Routing-Probleme bei Peer-to-Peer (SSL/TLS) VPN

Started by mscd, December 26, 2021, 03:44:34 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
December 26, 2021, 03:44:34 PM
Hallo zusammen,

ich habe aktuell die Problematik, dass ich problemfrei eine Peer-to-Peer-(shared Key)-VPN-Verbindung zwischen zwei OPNsense (21.7.7) am laufen habe. Im Tunnelnetzwerk 10.230.13.0/24 erhält die Client-Firewall die virtuelle IP-Adresse 10.230.13.2 und die Server-Firewall die virtuelle Adresse 10.230.13.1.

Stelle ich lediglich den Servermodus auf "Peer-to-Peer (SSL/TSL)" (CA-Cert und Client-Cert entsprechend vorher angelegt und verteilt) funktioniert der Verbindungsaufbau nach wie vor ... komischer Weise erhält die Client-Firewall dann die virtuelle IP-Adresse 10.230.13.5 und das Routing funktioniert über die VPN-Verbindung nicht mehr sauber.

Kennt jemand diese Problematik? Mich wundert, dass die Client-Firewall nicht (wie üblich) die erste IP-Adresse (nach dem Gateway) in dem Tunnel-Subnetz, sprich 10.230.13.2 (wie bei shared-Key, wo alles geht) erhält.

Schöne Grüße und besten Dank,
mscd
December 26, 2021, 06:24:20 PM #1
Erstellt den VPN Server mal neu und dann direkt mit Peer2Peer TLS.

Kommt es dann immernoch vor?

Gesendet von meinem M2012K11AG mit Tapatalk

(Unoffial Community) OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support
December 26, 2021, 06:40:44 PM #2
Bei Zertifikaten musst du einen Client specific override erstellen und dort local und remote hinterlegen.
December 26, 2021, 11:50:51 PM #3 Last Edit: December 26, 2021, 11:53:21 PM by mscd
Okay ... besten Dank ... das hat geholfen (nun klappt es auch im SSL/TLS-Modus).

Noch eine kleine Rückfrage ... die OPNsense läuft aktuell auf einem dedizierten Root-Server als VM in Proxmox (mit AESni-Support), welcher mit 1 GBit/s symmetrisch angebunden ist. Die Gegenstelle hängt an einem Kabelmodem mit 1 GBit/s im Downstream auf dedizierter (potenter) Hardware (eine ehemalige Sophos SG310).

Was mich aktuell etwas verwundert ... der maximale OpenVPN-Durchsatz pendelt so bei 40 MBit/s ?! ... und zwar in dem Fall, wenn ich Daten vom Root-Server in Richtung Kabelmodem sende, sprich da müssten (theoretisch) im Idealfall 1000 MBit/s durchgehen.
Gegentest mit deaktivierter Encryption + Authentifizierung hat keinen Unterschied ergeben.
CPU-Last pendelt bei beiden Maschinen auf unter 25%.

Was ist hier zu "erwarten"? Ich finde gerade das Bottelneck nicht.

Danke und Grüße,
mscd
December 26, 2021, 11:52:53 PM #4
Bei virtuell ist das immer etwas schwierig einzugrenzen. Bei Xeon und Blech sollten ca. 800 Mbit drin sein
December 27, 2021, 12:01:09 AM #5
Ok ... klar mit "virtuell" ... aber durch das gleiche virtuelle Gateway gehen an die VMs dahinter mit nperf getestet 950 MBit/s symmetrisch. Sprich an den Interfaces usw. kann es nicht liegen ... und bei deaktivierter Verschlüsselung im VPN wohl auch nicht an der Virtualisierung von AESni.

Sehr komisch.

Grüße,
mscd
December 27, 2021, 01:04:12 PM #6
Trotzdem muss jedes Paket durch den Userspace,egal ob verschlüsselt oder plain. Das kostet halt
December 27, 2021, 01:09:29 PM #7
So ... frischer "Gegentest" mit IPsec-S2S"-Verbindung ... und man siehe ... 500 statt 50 Mbit/s (mit aktiver Verschlüsselung) ... woran es liegt ... kann ich derzeit auch nicht sagen. An der Performance der VMs kann es aber schon mal nicht liegen.

Grüße,
mscd
December 27, 2021, 05:42:15 PM #8
Doch, IPsec muss nicht in den userspace .. und 500mbit ist bei IPsec auch nicht sooo berauschend.
Print
Go Up Pages1
User actions