openvpn nur über tcp

Das schwierige Thema VPN!
Post Reply
christian-np
Posts: 2
Joined: August 1st, 2019, 4:58 pm

openvpn nur über tcp

Post by christian-np » August 1st, 2019, 5:38 pm

Hallo erstmal (neuer account) und Gruß an alle, die lesen und helfen.

Benutze erst seit kurzem IPfire, hatte aber früher öfters mal mit IPcop zu tun

Folgendes Problem: IPfire läuft mit core update 134 (installiert mit 133) stabil, hat eine feste IP an einem Vodafone Router (Glasfaser)

Openvpn wurde konfiguriert mit der besagten festen IP auf rot und ansonsten standard Eintellungen (udp, port 1194, mtu 1400), das host zertifikat mit 2048bit für DH / TLS.

Bei meinen testaccounts (road warrior wie damals beim ip cop) scheiterte aber immer der tls handshake, ob über osx tunnelblick oder win ovpn

MTU Größe auf 1500 half auch nicht weiter. Ich habe mit netcat (bzw osx nc) einen test gemacht, ob ich durch den router komme:
echo "abcd" | nc -u v -w2 [...hier die ip...] 1194
Ergebnis: connection to [...ip...] port 1194 [udp/openvpn] succeeded!

Ich hatte zwischendurch auch mal x509 gelöscht und von vorne angefangen, ohne ABhilfe.
Erst mit einer Umstellung auf tcp klappt die VPN Verbindung dann...

Hab schonmal gesucht, aber noch nicht wirklich was für mich passendes gefunden...
Hat jemand einen Tipp? Einfach bei tcp bleiben?

Nochmal schönen Gruß

christian-np
Posts: 2
Joined: August 1st, 2019, 4:58 pm

Re: openvpn nur über tcp - client conf

Post by christian-np » August 1st, 2019, 5:42 pm

Hier meine client conf

#OpenVPN Client conf
tls-client
client
nobind
dev tun
proto udp
tun-mtu 1400
remote [... meine ip ...] 1194
pkcs12 [.. mein key..]
cipher AES-256-CBC
auth SHA256
tls-auth ta.key
verb 3
remote-cert-tls server
verify-x509-name [...hostname...] name

fredym
Posts: 536
Joined: November 14th, 2016, 2:45 pm

Re: openvpn nur über tcp

Post by fredym » August 2nd, 2019, 7:47 am

hallo Christian,
Theoretisch ist UDP schneller, da es ja keinen Bestätigungspakete braucht.
Praktisch fällst du auf die Nase, wenn dein Provider mit Multipath-Routing arbeitet.
Nach meinen Erfahrungen ist TCP kaum merklich langsamer (im Filetransfer) -dafür waren die net-2-net Tunnel deutlich merkbar stabiler.
Bei RWs ist dieser Effekt nicht ganz so stark ausgeprägt.

Du kannst ggfs auch noch über ein "nobind" nachdenken bei RWs, kommt aber drauf an.
Unterm Strich hatten wir uns auf TCP festgelegt, nobind Option eingetragen - wobei es um 20..30 RWs ging, die sich z.Teil an verschiedenen Einwählpunkten (Server/Standorte) verbinden sollten ( Quelle: Festnetz, local Wlan - wie z.B. Flughafen..., UMTS/LTE).

Per TCP gab es deutlich weniger Probleme.

Fred

ChrisK
Posts: 86
Joined: November 10th, 2014, 7:19 am

Re: openvpn nur über tcp - client conf

Post by ChrisK » August 28th, 2019, 6:02 pm

christian-np wrote:
August 1st, 2019, 5:42 pm
Hier meine client conf

#OpenVPN Client conf
tls-client
client
nobind
dev tun
proto udp
tun-mtu 1400
remote [... meine ip ...] 1194
pkcs12 [.. mein key..]
cipher AES-256-CBC
auth SHA256
tls-auth ta.key
verb 3
remote-cert-tls server
verify-x509-name [...hostname...] name
Nur so eine Vermutung... evtl. kommt die Gegenstelle (IPCop) nicht mit Einstellugen wie

Code: Select all

auth SHA256
und vor allem

Code: Select all

verify-x509-name [...hostname...] name
klar. Soweit ich mich erinnere, konnte die bei der letzten IPCop verwendete Version von OpenVPN noch keine x509-Prüfung der Gegenstelle.

Vielleicht hilft das ja.

Post Reply