Speedport W701V+freetz+OpenVPN+iptables Samba-Nutzung

[watch_this]

Hallo,

also als erstes mal find ich das Forum hier wunderbar! Es hat mir schon gut weiter geholfen!

Nun aber zu meinem Problem:

Ich habe einen Speedport W701V mit freetz-1.1.3, OpenVPN, iptables und noch ein paar anderen Paketen.
Die Box verbindet sich als Client per VPN zu einem Server im Internet mit fester IP. Das Netz hinter der Box (192.168.178.0/24) wird via NAT hinter dem VPN-Netz (10.96.20.0/24) "versteckt".
Sprich ein PC im internen 192er Netz kann auf einen externen VPN Client im 10er Netz zugreifen (z.B. funktioniert VNC tadellos).
Nun möchte ich aber auch die Datei- und Druckerfreigabe von Windows zwischen den VPN-Client-PCs und den PCs im internen Netz nutzen und genau da liegt das Problem.
Dies geht nicht und ich weiß nicht mehr weiter. Kann mir hier vllt. jemand die Tomaten von den Augen nehmen?

MfG

 

[MaxMuster]

Zunächst mal musst du die IP nutzen, die "Windows-Namensauflösung" geht nicht.
Zum anderen können die "Ziel-PC" nur die "echten" VPN-Clients sein, nur die haben ja eine IP, die "internen" PCs sind eben keine VPN-Clients sondern nur die Box, deshalb können die jeweils eine Verbindung nur "initiieren", aber nicht angesprochen werden...

Jörg

 

[watch_this]

Danke für die schnelle Antwort!
Gibt es denn eine Möglichkeit die "Windows-Namensauflösung" auch noch zum laufen zu bekommen?

 

[MaxMuster]

So direkt nicht, denn die basiert auf "Broadcasts", die nur im LAN funktionieren.
Du kannst aber mit der Datei "lmhosts" (%windir%\system32\drivers\etc\lmhosts) eine Zuordnung Name - IP fest vornehmen (Beispiel siehe die "sample" Datei dort).

Ansonsten geht sowas wie "\\10.96.20.123\..." für Freigaben auf 10.96.20.123 oder Eingabe der IP bei "Computer Suchen".

Jörg

 

[watch_this]

Ok, gut. Dann geht ja doch fast alles so wie ich es wollte.
Dann danke ich nochmal vielmals!

 

[watch_this]

So ich hab mal ein wenig weiter nach einer Lösung für mein Problem gesucht und auch gefunden.

Da ich den VPN Tunnel über ein TAP-Device aufbaue bridge ich nun einfach das TAP-Device auf der Fritzbox mit dem LAN-Device und verzichte komplett auf das NAT'en.
Einziger "nachteil" - man muss das interne Netz ins selbe Subnetz packen, wie das VPN-Netz. Sprich aus den IP's 192.168.178.x wurden 10.96.20.x
Damit es zu keinem IP-Adressenkonflikt kommt habe ich einfach die OpenVPN Server config so angepasst, dass der Server die IP-Adressen aus meinem Heimnetz nicht vergibt.
Durch diese Lösung kann ich nun sämtliche Dienste nutzen die Broadcast benötigen. (z.B. die Windows Namensauflösung funktioniert ebenso wie UPnP-Geräte!)

Falls interesse an einer detailierten Beschreibung besteht kann ich die hier auch noch gerne posten!


Ein Problem habe ich nun trotzdem noch und ich weiß noch nicht so recht woran es liegen kann.

Wenn ich nun Dateien über das VPN kopiere und die Fritzbox den VPN Tunnel aufgebaut hat, bekomme ich nur eine maximale Downloadrate von ~210kb/s

Wenn ich den Tunnel nicht von der Fritzbox aufbauen lasse , sondern von einem anderen x beliebigen PC im Heimnetz (jedoch mit der selben VPN config der fritzbox) und dort ebenfalls das TAP-Device mit dem LAN-Device bridge, komme ich an die maximale Downloadrate meiner Internetverbindung (1,3MB/s)

Hat jemand eine Idee woran das liegen kann?

MfG

Kai

 

[MaxMuster]

Meine Vermutung: An der gewählten Konfig und der "Leistungsfähigkeit" der Box.

Zunächstmal ist generell TAP deutlich aufwändiger für den Client als TUN, dann hängt es vom Chipher ab usw.
Ein PC ist zig-mal leistungsfähiger als die Box, deshalb fällt das dort kaum ins Gewicht.
Ich vermute ein "top" auf der Box während der VPN-Nutzung würde eine sehr hohe Belastung anzeigen....

