[GELÖST] OpenVPN-Tunnel läuft nicht stabil.

[Stephan84]

Hallo erst mal, ich bin neu hier und brauche Eure Hilfe.

Ich habe mir mal zum Kennenlernen die OpnSense als VMWare mit VMWare Workstation auf meinen Rechner installiert. Dieser verfügt über zwei physikalische Netzwerkkarten (TP Link und Realtek OnBoard), nichts besonderes. Die VMWare läuft mit den zwei Netzwerkkarten, die jeweils einem virtuellen Adapter zugeordnet sind. Habe auch die VMWare-Tools in der OpnSense installiert.

Habe nun zum simulieren zwei Netze, die WAN-Seite ist mein normales Heimnetz mit der FritzBox als GW/DHCP mit 192.168.178.0/24, habe die IP an der OpnSense aber manuell vergeben.

Die LAN-Seite ist bei mir 192.168.100.0/24, wobei die OpnSense die 192.168.100.1 hat und auf vom Client als GW in den Netzwerkeinstellungen hinterlegt ist.
Soweit läuft alles, kann Daten zwischen den Netzen über die Firewall austauschen, passt alles!!

Dann habe ich mir mit diversen Anleitungen einen OpenVpn-Server mit Zertifikaten, Client etc. installiert. Dieser läuft auch soweit , es wird eine Verbindung ohne Fehler im Log erstellt. Wenn ich jetzt über den Tunnel analog zu dem o.g. Weg Daten kopiere, bricht er mir nach einer gewissen Zeit (paar Minuten/Sekunden) ab.

Jetzt kann das ja mit der sog. MTU zusammenhängen, aber wo muss ich die den überall einstellen? Es gibt ja viele Stellen, an denen ich dies machen kann:

Netzwerkkarte (Host) 192.168.178.0/24 --> MTU
Netzwerkkarte (Host) 192.168.100.0/24 --> MTU
Netzwerkkarten (Clients) 192.168.100 /24 --> MTU
OpnSense Interfaces WAN --> MTU / MSS
OpnSense Interfaces LAN --> MTU / MSS
VPN-Server Advanced --> tun-mtu / mssfix
VPN-Client im *.ovpn --> tun-mtu / mssfix

Wo muss ich das den überall einstellen?? 
Denn standardmäßig ist ja eine MTU von 1500 vorgegeben und da kann der Tunnel ja gar nicht stabil funktionieren.
Im Log des Open VPN, taucht folgende Fehlermeldung auf, wenn verbose 3 einstelle:

openvpn[8560]: MANAGEMENT: Client disconnected
openvpn[8560]: MANAGEMENT: CMD 'quit'
openvpn[8560]: MANAGEMENT: CMD 'status 2'
openvpn[8560]: MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock

Habe aber gelesen, dass dies irgendwie halt so ist und keiner weiteren Beachtung bedarf!? Find es ich zwar komisch aber vielleicht stimmt es ja.

Bin etwas verwirrt und bräuchte mal Eure Hilfe, sitze nun schon seid 3 Tagen jeden Abend dann und es dreht sich im Kreis. 

Ich bedanke mich jetzt schon herzlich für Eure Hilfe.

Stephan

[micneu]

du hast in. deiner OpenVPN konfig am ende das feld „advanced configuration“ da kannst du z.b. mssfix 1420 eingeben


System 1: Lanner NCA-1010B
System 2: Eglobal von Aliexpress, Intel Core i3-7100U, Ram: 16GB, LAN: 6 x Intel
System 3: QOTOM Q575G6, Intel Core i7-7500U, Ram: 16GB, LAN: 6 x Intel

Gesendet von iPad mit Tapatalk Pro

[Stephan84]

und sonst nirgends, nur in diesem Feld?

Auch nicht auf der OpnSense?
OpnSense Interfaces WAN --> MTU / MSS
OpnSense Interfaces LAN --> MTU / MSS

Was soll ich denn für Werte nehmen tun-mtu (z.B. 1460) oder lieber mssfix (z.B. 1432)?

