Hallo,
ich betreibe eine OPN Sense um hierüber Client VPN Verbindung herstellen zu können.
Das System läuft auf einem Proxmox, die Hardware wiederrum ist ein Dell Server.
Alle physikalischen Netzwerkkarten, Switchports sowie virituellen Proxmox Bridges laufen auf 1Gbit.
Die OPN Sense besitzt 2 Verbindungen, eine in die DMZ (Cisco Firepower 21er Serie mit 1Gbit LAN) und eine weitere Verbindung geht in das interne LAN. Meine WAN Verbindung kann 300/300Mbit.
Leider ist es mir nicht möglich über die OPNSense Client VPN Verbindungen in der Summer schneller als 100MBit/s laufen zu lassen. Es ist an dieser Stelle wie festgenagelt. Ich kann keinen Konfig Fehler finden und frage mich, ob vielleicht schon andere ein solches Problem hatten.
VG Thorsten
Welches VPN? IPsec, SSLVPN (OpenVPN), Wireguard?
Ich nutze OpenVPN als ClientVPN.
OpenVPN ist ziemlich langsam (meiner Erfahrung nach). Da ist es schwer mehr rauszuholen.
Mit IPsec als Client VPN bekommt man locker 500mbit/s und mehr (wenn die CPU auf der die OPNsense läuft AES-NI unterstützt und man AES-256 benutzt). Für Site2Site mit IPsec ist 1Gbit/s normal. Tests auf normaler Hardware mit iperf3 zeigen aber auch 2,5Gbit/s und aufwärts.
Wireguard ist auch recht schnell, mit 200mbit/s kann man dort mit einem Client VPN rechnen.
oh, das hätte ich tatsächlich jetzt als letztes als Möglichkeit in Betracht gezogen.
Danke für die Info - da muss ich wohl ein paar Gedanken machen das ganze ggf. auf IPSec zu migrieren.
Ich habe mir den IPSec Partim Detail noch nicht angesehen.
Ist es bei diesem auch möglich mehrere "virituelle" Server ähnlich den "Servers" unter OpenVPN abzubilden?
Derzeit lasse ich davon mehere laufen um verschiedenen Nutzern verschiedene Subnetze auf einfache Art zuzuweisen. Auf die schnelle viel mir kein entsprechender Menüpunkt auf.
VG und schönes WE
Bitte bei der Promox OPNsense VM auch prüfen ob die virtuellen Netzwerkadapter vitio sind und ob diese VM im Modus Host angelegt ist.
Warum lässt du die Firewall nicht direkt auf dem Blech laufen, könnte mir vorstellen das es performanter ist?
Gesendet von iPhone mit Tapatalk Pro
Quote from: lewald on January 05, 2024, 03:08:37 PM
Bitte bei der Promox OPNsense VM auch prüfen ob die virtuellen Netzwerkadapter vitio sind und ob diese VM im Modus Host angelegt ist.
Die Karten sind auf jedenfall virtio - auf das Thema bin ich kurz vor dem Corona Lockdown gestoßen.
Ohne Virtio war ich auf 30-40mbit. Host Mode sollte der Fall sein - prüfe ich am Montag nochmal sicherheitshalber. Bin schon im WE 😃
Danke für die Tips.
Quote from: micneu on January 05, 2024, 03:16:20 PM
Warum lässt du die Firewall nicht direkt auf dem Blech laufen, könnte mir vorstellen das es performanter ist?
Das ist so eine Strategie Geschichte. Ich habe einen Proxmox Cluster im internen Netz laufen.
Sollte mein DMZ Proxmox Hardwareseitig abrauchen, könnte ich einen Server aus dem Cluster schnell in die DMZ umziehen, das Image restoren und wäre innerhalb von 30 Minuten wieder am Start. Im generellen habe ich jedoch die Erfahrung gemacht, dass Linux Kisten auf Proxmox sehr performant sind und nur wenig CPU Last im Overhead untergeht.
