| View previous topic :: View next topic |
| Author |
Message |
Anarcho
Advocate
Joined: 06 Jun 2004
Posts: 2970
Location: Germany
|
 Posted: Sat Mar 19, 2005 10:07 pm Post subject: |
 |
|
Der ist noch nicht so alt, da wird sich wohl nicht viel getan haben.
Daher finde ich die OpenVPN Lösung genauso sicher aber einfacher zu installieren und zu benutzen.
_________________
...it's only Rock'n'Roll, but I like it! |
|
| Back to top |
|
 |
Neo_0815
l33t
Joined: 24 Feb 2003
Posts: 815
Location: Leipzig
|
| Posted: Sun Mar 20, 2005 3:37 pm Post subject: |
|
|
Naja das Mark Target war als umständlich beschrieben, die IPSec Policy war aber als adäquat genannt ... ich werd mich melden sobald ich live ausprobiert habe obs wirklich so schwer ist, derzeit nutze ich ja den nativen Stack schon für ESP Pakete, nur der Router muss noch dran kommen - mal sehn wies wird.
Denn dann finde ich ist es so schon besser, da Kernel Space meist schneller läuft als Userspace, siehe pppoe im Kernel / Userland, die im Kernel sind zig mal schneller.
MfG
_________________
[img:76661e22b8]http://www.biersekte.de/biersektebanner.gif[/img:76661e22b8] |
|
| Back to top |
|
|
Anarcho
Advocate
Joined: 06 Jun 2004
Posts: 2970
Location: Germany
|
| Posted: Mon Mar 21, 2005 8:18 am Post subject: |
|
|
Naja,
aber der Trend geht schon in Richtung Userland, siehe udev.
Und generell kann man das auch nicht sagen das kernelspace schneller ist als userspace.
Und die einfache Installation ist schon ein wichtiges Argument. Ebenso die Portablilität,
z.b. wenn jetzt jemand mit nem Fedaro Core 2 connecten möchte und der keinen IPSec-Unterstützung im Kernel hat (keine Ahnung ob FC2 jetzt IPSec drinne hat oder nicht, ist nur ein Beispiel), er aber auch den Kernel nicht neukompilieren will (Firmenpolitik, Können, etc.) , geht es nicht.
Mit OpenVPN ist es egal welchen Kernel er einsetzt und welches OS ebenfalls.
_________________
...it's only Rock'n'Roll, but I like it! |
|
| Back to top |
|
|
Neo_0815
l33t
Joined: 24 Feb 2003
Posts: 815
Location: Leipzig
|
|
| Back to top |
|
|
Anarcho
Advocate
Joined: 06 Jun 2004
Posts: 2970
Location: Germany
|
| Posted: Mon Mar 21, 2005 11:18 am Post subject: |
|
|
Ich bin natürlich auch für andere Lösungen offen. Wenn du es mal durchtestest wäre ich für einen Kommentar dankbar!
Und ob das mit iptables nun geht oder nicht würde mich auch interessieren.
_________________
...it's only Rock'n'Roll, but I like it! |
|
| Back to top |
|
|
daemonb
Apprentice
Joined: 24 Jul 2002
Posts: 242
|
| Posted: Mon Mar 21, 2005 12:54 pm Post subject: |
|
|
habe seit ca einem halben jahr openvpn mit meinem wlan laufen und bin eher unzufrieden.
Habe unter windows schon alles mögliche probiert und habe immer mit verbindungsabbrüchen oder routingfehler zu kämpfen die keine sind.
Werde nächste WE mal forschen was ich noch machen kann, habe aber langsa genug und werde denke ich evtl mal mit ipsec und l2tp probieren was zu reissen....
