bekomme dort so ca 350 MBit in beide Richtungen (Der test lief als an der Firewall so ca. 400Mbit ankamen, Leitung war wohl gestört).
Und ist Super easy einzurichten
-
Naja... klingt gut. Wenn da nicht der Haken wäre:
The WireGuard VPN software is still in experimental state, use with caution.
Willst Du Dir das wirklich antun? Selbst für rein private Zwecke?
-
Also ich lasse meine Backups darüber laufen.
Da ginge die letzten die letzten Tage n paar TB rüber.
Läuft bisher alles stabil
-
Nun - wegen der Stabilität mache ich mir weniger Sorgen... Kritisch wird's halt wenn Dir das Ding jemand auf macht.
Hab mein IPSec inzwischen auch stabil am laufen. Nach diversen Experimenten mit MTU bin ich letztendlich dabei gelandet, MSS über die Firewall-Normalization zu setzen. Damit sieht erst mal alles gut aus.
Einziger Haken ist momentan, dass der Roadwarrior noch langsam ist und manuell die MTU/MSS anpassen muss.
Wenn WireGuard mal stabil ist, ist das definitiv auch etwas, was ich mir anschauen werde.
-
Denke der Hinweis ist aber ehr auf die Stabilität Des Plugins bezogen.
Wireguard selbst hat soweit ich weiß ja weniger Sicherheitsprobleme.
Außerdem gehen die Backups nochmal verschlüsselt durch den Tunnel.