[Gelöst] OpenVPN Frage

[cando]

Hallo,

Ich habe OpenVPN ins Freetz Image eingebaut und wie im Wiki für den tap Betrieb konfiguriert:

proto udp
dev tap
secret fritz.key
port 1194
tun-mtu 1500
mssfix
verb 3
cipher BF-CBC
comp-lzo
keepalive 10 120
remote myserverdyndns.com 1194
ifconfig 192.168.0.99 255.255.255.0

Ich kann mich mit der Config mich sowohl von Windows aus, als auch von Linux verbinden. Ping geht auch in das LAN. Ich kann auch die UI der Fritzbox aufrufen, nur sind die so langsam und reagieren fast gar nicht. Es dauert echt 5 Minuten, von der Login Maske bis zum Bildaufbau, viele Bilder des UI werden gar nicht geladen. Über SAMBA kann ich mich flott durch die Verzeichnisse durch den Tunnel durchhangeln - Dateien öffnen ist aber wiederum extrem langsam, VoIP Telefonie geht durch den Tunnel dagegen ohne ruckeln.

Mir fällt nichts mehr ein, warum sich das ganze so komisch verhällt. Ich habe hier eine SDSL Verbindung mit 2 MBit Up/Down und an der FritzBox 16000 DSL mit 1 Mbps uplink. Das sollte doch für das bisschen http reichen, oder nicht?

Übrigens auch ssh auf die box verhällt sich komisch. Die Anmeldung ist flott, wenn man aber ein Kommando absetzt, das eine längere Ausgabe hat, (z.B. ps) hängt sich die Konsole mittendrin komplett auf.

Die Ports sind an den Firewalls durchgeschaltet, auch die Portfreigabe der Box ist richtig eingetragen, es werden keine Pakete an der Firewall abgelehnt.

Hat jemand eine Idee, woran diese schlechte Performance des Fritz / Freetz UI durch den Tunnel liegen kann? Muss ich noch irgendwelche Parameter setzen?

 

[RalfFriedl]

Vielleicht mußt Du die MTU reduzieren. Das würde dazu passen, daß kurze Pakete ohne Schwierigkeiten durch kommen, große Pakete aber blockiert werden.

 

[cando]

Danke für den Tipp! ich habe die MTU auf 576 herabgesetzt (X.25 Standard), seitdem funktioniert es gut über die t-com hotspots.

 

[RalfFriedl]

Eine MTU von 576 ist aber sehr wenig. Hast Du auch überprüft, ob es mit größeren Werten tatsächlich nicht geht?

 

[cando]

es ist sehr komisch.

MTU 1500 / 1496 : mein 3cx Softphone funktioniert super, http auf die Box hängt
MTU 576 : http funktioniert, SIP Phone kann sich nicht mehr anmelden.

Was nimmt man denn für Werte?

 

[colonia27]

Hi cando,
die relevanten Teile deiner config aus #1 sind bei mir eigentlich identisch und ich hab keinerlei Probleme.
Auf welcher Box versuchst du das ganze eigentlich? 7390?
Den bescheuerten chronyd mal ausm Image geschmissen?..... obwohl es wohl eher nicht daran liegt.

 

[cando]

der chrony ist raus, es ist die 7390 mit der 91er Firmware. Ich hab mich jetzt an eine MTU von 1200 herangetastet, bei der beides, VoIP durch den Tunnel und die TCP / HTTP Sachen. aber es ist schon irgendwie komisch. Ich teste das über einen Hotspot der T-Com. Es kann schon sein, dass da irgendwelche Beschränkungen existieren.

 

[RalfFriedl]

es ist sehr komisch.

MTU 1500 / 1496 : mein 3cx Softphone funktioniert super, http auf die Box hängt
MTU 576 : http funktioniert, SIP Phone kann sich nicht mehr anmelden.

Was nimmt man denn für Werte?

Man nimmt den höchsten Wert, der funktioniert.
Das Softphone sendet sowieso keine großen Pakete, dem ist die MTU egal.

Du kannst den Wert in Hunderter-Schritten erhöhen. Wenn es nicht mehr geht, probierst Du die Zehner, usw. bis Du den höchsten wert gefunden hast, bei dem es noch funktioniert.

Man kann auch rechnerisch herangehen:
MTU 1500 bei einer normalen Ethernet Verbindung.
MTU 1500-8=1492 bei PPPoE, weil 8 Bytes für PPPoE genutzt werden.
MTU 1492-x bei OpenVPN über PPPoE.
Bei einem WLAN Hotspot hast Du vermutlich eine MTU von 1500 und nicht 1492. Wenn der Hotspot aber über DSL (oder anderweitig über PPPoE) angebunden ist, kann er trotzdem nur Pakete bis 1492 Bytes übertragen, so daß die MTU effektiv doch bei 1492 liegt.