OpenVPN: WIFIonICE und die MTU

Das schwierige Thema VPN!
Post Reply
clth
Posts: 9
Joined: January 22nd, 2019, 9:13 am

OpenVPN: WIFIonICE und die MTU

Post by clth » July 10th, 2019, 5:59 am

Hallo zusammen,

diese Woche durfte ich mal wieder mit dem ICE durchs Land reisen.
Da noch eine Recherche zum Klapprechner unserer Tochter anstand, wollte ich dazu das WLAN im Zug nutzen.
Und als sicherheitsbewusster Anwender getunnelt über OpenVPN auf dem IPFire zu Hause.
Aufbau des Tunnels ging einandfrei, ping zur Firewall und durch die Firewall ins Netz auch.
Webseiten abrufen funktionierte allerdings nicht, nicht mal die Seite der Suchmaschine.
Seltsam allerdings: die Startseite vom IPFire wird zu einem kleinen Teil aufgebaut und danach bricht die Verbindung ab.

Im virtuellen Kummerkasten der Bahn finden sich haufenweise Einträge dazu mit identischer Fehlerbeschreibung.
Und auch eine These zum Problem: die verwendete MTU ist zu groß, damit kommt es zu einer Fragmentierung der Pakete, was wohl bei UDP nicht wirklich funktioniert.
Ich habe dann erstmal das Problem Problem sein lassen und mich dem Studium der mitgenommenen Zeitschrift gewidmet.

Abends im offenen Hotel-WLAN wieder das gleiche Probleme - und genügend Zeit zum Testen.
Also mit ssh eine Konsole auf der Firewall aufgemacht und iperf3 als Server gestartet.
Dann den OpenVPN-Tunnel mit der voreingestellten MTU von 1400 aufgemacht und iperf3 als Client gestartet.
Datenrate etwa 1-2 MBit/s - das ist aber viel zu wenig bei einem Upload von 20 MBit/s zu Hause.
Bei einer MTU von 1300 das gleiche Ergebnis.
Bei 1200 dann plötzlich ein Sprung auf ungefähr die erwarteten 20 MBit/s.
Danach schrittweise an die Grenze im Hotel herangetastet und bei 1258 MBit/s gefunden.

Das werde ich auf der Rückfahrt im Zug wiederholen und daraus eine sichere MTU für zukünftige Konfigurationen ableiten.
Dabei gilt dann: Lieber etwas weniger Performance durch kleinere Pakete und dafür eine sichere Verbindung.

Gruß
Claus

Nachtrag: Satz mit X im ICE.
Bis hinunter zu einer MTU von 1000 das schon aus dem Hotel bekannte Bild mit durchs Internet tröpfelnden Pakten beim iperf3.
Und bei einer MTU von 900 nur noch permanent die Fehlermeldung:
read UDP: Unknown error (code=10040)
gefolgt von einem Timeout beim Verbindungsaufbau

clth
Posts: 9
Joined: January 22nd, 2019, 9:13 am

Re: OpenVPN: WIFIonICE und die MTU

Post by clth » July 30th, 2019, 6:03 am

Zweiter Nachtrag:

Mit tcp statt udp wirds auch nicht besser, auch nicht auf Port 443.
Fazit: (Open)VPN im ICE funktioniert (immer noch) nicht.

Oder gibt es hier jemanden, der etwas anderes berichten kann?
Am Besten belegt mit einem iperf3 Log.

Gruß
Claus

ummeegge
Community Developer
Community Developer
Posts: 4904
Joined: October 9th, 2010, 10:00 am

Re: OpenVPN: WIFIonICE und die MTU

Post by ummeegge » July 30th, 2019, 12:45 pm

Hallo Claus,
vielleicht kennst du den Topic --> https://community.bahn.de/questions/119 ... ers_page=1 schon ? Hiernach gibt es dein Problem scheinbar schon eine ganze Weile (erster Eintrag fast 3 Jahre her) und das WIFIonICE <--> VPN Problem hatte sich auch in diesem Topic eine ganze Weile gezogen dennoch wurde dann eine Lösung seitens der DB scheinbar gefunden. Einige technische Kommentare seitens der DB lassen sich doch nur schwer nachvollziehen dennoch soll das VPN nach deren Aussage mit einer MTU von 1440 möglich sein (wäre dann eh annährend das reguläre Leitungsmaximum da der OpenVPN Overhead ja auch noch hinzukommt)<-- den MTU-Test beim OpenVPN kennst du schon --> https://wiki.ipfire.org/configuration/s ... n/troubles ?
clth wrote:
July 10th, 2019, 5:59 am
Webseiten abrufen funktionierte allerdings nicht, nicht mal die Seite der Suchmaschine.
Du hast aber schon "redirect-gateway" im OpenVPN an ?

Sollte bei der DB eine veraltete DPI mit der FW am werkeln sein die immer mal wieder die connection attempts von VPN´s kappt könntest du es auch mal mit SSLH z.b. --> viewtopic.php?f=52&t=9843&start=15#p123503 versuchen, mal als erste Idee ;-).

Grüße,

UE
Image
Image

clth
Posts: 9
Joined: January 22nd, 2019, 9:13 am

Re: OpenVPN: WIFIonICE und die MTU

Post by clth » July 31st, 2019, 4:51 pm

Klar kenne ich den Topic bei der Bahn.
Da sind ein paar wenige Beiträge, denen man anmerkt, dass der Verfasser oder die Verfasserin wirklich Ahnung von der Materie hat.
Und ganz viele, wo ich diesen Eindruck eher nicht habe.
Und dazu gehören auch die Statements von Seiten der Bahn.

Es kann auch sein, dass die Bahn erklärt hat, was der von ihr beauftragte Dienstleister eventuell realisiert haben könnte ...
Alleine mir fehlt der Glaube daran nach meinen Tests.

mtu-test kenne ich auch und habe es zu Hause probiert.
In der Bahn allerdings noch nicht - kann ich morgen nachholen.
iperf3 finde ich aber aussagekräftiger.
Der zeigt mir auf der Client-Seite nämlich, dass der erste Block noch so halbwegs durchgeht: immer exakt 2,09 MByte/s
Und danach bricht es komplett ein.

Redirect-Gateway ist an - sonst hätte ich ja auch das Problem "nur" mit den eigenen Servern hinter der Firewall und nicht beim Abruf von beliebigen Webseiten .

Fazit für mich: Im ICE verzichte ich halt auf Mails vom eigenen Server.

Gruß
Claus

clth
Posts: 9
Joined: January 22nd, 2019, 9:13 am

Re: OpenVPN: WIFIonICE und die MTU

Post by clth » August 1st, 2019, 12:08 pm

Nächster Versuch im ICE zwischen AB und F.
mtu-test sagt 1300, also eingestellt und probiert: nix.
Wieder auf 1200 zurück und nochmal probiert, aber anders.
Bisher hatte ich einfach immer Reconnect angewählt, jetzt Trennen und Verbinden.
Und siehe da: Client und Server sagen immerhin um die 150 KByte/s.
Webseiten laden zwar langsam, aber vollständig und der Mailserver zu Hause lässt sich auch abfragen.
Die niedrige Datenrate führe ich mal darauf zurück, dass der ICE und damit auch das WLAN gut besucht ist.

Kann es sein, dass bei einem Reconnect die Einstellungen nicht neu geladen werden?
Zumindest nicht, solange das Protokoll bleibt...

Neues vorläufiges Fazit jdenfalls:
WIFIonICE geht also doch, aber sicherheitshalber mit reduzierter MTU

Gruß
Claus

Post Reply