Site2Site VPN zwischen 3 Standorten – Wireguard vs. IPsec vs. OpenVPN

JeGr · January 30, 2024, 10:26:34 AM

> das wiederum ist kein Versäumnis von OPNsense sondern .. ach egal :D

Mit Versäumnis war da eher generell das Ignorieren von OpenVPN und dessen Config gedacht. Dass man jetzt noch mit Instanzen das ganze unnötig verkompliziert anstatt die vorhandenen Dialoge endlich mit den korrekten Optionen zu füttern... lassen wirs. Die Diskussion hab ich erfolglos mehrfach geführt :(

Darum ja, mehr Performance kommt - und dafür müssen auch aktuell nicht mal beide Seiten DCO können. Es gibt auch schon Speedups wenn nur der Client schon mit DCO läuft ;) Das ist nämlich einer der lustigen Nebeneffekte :)

Marcel_75 · January 30, 2024, 11:44:51 AM

Ok, das mit OpenVPN und DCO klingt sehr spannend, aber da gibt es wahrscheinlich noch kein passendes tutorial speziell für OPNsense, weil es leider noch nicht soweit ist (sondern erst ab 24.7 und FreeBSD 14)?

JeGr · January 31, 2024, 04:28:54 PM

Da braucht es auch kein Tutorial. Wenn keine Settings verwendet werden, die DCO widersprechen, wird ein mit DCO kompilierter OpenVPN Server automatisch das tunX Interface mit DCO hochfahren. Wenn nicht, stehen normalerweise die entsprechenden Settings im Log weshalb es nicht geht. Bspw. wenn alte non-AEAD Cipher verwendet werden etc.

Auf Client Seite sieht es genauso aus. Wer ein 2.6.8+ Client auf seiner Kiste installiert hat, wird das ggf. beim Start in den Logs (verb 3 setzen) schon sehen, dass der Client mit DCO Support startet und dann bereits hier davon profitieren kann, auch wenn der Server noch nicht am Start ist :)

Cheers

Site2Site VPN zwischen 3 Standorten – Wireguard vs. IPsec vs. OpenVPN

JeGr

January 30, 2024, 10:26:34 AM #15

Marcel_75

January 30, 2024, 11:44:51 AM #16 Last Edit: January 30, 2024, 11:47:44 AM by Marcel_75

JeGr

January 31, 2024, 04:28:54 PM #17