Lasse mich mal überraschen....
bis denne
DaemonB
_________________
Wie? Ein Laufwerk kann in einem Ordner stehen?  |
|
| Back to top |
|
|
Anarcho
Advocate
Joined: 06 Jun 2004
Posts: 2970
Location: Germany
|
| Posted: Mon Mar 21, 2005 1:00 pm Post subject: |
|
|
Bei mir läuft das jetzt seit Anfang des Jahres und ich kann deine Probleme nicht bestätigen. Bisher gab es nicht ein Problem.
Was ich mir bei dir vorstellen kann wäre ein Verlust der Leitung auf Grund zu schwacher WLAN-Leistung.
Wobei da gerade das auf UDP basierende OpenVPN weniger Probleme machen sollte (würde ich meinen).
_________________
...it's only Rock'n'Roll, but I like it! |
|
| Back to top |
|
|
daemonb
Apprentice
Joined: 24 Jul 2002
Posts: 242
|
| Posted: Mon Mar 21, 2005 1:59 pm Post subject: |
|
|
habe das problem ja nur mit dem einen windowsXP laptop.
Zuerst ging es garnicht, das lag aber daran das da SP2 drauf war.
Also deinstalliert und dann gings erst, jetzt zickt er immer rum, vonwegen routing problem packet lost....
Denke es liegt evtl auch an der Kerio FW oder ähnlichem....
Mit meinem Powerbook geht es eigentlich relativ stressfrei.
_________________
Wie? Ein Laufwerk kann in einem Ordner stehen? |
|
| Back to top |
|
|
Neo_0815
l33t
Joined: 24 Feb 2003
Posts: 815
Location: Leipzig
|
|
| Back to top |
|
|
Anarcho
Advocate
Joined: 06 Jun 2004
Posts: 2970
Location: Germany
|
| Posted: Tue Mar 22, 2005 5:18 pm Post subject: |
|
|
@Neo
für nen richtigen Test sollten wir wohl die Art des testes abstimmen.
Bei mir läuft es auf einem Athlon XP 2000+ mit 1 GB RAM. Aber dort läuft noch ne ganze menge anderes Zeug. Ich kann dir aber sagen wieviel CPU der openvpn-daemon nimmt.
Ist dein Wert unter Netzwerkvolllast oder unter normallast?
Edit:
Unter fast DSL-Vollast (ca. 300 kb/s) liegt der openvpn daemon bei max. 2% CPU
_________________
...it's only Rock'n'Roll, but I like it! |
|
| Back to top |
|
|
Neo_0815
l33t
Joined: 24 Feb 2003
Posts: 815
Location: Leipzig
|
| Posted: Mon Mar 28, 2005 6:40 pm Post subject: |
|
|
Geht alles mittlerweile.
Größter Vorteil die Performance, IPSec frißt definitv das xx-fache im Gegensatz zu OpenVPN, das Argument für den armen P90 .
Ein Problem gibts aber noch: Openvpn erstellt auf dem Client das tap1 Device nicht schnell genug so das das Init Script zum starten von tap1 scheitert ... was den Bootvergang verewigt da die Netzanbindung fehlt, wie kann man das beheben?
Ein sleep in den Startscripten hilft nicht.
Gruß
_________________
[img:76661e22b8]http://www.biersekte.de/biersektebanner.gif[/img:76661e22b8] |
|
| Back to top |
|
|
AcheronH
n00b
Joined: 21 Oct 2003
Posts: 8
|
| Posted: Wed Apr 13, 2005 3:43 am Post subject: |
|
|
@Anarcho:
Wie siehts eigentlich aus, wenn bei deiner config das tap device mal verschwindet? Wenn ich die OpenVPN Doku richtig verstehe könnte das ja passieren, wenn OpenVPN-Server und -Client sich mal nicht mehr verstehen (einfach zu triggern, indem man die Uhrzeit mal deutlich verstellt bzw den Dienst auf dem Server einfach mal neu startet). Schonmal Probleme gehabt oder funktioniert das immer sauber?
