Beiträge von dronedale

Besten Dank schonmal allen für die rege Anteilnahme!

eripek

Ich habe die Verschlüsselung schon von 256 auf 128 runtergesetzt, ohne erkennbaren Erfolg. Sollte ich da noch weiter runtergehen?

Habe den mtu Wert mal auf 1432 reduziert, mit subjektiv leicht erhöhter Geschwindigkeit(ca 1 MB/s). Vielleicht sollte ich diesen Wert noch weiter optimieren? Muss ich den Wert server- sowie clientseitig anpassen?

Bei der Option „fragment“ hatte ich gelesen, dass dann per ios keine Verbindung zum VPN mehr möglich sei, kann das stimmen?

Du schreibst, dass Openvpn generell nicht sehr „performant“ sei, sollte ich darüber nachdenken, einen anderen VPN Dienst zu nutzen? Kannst du da was empfehlen? florian2833z schrieb ja etwas von WireGuard?

Alternativ wäre ich auch grundsätzlich dazu bereit auf ipv6 umzustellen, in wie weit müsste ich dann meine vorhandene Konfiguration „umbauen“? Mir wäre es jedoch schon wichtig auch via ipv4 (Mobilfunk) auf das VPN zugreifen zu können.

Gruß,

Daniel

Zitat von H6G

[...]

Die Tunnelendpunkte sollten deshalb IPv6 sein.

Mehr Spaß macht es natürlich mit den Netcup Rootservern, u.U. stößt du beim VPS an die Grenzen, allerdings sollte da mehr als 5 Mbit/s drinne sein.

Danke für die Erklärung

Als mich wundert halt, dass wenn ich mich als client einlogge, dann via sftp eine Verbindung zum pi (gateway) aufbaue (über das VPN Subnet, also nicht die ip des pi´s im privaten Heimnetz), dann schaffe ich schnelle Up- und Downloads. hierzu habe ich einfach eine große Videodatei einmal vom client auf den pi kopiert und zurück vom pi auf den client.

Kann da vllt irgendwo ein Problem mit dem Routing vom VPN aufs Heimnetz bestehen?

soo, hier mal die configs:

client:

# OpenVPN Client
client

# Hostname/IP und Port des Servers
remote "öffentliche ipv4 des vServers" 1194

# Device das für den VPN-Tunnel genutzt wird.
dev tun

# Protokoll des Servers
# udp oder tcp, Standard ist udp
proto udp

tun-mtu 1500
compress

# Bei Verbindungsfehler unendlich oft versuchen die Verbindung wiederherzustellen
resolv-retry infinite

# Nicht an eine lokale IP-Adresse binden
nobind

# Die Persist-Optionen verhindern den erneuten Zugriff auf einige Ressourcen,
# die nach einem Neustart aufgrund des Abgebens von Berechtigungen nicht
# mehr verfügbar sein können.
persist-key
persist-tun

# Verschlüsselungsalgorithmus AES mit 256 Bit verwenden
cipher AES-128-CBC

# Authentifizierungsalgorithmus SHA-512 verwenden
auth SHA512

# Zertifikate der Gegenstellen müssen Server-Zertifikate sein
# Verhindert MITM (Man In The Middle) Angriffe
remote-cert-tls server

# TLS-Auth als Client verwenden
key-direction 1

# Zertifikate und Schlüssel
##########

Und hier vom Server:

# Port auf dem der Server erreichbar sein soll
# Standard 1194
port 1194

# Protokoll für den Server
# udp oder tcp, Standard ist udp
proto udp

# Device das für den VPN-Tunnel genutzt wird.
# "tun" erzeugt einen gerouteten IP-Tunnel, "tap" erzeugt einen Ethernet-Tunnel.
dev tun

tun-mtu 1500
sndbuf 393216
rcvbuf 393216
push "sndbuf 393216"
push "rcvbuf 393216"
compress

# Keepalive-Pakete senden
# Alle 10 Sekunden ein Paket senden und annehmen
# dass eine Verbindung abgebrochen ist wenn über 120 Sekunden
# kein Paket empfangen wurde
keepalive 10 120

# Aktuellen Status jede Minute in die angegebene Datei schreiben
status openvpn-status.log

# Log-Level festlegen
verb 3

# Die Persist-Optionen verhindern den erneuten Zugriff auf einige Ressourcen,
# die nach einem Neustart aufgrund des Abgebens von Berechtigungen nicht
# mehr verfügbar sein können.
persist-tun
persist-key
ifconfig-pool-persist /etc/openvpn/ipp.txt

# Verschlüsselungsalgorithmus AES mit 256 Bit verwenden
cipher AES-128-CBC

# Authentifizierungsalgorithmus SHA-512 verwenden
auth SHA512

# Zertifikate der Gegenstellen müssen Client-Zertifikate sein
# Verhindert MITM (Man In The Middle) Angriffe
remote-cert-tls client

# Nach dem Start des Server die Berechtigungen abgeben und zum angegebenen
# Benutzer/Gruppe wechseln
user openvpn
group openvpn

