ipsec site to site DSLite

lfirewall1243 · May 07, 2020, 08:51:17 PM

Hallo zusammen,

und zwar möchte ich 2 OPNsense per ipsec verbinden.

An dem einen Standort habe ich eine feste ipv4 Adresse und auf der anderen leider nur einen DSLite Anschluss wo man die ipv4 Adresse von außen nicht erreichen kann.
Ist das überhaupt machbar? und wenn ja was muss man da beachten?

Danke euch ;)

micneu · May 07, 2020, 09:32:46 PM

Am besten auf der Seite mit der festenip den openvpn Server und gut.

Gesendet von iPhone mit Tapatalk Pro

lfirewall1243 · May 07, 2020, 09:33:36 PM

Möchte OpenVPN ersetzen. Da ich dort nur maximal 25 Mbit bekomme:(

lfirewall1243 · May 07, 2020, 09:34:32 PM

Geht es sonst vielleicht mit wireguard

micneu · May 07, 2020, 09:35:08 PM

Was hast du denn für Hardware auf beiden Seiten? Ich habe eine 100mbit Leitung und mein aktives System schafft locker die Bandbreite verschlüsselt

Gesendet von iPhone mit Tapatalk Pro

lfirewall1243 · May 07, 2020, 09:38:24 PM

Beide Seiten einen i7 3667U mit 8GB Ram.

Und jeweils eine 500/500 Leitung

Mehr als 25mbit sind nicht drin selbst ohne Verschlüsselung

lfirewall1243 · May 07, 2020, 09:46:50 PM

Der thread hier

https://r.tapatalk.com/shareLink/topic?url=https%3A%2F%2Fforum%2Eopnsense%2Eorg%2Findex%2Ephp%3Ftopic%3D17086%2E0&share_tid=17086&share_fid=197904&share_type=t&link_source=app

micneu · May 07, 2020, 09:57:26 PM

was für ein ethernet interface intel oder realtek?

lfirewall1243 · May 07, 2020, 09:58:43 PM

Sieht man das in der webui?

lfirewall1243 · May 07, 2020, 10:05:37 PM

Sind Intel nics

micneu · May 07, 2020, 10:25:04 PM

ich könnte mir gut vorstellen das die 2GHz zu wenig sind. dein system ist ja recht alt.

lfirewall1243 · May 08, 2020, 06:17:27 AM

Ich hatte vorher auf der einen Seite einen j1900 da war das Ergebnis Recht ähnlich

Wir es mit ipsec denn schneller?

Hildi · May 12, 2020, 02:53:11 PM

Ich kämpfe gerade mit einem ähnlichen Setup:

- Büro: 1000MBit/s down, 50MBit up - öffentliche IP
- Home: 200MBit/s down, 50MBit up

IPSec-Performance extrem schwankend. An der Hardware liegt es nicht. Wenn ich beide Firewalls über einen Switch verbinde bekomme ich 200MBit/s mit AES256 durch.

Das Problem bei mir ist die MTU.

Büro -> Home: 2MBit/s
Home -> Büro: 20MBit/s

Wenn ich die Hart auf 1422 setzte bekomme ich in beide Richtungen 50MBit/s Durchsatz - so wie vom Provider versprochen. Allerdings habe ich dann massive Probleme mit iPads und anderen Geräten, die auch im Netz hängen und auf diversen Internet-Seiten nicht mehr funktionieren.

Ein weiterer Schlüssel bei der ganzen Sache scheint zu sein, das NAT-Traversal auf "Force" zu stellen.

Was mit auch noch nicht so ganz klar ist, ist wie das ganze mit den "Interface Scrubbing" der Firewall zusammen hängt.
Das sorgt wohl dafür, dass die "Do not Fragment"-Flags der IP-Pakete gelöscht werden und so Pakete automatisch fragmentieren... Aktuell vermute ich, dass das eher auf "Disabled" stehen sollte - sonst bekommen die Clients nicht mit, wenn sie zu große Pakete verschicken.

lfirewall1243 · May 12, 2020, 02:56:12 PM

Quote from: Hildi on May 12, 2020, 02:53:11 PM
Ich kämpfe gerade mit einem ähnlichen Setup:

- Büro: 1000MBit/s down, 50MBit up - öffentliche IP
- Home: 200MBit/s down, 50MBit up

IPSec-Performance extrem schwankend. An der Hardware liegt es nicht. Wenn ich beide Firewalls über einen Switch verbinde bekomme ich 200MBit/s mit AES256 durch.

Das Problem bei mir ist die MTU.

Büro -> Home: 2MBit/s
Home -> Büro: 20MBit/s

Wenn ich die Hart auf 1422 setzte bekomme ich in beide Richtungen 50MBit/s Durchsatz - so wie vom Provider versprochen. Allerdings habe ich dann massive Probleme mit iPads und anderen Geräten, die auch im Netz hängen und auf diversen Internet-Seiten nicht mehr funktionieren.

Ein weiterer Schlüssel bei der ganzen Sache scheint zu sein, das NAT-Traversal auf "Force" zu stellen.

Was mit auch noch nicht so ganz klar ist, ist wie das ganze mit den "Interface Scrubbing" der Firewall zusammen hängt.
Das sorgt wohl dafür, dass die "Do not Fragment"-Flags der IP-Pakete gelöscht werden und so Pakete automatisch fragmentieren... Aktuell vermute ich, dass das eher auf "Disabled" stehen sollte - sonst bekommen die Clients nicht mit, wenn sie zu große Pakete verschicken.

Hi,

also ich habe verschiedenste MTU Werte und CO getestet.

Bin dann jetzt umgesprungen auf Wireguard. Damit läuft es Top.
Bekomme dort so ca 350 MBit in beide Richtungen (Der test lief als an der Firewall so ca. 400Mbit ankamen, Leitung war wohl gestört).

Und ist Super easy einzurichten

Hildi · May 12, 2020, 06:10:05 PM

Naja... klingt gut. Wenn da nicht der Haken wäre:

The WireGuard VPN software is still in experimental state, use with caution.

Willst Du Dir das wirklich antun? Selbst für rein private Zwecke?

ipsec site to site DSLite

lfirewall1243

May 07, 2020, 08:51:17 PM

micneu

May 07, 2020, 09:32:46 PM #1

lfirewall1243

May 07, 2020, 09:33:36 PM #2

lfirewall1243

May 07, 2020, 09:34:32 PM #3

micneu

May 07, 2020, 09:35:08 PM #4

lfirewall1243

May 07, 2020, 09:38:24 PM #5

lfirewall1243

May 07, 2020, 09:46:50 PM #6

micneu

May 07, 2020, 09:57:26 PM #7

lfirewall1243

May 07, 2020, 09:58:43 PM #8

lfirewall1243

May 07, 2020, 10:05:37 PM #9

micneu

May 07, 2020, 10:25:04 PM #10

lfirewall1243

May 08, 2020, 06:17:27 AM #11

Hildi

May 12, 2020, 02:53:11 PM #12

lfirewall1243

May 12, 2020, 02:56:12 PM #13

Hildi

May 12, 2020, 06:10:05 PM #14