OPNsense Forum

International Forums => German - Deutsch => Topic started by: Thomas_L on June 01, 2021, 04:43:22 PM

Title: OpenVPN Problem, vielleicht MTU?
Post by: Thomas_L on June 01, 2021, 04:43:22 PM
Hallo die Runde,

leider muss ich schon wieder mit einer Frage kommen.

Ich habe ein OpenVPN Setup lt. Anleitung. Eigentlich ganz normal.
Der Client kann sich normal verbinden.
Der Ping zum internen Exchange funktioniert.
Der Zugriff auf das OWA funktioniert nicht.

Da ich im Internet einen Hinweis auf die MTU gefunden habe, habe ich mit unterschiedlichen PING Größen probiert.

32 und 64 bytes haben funktioniert. Bei 96 Bytes funktionierte es schon nicht mehr.
Ist das normal? Das war ein ping -l 96

Ich hoffe ihr habt einen Rat für mich.

Vielen Dank für eure Zeit!

Thomas
Title: Re: OpenVPN Problem, vielleicht MTU?
Post by: vpnuser on June 01, 2021, 05:52:19 PM
Hallo Thomas,
evtl. hilft Dir der Parameter "MSS" in der OPNSense - LAN Schnittstelle weiter. Wir hatten Probleme mit VPN / IPSec. Verbindung wurde aufgebaut aber Zugriff auf Windows Dienste war nicht möglich. Auch ein ping schlug fehl.
Ich hatte daraufhin die Option "MSS" der LAN Schnittstelle auf 1300 gesetzt - danach lief alles.
Ein weiteres Problem hatten wir mit unterschiedlichen Internet-Provider (Home Office), Stichwort DS-Lite. Eine IPv4 Verbindung (also VPN Verbindungsaufbau zur WAN Schnittstelle) war instabil. Nach der Einrichtung einer  IPv6 Verbindung als Alternative laufen die VPN Verbindung stabil.
Den Default-MTU Wert haben wir weder auf den Clients noch auf der OPNSense geändert.
Title: Re: OpenVPN Problem, vielleicht MTU?
Post by: Thomas_L on June 01, 2021, 09:17:16 PM
Hallo vpnuser,

vielen Dank für deine Antwort.
Ich habe den Wert am LAN Interface der Firewall geändert.
Am Verhalten hat sich aber nichts geändert.

Thomas
Title: Re: OpenVPN Problem, vielleicht MTU?
Post by: vpnuser on June 01, 2021, 09:34:36 PM
Auch die entsprechenden Dienste bzw. OPNSense neu gestartet? Wie beschrieben es war eines von zwei Problemen.
Weitere Möglichkeiten zum überprüfen:
Nachtrag: teste mal folgende CMD / Powershell Befehle auf dem VPN Client
Title: Re: OpenVPN Problem, vielleicht MTU?
Post by: vpnuser on June 01, 2021, 10:16:03 PM
Hast Du mehrere VPN Clients an unterschiedlichen Standorten getestet? Wenn nicht, dann könntest Du einen Test mit Tethering über Dein Handy (LTE) vornehmen. Damit kannst Du weitgehend ausschließen, dass das Problem bei Deinem I-Provider liegt. Alternativ den Client an einem anderem Standort mit anderen I-Provider / Anschlusstyp testen. Ich hatte z.B. massive VPN Probleme mit meinem Hybrid Telekom Anschluss. Ich hatte mich dann über TeamViewer auf den Client eines Kollegen eingeloggt und dort die VPN Verbindung ohne Probleme getestet.
Title: Re: OpenVPN Problem, vielleicht MTU?
Post by: Thomas_L on June 02, 2021, 08:42:50 AM
Hallo vpnuser & alle,

vielen Dank für deine Erläuterungen.

Ich habe es am Android Telefon mit dem Client von Arne Schwabe versucht und es lief auf Anhieb problemlos.

Ich habe dann auf meinem Test-Windows Tablet den OpenVPN Client deinstalliert und den Viscosity Client installiert => Lief auf Anhieb problemlos.

Also liegt es wohl am OpenVPN Client.

Was verwendet die Community hier bevorzugt?
In der OPNsense Doku wird ja der Viscosity Client empfohlen.

Ich suche EINE Lösung die möglichst problemlos auf den Kundengeräten läuft mit verschiedenen ISPs und dergleichen. Ist der Viscosity Client hier sein Geld wert?

Was würdet ihr hier empfehlen?

Vielen Dank!

Thomas
Title: Re: OpenVPN Problem, vielleicht MTU?
Post by: JeGr on June 02, 2021, 04:29:04 PM
Weder mit der Windows Variante von 2.4.x oder 2.5.x irgendwelche Probleme mit dem Community Client von OVPN. Auf Android immer die App von Arne. Bislang kaum/keine negativen Rückmeldungen von Kunden dazu.
Title: Re: OpenVPN Problem, vielleicht MTU?
Post by: Meditux on June 03, 2021, 07:49:21 AM
Interessant wäre auch zu Wissen ob die OPNsense auch den direkten Zugang zum Internet realisiert oder ob eine Router-Kaskade existiert. Es wäre zum Beispiel dann auch denkbar das der vorgeschaltete Router die MTU-Größe limitiert.

Man(n) sieht das beim Sniffen wenn Pakete mit DF-Flag durch Srub verworfen werden.

P.S. Ich kann JeGr nur zustimmen: Weder mit der Windows Variante von 2.4.x oder 2.5.x irgendwelche Probleme mit dem Community Client von OVPN. Und das bei ca. 140 Anwendern.

Gruß Meditux