VG Thorsten
Quote from: thorstensd on January 05, 2024, 02:19:04 PM
Ist es bei diesem auch möglich mehrere "virituelle" Server ähnlich den "Servers" unter OpenVPN abzubilden?
Derzeit lasse ich davon mehere laufen um verschiedenen Nutzern verschiedene Subnetze auf einfache Art zuzuweisen. Auf die schnelle viel mir kein entsprechender Menüpunkt auf.
Kommt drauf an wie viele Benutzer es sind. Wenn es so bis 100 Benutzer sind, kann man es so konfigurieren (Wegen Übersicht in der GUI, kann auch mehr, Strongswan kann 80k und mehr VPNs gleichzeitig):
https://docs.opnsense.org/manual/how-tos/ipsec-swanctl-rw-ikev2-eap-mschapv2.html#rw-swanctl-method2 (Benutzt die moderne Connections Implementierung mit swanctl) Die Anleitung hab ich geschrieben und mit meinen Client Tests (Laptop NCP Client) hab ich 600mbit/s bekommen (über WLAN 5Ghz).
Ansonsten - bei sehr vielen Benutzern - gibt es die Möglichkeit Radius Gruppen zu verwenden (Die Anleitung benutzt noch die Legacy Mobile Clients Implementierung):
https://forum.opnsense.org/index.php?topic=12147.0
https://github.com/opnsense/core/commit/95ab468b5345943f268273aaf4c9e55d17052386
Eine neuere Anleitung dafür gibt es noch nicht.
Hallo,
das Thema ist bei mir etwas nach hinten gerutscht. Sorry dass ich es jetzt nochmal ausgrabe.
Mir ist hierzu noch eine Frage eingefallen.
Das Grundproblem war ja, dass OpenVPN sehr langsam ist - könnte das "Speedlimit" nicht mit mehr CPU Power gelöst werden oder habe ich ein Denkfehler?
Aktuell ist die angezeigte Auslastung des Servers in der OPNsens Oberfläche bei max. 10%, was auch grob der Physikalischen Auslastung enspricht. Die Phyiskalische Auslastung war in den letzten 30 Tagen bei maximal 12%.
Vielen Dank, vielleicht kann mir das ja jemand beantwortet - ich stecke da momentan gedanklich bei "mehr CPU = mehr Speed" fest.
Viele Grüße
Thorsten
> Das Grundproblem war ja, dass OpenVPN sehr langsam ist - könnte das "Speedlimit" nicht mit mehr CPU Power gelöst werden oder habe ich ein Denkfehler?
Was nicht mehr stimmt, liegt aber mehr an der Implementation. Wenn OPNsense OVPN DCO auf Serverseite enabled wird das sehr schnell anders. Und wenn dein Client oder deine Gegenstelle heute schon DCO können, ist die Geschwindigkeit LANGE nicht mehr "langsam" wie immer wieder gern gebetsmühlenartig zitiert wird. OpenVPN war mal langsam, heute kann das annähernd ähnlich schnell und fix sein wie Wireguard auch.
Da spielen dann aber auch andere Dinge mit wie bspw. Verbindung zum Ziel, verwendetes Protokoll (da OVPN ja via UDP und TCP laufen kann), MTU kann ggf. ein Faktor sein, Auslastung, Interfaces, Hardware oder virtuell, Beschleunigung durch Crypto auf dem Blech (AES-NI, QAT o.ä.) usw usf.
Einfach nur zu sagen es wäre langsam stimmt heute so einfach nicht.
Cheers :)
Er verwendet OpenVPN als Client, also muss es auch noch einen Server geben, sieht nicht so aus als würde er den selbst hosten, also ein VPN-Dienstleister, dieser hat die Bandbreite des VPN wahrscheinlich auf 100 MBit/s gedrosselt?
Wenn das so ganz genau 100Mbps sind, liegt der Verdacht Nahe, dass es ein Interface Limit oder einfach das Interface auf 100Vollduplex gesetzt ist - dann kommt da auch nicht mehr durch. :)