Ich hab das so ähnlich aufgesetzt wie du (bin zu spät auf deine FAQ gestoßen), hab aber dazu auf dem Server das WLAN mit dem LAN als bridge zusammengeführt. Das funktioniert auch recht gut, nur hab ich auf den clients keine init-scripte für tap0 sondern lasse das als route-up script vom openvpn aus starten.
Das hat bei mir den Vorteil, dass ich mit dem Notebook sowohl aus dem LAN als auch WLAN dieselbe IPV4-Adresse habe (die er vom LAN-dhcp bezieht).
Bei Interesse kann ich die configs mal posten.
_________________
__
success is the ability to go from one failure to another with no loss of enthusiasm (W. Churchill) |
|
| Back to top |
|
|
Neo_0815
l33t
Joined: 24 Feb 2003
Posts: 815
Location: Leipzig
|
| Posted: Wed Apr 13, 2005 9:17 am Post subject: |
|
|
Naja nein die Bridge nutze ich nicht, ich route korrekt und gut.
Aber das mit dem Device ist so, wenn openvpn startet dauert es lange bis der Kernel das Device anlegt oder udev, einer von beiden mehrt, ich habe jetzt per Hand "provide, use" Direktiven in die Startscripte so eingebaut, das das Device da ist wie es soll.
Ein "sleep" im openvon hat nix geholfen, sehr interessantes Problem ...
MfG
_________________
[img:76661e22b8]http://www.biersekte.de/biersektebanner.gif[/img:76661e22b8] |
|
| Back to top |
|
|
AcheronH
n00b
Joined: 21 Oct 2003
Posts: 8
|
| Posted: Thu Apr 14, 2005 5:30 am Post subject: |
|
|
| Neo_0815 wrote: | Naja nein die Bridge nutze ich nicht, ich route korrekt und gut.
Aber das mit dem Device ist so, wenn openvpn startet dauert es lange bis der Kernel das Device anlegt oder udev, einer von beiden mehrt, ich habe jetzt per Hand "provide, use" Direktiven in die Startscripte so eingebaut, das das Device da ist wie es soll.
Ein "sleep" im openvon hat nix geholfen, sehr interessantes Problem ...
MfG |
Mein Post bezog sich auch weniger auf dein Problem. Nach deiner Aussage nehme ich an, dass du das Problem jetzt aber gelöst hast. Ansonsten fällt mir nur noch eine recht hässliche Lösung ein: man könnte z.B. in der Konfigurationsdatei vom OpenVPN-Client im "up" oder "route-up" script ein flagfile (bzw. flagdirectory, mkdir=atomar?) setzen lassen, worauf dann die folgenden initscripte testen könnten. Aber solche Kapriolen sollte man soweit möglich vermeiden.
_________________
__
success is the ability to go from one failure to another with no loss of enthusiasm (W. Churchill) |
|
| Back to top |
|
|
Anarcho
Advocate
Joined: 06 Jun 2004
Posts: 2970
Location: Germany
|
| Posted: Thu Apr 14, 2005 7:43 am Post subject: |
|
|
Komisch,
@neo: schön das es bei dir klappt. Das der Unterschied an CPU-Last so deutlich ist, hätte ich nicht vermutet.
Aber ich habe keinerlei solche probleme mit nicht vorhandensein des tap-devices gehabt.
Und zum Thema verbindungsabbruch: Damit habe ich sehr gute Erfahrung gemacht:
Wenn ich mein Notebook mit suspend-to-disk ausschalte und wieder hochfahre, dann denkt der Server ja, das während das Notebook aus ist, das die Verbindung abgebrochen ist. Aber wenn ich es wieder hochfahre, dann wird die Verbindung ja nicht manuell wiederhergestellt, da der openvpn daemon ja noch läuft. Dieser baut dann selbstständig die Verbindung wieder her. Man muss nur kurz warten.