Viele Grüße

[micneu]

Ich habe nur nach openvpn und mtu gegoogelt. Welche Werte musst du ausprobieren. Ich habe keine mtu konfiguriert und es läuft bei mir, keine Abbrüche
Oder mal im Forum suchen

Gesendet von iPhone mit Tapatalk Pro

[Stephan84]

Hallo,

du arbeitest mit den Standardwerten ohne was an der MTU oder mssfix geändert zu haben?
Arbeitest du mit tun oder tap und auf was läuft deine OpnSense (Blech oder ESXi), wenn ich fragen darf.

Hast du auch die Fehler im Log?
envpn[8560]: MANAGEMENT: Client disconnected
openvpn[8560]: MANAGEMENT: CMD 'quit'
openvpn[8560]: MANAGEMENT: CMD 'status 2'
openvpn[8560]: MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock

Viele Grüße
Stephan

[micneu]

Blech System 3 aus meinem footer.
Tun device, Rest Standard


Gesendet von iPhone mit Tapatalk Pro

[Stephan84]

Ohne die Fehlermeldungen?

[micneu]

da ich keine abbrüche habe und meine OpenVPN stabil läuft habe ich nicht in meine logs geschaut.

[micneu]

habe jetzt mal eine verbindung von meinem iphone aufgebaut.
hier die logs von meinem verbundenen client:

Code: [Select]

2020-03-22T12:03:19 openvpn[29349]: mne-xs/yy.xx.cc.vv.bb:29558 MULTI_sva: pool returned IPv4=192.168.254.6, IPv6=(Not enabled)
2020-03-22T12:03:19 openvpn[29349]: yy.xx.cc.vv.bb:29558 [mne-xs] Peer Connection Initiated with [AF_INET6]::ffff:yy.xx.cc.vv.bb:29558
2020-03-22T12:03:19 openvpn[29349]: yy.xx.cc.vv.bb:29558 peer info: IV_IPv6=0
2020-03-22T12:03:19 openvpn[29349]: yy.xx.cc.vv.bb:29558 peer info: IV_PROTO=2
2020-03-22T12:03:19 openvpn[29349]: yy.xx.cc.vv.bb:29558 peer info: IV_TCPNL=1
2020-03-22T12:03:19 openvpn[29349]: yy.xx.cc.vv.bb:29558 peer info: IV_NCP=2
2020-03-22T12:03:19 openvpn[29349]: yy.xx.cc.vv.bb:29558 peer info: IV_PLAT=ios
2020-03-22T12:03:19 openvpn[29349]: yy.xx.cc.vv.bb:29558 peer info: IV_VER=3.git::2ae73415
2020-03-22T12:03:19 openvpn[29349]: yy.xx.cc.vv.bb:29558 peer info: IV_GUI_VER=net.openvpn.connect.ios_3.1.1-2819
2020-03-22T01:23:52 openvpn[29349]: Initialization Sequence Completed
2020-03-22T01:23:52 openvpn[29349]: UDPv6 link remote: [AF_UNSPEC]
2020-03-22T01:23:52 openvpn[29349]: UDPv6 link local (bound): [AF_INET6][undef]:443
2020-03-22T01:23:52 openvpn[29349]: setsockopt(IPV6_V6ONLY=0)
2020-03-22T01:23:52 openvpn[29349]: Could not determine IPv4/IPv6 protocol. Using AF_INET6
2020-03-22T01:23:52 openvpn[29349]: /usr/local/etc/inc/plugins.inc.d/openvpn/ovpn-linkup ovpns1 1500 1621 192.168.254.1 192.168.254.2 init
2020-03-22T01:23:52 openvpn[29349]: /sbin/ifconfig ovpns1 192.168.254.1 192.168.254.2 mtu 1500 netmask 255.255.255.255 up
2020-03-22T01:23:52 openvpn[29349]: TUN/TAP device /dev/tun1 opened
2020-03-22T01:23:52 openvpn[29349]: TUN/TAP device ovpns1 exists previously, keep at program end
2020-03-22T01:23:52 openvpn[29349]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts

[micneu]

hier meine OpenVPN Konfig:

[Stephan84]

Jetzt bin ich ins Geschäft gefahen und habe mal entsprechende Hardware geholt und probiere jetzt mal deine Einstellungen!

Habe gesehen, dass du bei Verbosity Level 1 stehen hast! Wen das der Fall ist, dann wird dir die Fehlermeldung vn oben erst gar nicht geloggt.

Melde mich mal mit meinem Ergebnis!

Viele Grüße
Stephan

[Stephan84]

So...