# Zertifikate für den Server
ca /etc/openvpn/easyrsa3/pki/ca.crt
key /etc/openvpn/easyrsa3/pki/private/server.key
cert /etc/openvpn/easyrsa3/pki/issued/server.crt
dh /etc/openvpn/easyrsa3/pki/dh.pem

# TLS-Auth verwenden
tls-auth /etc/openvpn/easyrsa3/pki/ta.key 0

# CRL-Datei für widerrufene Zertifikate
crl-verify /etc/openvpn/easyrsa3/pki/crl.pem

# Sever-Modus und virtuellen IP-Bereich festlegen
# Der IP-Bereich darf nicht mit einen vorhanden IP-Bereich kollidieren
server 10.8.0.0 255.255.255.0

# Topologie des virtuellen Netzwerks
# Siehe auch https://community.openvpn.net/openvpn/wiki/Topology
# Möglich sind subnet, p2p, net30
topology subnet

# Verzeichnis für die Client-Configs
client-config-dir ccd

client-to-client

# Route zum Heimnetz auf dem Host-System des OpenVPN-Servers anlegen (optional)
;route 192.168.178.0 255.255.255.0

# Route zum Heimnetz allen Clients mitteilen
push "route 192.168.178.0 255.255.255.0"

# DNS-Server den Clients mitteilen
push "dhcp-option DNS 192.168.178.1"
push "dhcp-option DNS 1.1.1.1"
push "dhcp-option DNS 1.0.0.1"

weiterhin liegt unter /etc/openvpn/ccd/ folgende config für den pi:

# Feste IP für den Client (Client-IP Subnet)
ifconfig-push 10.8.0.3 255.255.255.0

# Internes Routing zum Heimnetz über diesen Client
iroute 192.168.178.0 255.255.255.0

Danke für euere Antworten! Ich sollte vielleicht dazu sagen, dass ich von der ganzen Netzwerk/VPN Geschichte nicht allzu viel Ahnung habe (rudimentäre Vorkenntnisse). Habe mich daher strikt an die oben verlinkte Anleitung gehalten.

Zitat

Wie sieht deine OpenVPN Konfiguration aus? (Cipher, Compression, Segment Size / MTU, L4 Protocol)

IPv4 / IPv6 außerhalb des Tunnels? Wenn IPv4, ist CG-NAT / DS-Lite im Spiel? Welchen Provider hast du?

Ich werde gleich mal meine configs posten. Mein Provider ist 1&1, also ipv6 und dslite soweit ich weiß? Daher habe ich den vServer gebucht, um eine feste ipv4 Adresse zu bekommen und mich auch per ipv4 ins vpn einloggen zu können. Was genau ist CG-NAT?

Als vServer habe ich den VPS 200 G8

Ich hoffe, das hilft erstmal weiter.

100 Mbit/s Down und 40 Mbit/s Up. Daran sollte es demnach nicht liegen

Hallo zusammen!

nach langem hin und her googeln habe ich mich doch mal hier im Forum registriert, da ich folgendes Problem einfach nicht gelöst bekomme:

Zur Ausgangssituation:

Ich besitze einen Netcup vServer, auf welchem ich Openvpn als Server installiert habe. Bei mir am Heimnetz hängt ein Raspberry Pi 3, welcher sich als client mit dem Server verbindet und als gateway zu meinem privaten LAN dienen soll. Wenn ich mich nun zB mit meinem Laptop innerhalb eines anderen Netzwerkes als client im VPN anmelde, kann ich via client-to-client Verbindung auf mein Heimnetz zugreifen.

Das funktioniert auch alles soweit super, ich bin dabei nach dieser Anleitung vorgegangen Link.

Nun zu meinem Problem:

wie bereits geschrieben, die Verbindung zwischen den clients wird aufgebaut und ich habe Zugang zum Heimnetz von überall. An meinem Heimnetz hängt ein NAS (WD Mycloud Mirror), von welchem ich gerne Fotos/Videos über den Tunnel anschauen möchte. Das klappt auch soweit, jedoch ist die Übertragungsgeschwindigkeit alles andere als schnell (max. 5 Mbit/s).

Nun habe ich bereits folgendes getestet:

- Download vom NAS auf externen client (Laptop) mit max. 5 Mbit/s

- Upload von Daten auf den NAS vom externen client (Laptop) läuft (für mich akzeptabel) schnell mit ca 20 Mbit/s.

- Zugriff auf den Pi3 (gateway) vom externen client via sftp. Upload/Download auf/vom pi klappt schnell mit bis zu 20 Mbit/s.

Ab hier bin ich ratlos und weiß nicht wo ich weitersuchen muss. Komisch ist, dass der Download vom Pi direkt (über den tunnel) schnell läuft, jedoch der Download vom NAS hinterm Pi ewig und 3 Tage dauert.

Ich hoffe sehr dass jemand von euch ne Idee hat!

Danke schonmal,

Gruß,

Daniel