_________________
...it's only Rock'n'Roll, but I like it! |
|
| Back to top |
|
|
benjamin200
Veteran
Joined: 01 Feb 2004
Posts: 1426
Location: DE Munich
|
| Posted: Thu Apr 14, 2005 11:43 am Post subject: |
|
|
Auf dieses Howto sollte in "Dokumentationen & Tipps & Tricks" gelinked werden.
Gruß,
Benjamin
_________________
Gentoo Linux Stage1 / Kernel 2.6.18
AMD Athlon64 3500+ on Asus A8N-E / 1024 MB DDR-RAM / ATI X700 PCIe
Take LINUX and forget Blue Screens |
|
| Back to top |
|
|
Squiddle
Tux's lil' helper
Joined: 27 Jan 2004
Posts: 141
|
| Posted: Thu Apr 14, 2005 11:50 am Post subject: |
|
|
kommt das auch ins wiki? www.gentoo-wiki.com
_________________
"Unerhört schnelle Systeme begehen unerhört schnell Fehler." -- Stanislaw Lem |
|
| Back to top |
|
|
Anarcho
Advocate
Joined: 06 Jun 2004
Posts: 2970
Location: Germany
|
| Posted: Thu Apr 14, 2005 12:22 pm Post subject: |
|
|
Werde das mal ins WIKI stellen, wenn ich zeit habe.
_________________
...it's only Rock'n'Roll, but I like it! |
|
| Back to top |
|
|
Neo_0815
l33t
Joined: 24 Feb 2003
Posts: 815
Location: Leipzig
|
| Posted: Thu Apr 14, 2005 6:40 pm Post subject: |
|
|
| Anarcho wrote: | Komisch,
@neo: schön das es bei dir klappt. Das der Unterschied an CPU-Last so deutlich ist, hätte ich nicht vermutet.
Aber ich habe keinerlei solche probleme mit nicht vorhandensein des tap-devices gehabt.
|
Naja das Deviceinit Script ist zu fix an der Reihe, da ist OpenVPN noch am Erzeugen ... daher ist es nicht da.
Gruß
_________________
[img:76661e22b8]http://www.biersekte.de/biersektebanner.gif[/img:76661e22b8] |
|
| Back to top |
|
|
Squiddle
Tux's lil' helper
Joined: 27 Jan 2004
Posts: 141
|
|
| Back to top |
|
|
Anarcho
Advocate
Joined: 06 Jun 2004
Posts: 2970
Location: Germany
|
| Posted: Fri Apr 15, 2005 7:54 am Post subject: |
|
|
Sieht doch schon ganz gut aus.
Ich habe noch den Eintrag zu den Kernelvorraussetzungen geändert, denn bei neueren Kerneln braucht man support für das Universal TUN/TAP Device.
Ich meine das ich das damals nicht gebraucht habe, werde aber nochmal nen alten Kernel testen.
_________________
...it's only Rock'n'Roll, but I like it! |
|
| Back to top |
|
|
AcheronH
n00b
Joined: 21 Oct 2003
Posts: 8
|
| Posted: Fri Apr 15, 2005 3:52 pm Post subject: |
|
|
| Anarcho wrote: |
[...]
Und zum Thema verbindungsabbruch: Damit habe ich sehr gute Erfahrung gemacht:
Wenn ich mein Notebook mit suspend-to-disk ausschalte und wieder hochfahre, dann denkt der Server ja, das während das Notebook aus ist, das die Verbindung abgebrochen ist. Aber wenn ich es wieder hochfahre, dann wird die Verbindung ja nicht manuell wiederhergestellt, da der openvpn daemon ja noch läuft. Dieser baut dann selbstständig die Verbindung wieder her. Man muss nur kurz warten. |
Man sollte einfach nicht so früh am Tag ins Forum schreiben, da hapert es immer mit dem Nachdenken.
Ich sehe den Unterschied in unseren Konfigurationen: du erstellst das tap device auf den clients per Init-Script, bei mir wird das jeweils von openvpn verwaltet. Daher wirst du client-seitig keine Probleme damit haben, denn das tap-device startet sich ja auch beim boot aus dem suspend per initscript wieder einen dhcpcd (?).