Also es läuft auf jeden Fall stabil, wenn es auf Blech betrieben wird. Scheinbar eignet sich VMWare Workstation doch nicht so gut zum testen!!

Es ist nur wahnsinnig langsam! Wenn ich mit iperf die Leitung ohne VPN über die Firewall teste komm ich auf 680 Mbit/s, wenn es über den Tunnel geht dann bin ich noch bei 65 Mbit/s.
Wie sieht das bei Euch aus?

Was bremst denn da so? Laut deiner Konfig hast du gar nichts zusätzlich eingestellt, wie hoch ist bei Dir der Verlust?

Oder hat jemand noch eine Idee was ich machen könnte?

Meine Einstellungen sind die gleichen wie bei micneu +

sndbuf 393216
rcvbuf  393216
+ push
fast-io
link-mtu 1456

Viele Grüße
Stephan

[micneu]

habe jetzt mal für dich auf log level 3 gestellt:

Code: [Select]

2020-03-22T17:43:10 openvpn[46553]: MANAGEMENT: Client disconnected
2020-03-22T17:43:10 openvpn[46553]: MANAGEMENT: CMD 'quit'
2020-03-22T17:43:10 openvpn[46553]: MANAGEMENT: CMD 'status 2'
2020-03-22T17:43:10 openvpn[46553]: MANAGEMENT: Client connected from /var/etc/openvpn/server1.sock
2020-03-22T17:43:08 openvpn[46553]: Initialization Sequence Completed
2020-03-22T17:43:08 openvpn[46553]: IFCONFIG POOL: base=192.168.254.4 size=62, ipv6=0
2020-03-22T17:43:08 openvpn[46553]: MULTI: multi_init called, r=256 v=256
2020-03-22T17:43:08 openvpn[46553]: UDPv6 link remote: [AF_UNSPEC]
2020-03-22T17:43:08 openvpn[46553]: UDPv6 link local (bound): [AF_INET6][undef]:443
2020-03-22T17:43:08 openvpn[46553]: setsockopt(IPV6_V6ONLY=0)
2020-03-22T17:43:08 openvpn[46553]: Socket Buffers: R=[42080->42080] S=[57344->57344]
2020-03-22T17:43:08 openvpn[46553]: Could not determine IPv4/IPv6 protocol. Using AF_INET6
2020-03-22T17:43:08 openvpn[46553]: /sbin/route add -net 192.168.254.0 192.168.254.2 255.255.255.0
2020-03-22T17:43:08 openvpn[46553]: /usr/local/etc/inc/plugins.inc.d/openvpn/ovpn-linkup ovpns1 1500 1621 192.168.254.1 192.168.254.2 init
2020-03-22T17:43:08 openvpn[46553]: /sbin/ifconfig ovpns1 192.168.254.1 192.168.254.2 mtu 1500 netmask 255.255.255.255 up
2020-03-22T17:43:08 openvpn[46553]: TUN/TAP device /dev/tun1 opened
2020-03-22T17:43:08 openvpn[46553]: TUN/TAP device ovpns1 exists previously, keep at program end
2020-03-22T17:43:08 openvpn[46553]: ROUTE_GATEWAY yy.xx.cc.vv/255.255.255.255 IFACE=pppoe0 HWADDR=00:00:00:00:00:00
2020-03-22T17:43:08 openvpn[46553]: Incoming Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
2020-03-22T17:43:08 openvpn[46553]: Outgoing Control Channel Authentication: Using 256 bit message hash 'SHA256' for HMAC authentication
2020-03-22T17:43:08 openvpn[46553]: ECDH curve secp384r1 added
2020-03-22T17:43:08 openvpn[46553]: Failed to extract curve from certificate (UNDEF), using secp384r1 instead.
2020-03-22T17:43:08 openvpn[46553]: Diffie-Hellman initialized with 4096 bit key
2020-03-22T17:43:08 openvpn[46553]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
2020-03-22T17:43:08 openvpn[46553]: MANAGEMENT: unix domain socket listening on /var/etc/openvpn/server1.sock
die log einträge sind ohne verbundenen client

[Stephan84]

Okay, du hast den Eintrag also auch.
Dann ist das wohl so....

[micneu]

und ich hatte s laut deinem post das deine vpn unstabil ist, oder habe ich es falsch verstanden?