Jörg

 

[watch_this]

Also ich hab eben mal mittels "top" nachgeschaut beim kopiervorgang über den Tunnel und die CPU der Fritzbox lag bei 99,98%

Stellt sich mir die Frage, ob es mit einer Fritzbox 7270 besser wird oder, ob die 360MHz CPU der 7270 genau so, wie die 212MHz CPU der 7170 mit OpenVPN überlastet ist...

Und dann noch eine Frage... Welche chiper würdest du mir denn empfehlen, Jörg?

MfG

Kai

 

[MaxMuster]

Bei meiner Messung fürs Wiki hatte "Blowfish" mit Abstand den besten Durchsatz.

Prinzipiell (wenn es nicht auf "Sicherheit" ankommt), kannst du auch unverschlüsselt übertragen...

Jörg

 

[watch_this]

Auf die Seite vom Wiki bin ich eben auch gestoßen und hab da deine Ergebnise gesehen.
Bei meiner Messung hat es jedoch gar keinen Unterschied gemacht, ob ich nun AES-256-CBC oder BF-CBC nutze.
Die Auslastung der Box lag trotzdem bei 99% und die Übertragungsgeschwindigkeit ebenfalls bei ~ 210kb/s

Ohne Verschlüsselung ~310kb/s und ebenfalls 99% CPU-Last

Fragt sich nur, ob es sich in dem Fall lohnt auf eine 7270 umzusteigen... Die hat ja ein bissel mehr Leistung von der CPU her...

 

[olistudent]

Ich hab mal die Zahlen einer 7320 ergänzt.

Gruß
Oliver

 

[RalfFriedl]

Interessant. Die meisten Werte sind ungefähr doppelt so hoch, bis auf DES, da sind es nur ca. 20% mehr.

 

[MaxMuster]

... und die 7390 ist demnach nochmal ca. 25% "schneller".
Wenn man die "crypto-engine in hardware" in der CPU ansprechen/nutzen könnte, wäre da sicher noch deutlich mehr drin...

Jörg

 

[RalfFriedl]

Hast Du eine Dokumentation dazu, oder nur die Ankündigungen vom Hersteller?

 

[MaxMuster]

... ich bezog mich nur die Info vom Hersteller zu der CPU.
Hier: IP-Sec security crypto-engine in hardware.
und hier: Enables IPSec and Secure Sockets Layer (SSL) VPN implementation using on-chip cryptographic engines;

Aber du hast Recht, das könnte natürlich alles heißen.

Jörg

 

[RalfFriedl]

Ich glaube gern, daß die benötigten Funktionen auf dem Chip sind. Aber ohne genauere Beschreibung wird das nichts.

 

[MaxMuster]

Um mal auf das Ursprüngliche Problem des Durchsatzes zurückzukommen, das könnte ebenfalls ein Problem der MTU und Fragmentierung von Paketen sein, was sehr CPU-intensiv sein kann.

Du könntest mal versuchen, hier einzugreifen. Setze doch mal:
tun-mtu 1450
fragment 1300
mssfix
(die ersten beiden Werte kannst du bei "Experteneinstellungen" in die GUI eingeben als MTU und UDP fragmentieren, das "mssfix" bei den Optionen).

Wird das besser?
Eventuell den tun-mtu Wert mal auf 1400 setzen und mit den Werten "spielen".

Ich bin momentan aber nicht sicher, ob das bei "TAP" überhaupt wirkt...

Jörg

 

[watch_this]

So hab mal mit den Werten gespielt und mssfix hatte ich vorher auch schon in der config drin...
Mit dieser config (client) hatte ich den stabilsten und gleichzeitig höchsten Datendruchsatz von anfangs 390kb/s, dieser stieg innerhalb von ca. 5min auf den Maximalwert von 415kb/s

client
float
dev tap

#MTU
tun-mtu 1400
fragment 1400
mssfix

#tcp oder udp
proto udp

#Server IP
remote Server-IP Port

#force authentication
#WICHTIG: hier den COMMON Name vom Server Zertifikat nehmen!
tls-remote COMMON Name

ca /var/tmp/flash/ca.crt
cert /var/tmp/flash/box.crt
key /var/tmp/flash/box.key


auth SHA1
cipher none
nobind
comp-lzo
persist-key
persist-tun
verb 3

Bei allen anderen Werten sackt die Übertragungsrate um min. 20kb/s ab...

Ich denke mehr kann man dort auch nicht mehr rausholen, da die Box zu wenig Leistung hat oder was meint ihr dazu?

Kai