Was mich aber immer noch interessiert ist, was passiert wenn du den openvpn-server neu startest. Läuft es dann auch problemlos weiter? Der dhcpcd, der auf dem tap-device läuft, ist dann vermutlich schon weg und würde sich keine neue Adresse holen oder liege ich da falsch?
Ausserdem: ich sehe, dass du in deiner Server-Config kein client-to-client keyword hast. Sollen sich deine WLAN-clients nicht gegenseitig sehen? Tun sie es auch ohne das keyword (bei mir nicht...)?
Hast du bei dir Verbindungen ins LAN vorgesehen, oder willst du die Netze absolut trennen?
Fragen über Fragen... 
_________________
__
success is the ability to go from one failure to another with no loss of enthusiasm (W. Churchill) |
|
| Back to top |
|
|
Neo_0815
l33t
Joined: 24 Feb 2003
Posts: 815
Location: Leipzig
|
| Posted: Sun Apr 17, 2005 10:41 am Post subject: |
|
|
| AcheronH wrote: | | Anarcho wrote: |
[...]
Und zum Thema verbindungsabbruch: Damit habe ich sehr gute Erfahrung gemacht:
Wenn ich mein Notebook mit suspend-to-disk ausschalte und wieder hochfahre, dann denkt der Server ja, das während das Notebook aus ist, das die Verbindung abgebrochen ist. Aber wenn ich es wieder hochfahre, dann wird die Verbindung ja nicht manuell wiederhergestellt, da der openvpn daemon ja noch läuft. Dieser baut dann selbstständig die Verbindung wieder her. Man muss nur kurz warten. |
Hast du bei dir Verbindungen ins LAN vorgesehen, oder willst du die Netze absolut trennen?
Fragen über Fragen... |
Geht mit den richtign Routen ohne Probleme, das ist vom OpevVPN nicht abhängig.
MfG
_________________
[img:76661e22b8]http://www.biersekte.de/biersektebanner.gif[/img:76661e22b8] |
|
| Back to top |
|
|
AcheronH
n00b
Joined: 21 Oct 2003
Posts: 8
|
| Posted: Mon Apr 18, 2005 11:29 pm Post subject: |
|
|
| Neo_0815 wrote: | | AcheronH wrote: |
Hast du bei dir Verbindungen ins LAN vorgesehen, oder willst du die Netze absolut trennen?
Fragen über Fragen... |
Geht mit den richtign Routen ohne Probleme, das ist vom OpevVPN nicht abhängig.
MfG |
Warum willst du dafür ip-routing bemühen - das wäre doch ein ziemlich krasser Umweg?
Mir gehts auch unter anderem um direkten Zugriff im Ethernet, nicht auf IP-Ebene.
Für den Fall, dass man mal D**m übers Netz zocken will, ohne dass man lange vorbereiten müsste.
_________________
__
success is the ability to go from one failure to another with no loss of enthusiasm (W. Churchill) |
|
| Back to top |
|
|
Anarcho
Advocate
Joined: 06 Jun 2004
Posts: 2970
Location: Germany
|
| Posted: Tue Apr 19, 2005 6:33 am Post subject: |
|
|
Da müsste ich mal ethereal anwerfen wie Client-to-Client Traffic verläuft.
Aber mir ist Client-to-Client Traffic egal, denn bei mir geht es nur um den Server (Fileserver und Router)
und das neustarten des Servers halte ich für unwahrscheinlich bzw. noch aus anderen Gründen für sehr schlecht, daher würde mir im Falle des neustarten des Servers sowieso ein wenig Handarbeit nicht erspart.
Wenn dein Server ständig neustartet, machst du was falsch 
_________________
...it's only Rock'n'Roll, but I like it! |
|
| Back to top |
|
|
|
Deutsches Forum (German) 
