0sindbad0
Goto Top

Kopierabbrüche über VPN

Hallöchen,

wir haben ein Phänomen beim kopieren von Dateien, was ich mir aktuell nicht erklären kann und bitte um Mithilfe.

Es existiert eine Windows Freigabe auf einem Rechenzentrumsserver. Dort liegen beispielhaft 2 Dateien. Eine ist 12MB, die andere 38MB groß. Der Server ist über ein VPN zwischen zwei pfsensen mit einem LAN im Büro verbunden: Mode: Peer to Peer ( SSL/TLS )
Data Ciphers: AES-256-CBC
Digest: SHA256
D-H Params: Disabled, ECDH Only

Kopiert man die 12MB Datei, bleibt sie bei 55% hängen und bricht dann reproduzierbar ab. Kopiert man die 38MB Datei, ist alles ok. Von mehreren Rechnern das gleiche Bild. Beim Zugang vom HomeOffice ebenfalls über diese pfsense per VPN, allerdings ein separater VPN-Dienst, ist alles gut. Es gibt noch viele andere Dateien, die ok sind und eine handvoll Dateien, die nicht gehen. Auch Kopien gehen nicht.

Ich vermute schon die Umstellung von PreShared Key auf SSL/TLS dahinter, kann mir aber gar keinen Reim darauf machen. Vielleicht habt ihr eine Idee?

Content-Key: 32440468380

Url: https://administrator.de/contentid/32440468380

Printed on: July 16, 2024 at 19:07 o'clock

Member: radiogugu
radiogugu Jun 15, 2024 at 05:07:08 (UTC)
Goto Top
Moin.

Wie sind denn die Subnetze auf den beiden Seiten?

Hast du mal einen Paketmitschnitt auf beiden Seiten bei erfolglosem und erfolgreichem Kopieren erstellt und diesen dann mal im Wireshark gegengelesen?

Ist das ein IPSec Tunnel?

Mal einen Wireguard Tunnel zwischen den Sensen getestet?

Stehen die Sensen in einer Routerkaskade oder direkt hinter einem Modem?

Gibt es öffentliche, statische IPv4 Adressen an beiden Standorten?

Zitat von 0sindbad0:
allerdings ein separater VPN-Dienst, ist alles gut.

Verrätst du uns das Protokoll auch?

Gruß
Marc
Member: aqui
aqui Jun 15, 2024 updated at 12:05:47 (UTC)
Goto Top
Die Beschreibung ist in der Tat etwas wirr...
Man kann nur im freien Fall kristallkugeln welches VPN Protokoll auf welcher Hardware (AES/NI?!) der TO denn nun verwendet?
Bei "SSL/TLS" bleibt eigentlich nur das er sich vermutlich fatalerweise für das antike und mies performende OpenVPN statt IPsec mit IKEv2 auf den pfSense entschieden hat was aber nur geraten ist.
Bei solch großen Datentransfers sicherlich das völlig falsche VPN Protokoll und zur Anwendung völlig kontraproduktiv. Ein Bild sagt mehr als 1000 Worte.
vpnperf
Wenn dann auch noch obendrein TCP als Encapsulation gewählt wurde statt UDP (auch das müssen wir uns ja dazuraten... face-sad ) nimmt das Unglück dann seinen vorhersehbaren Lauf durch die dann mit Sicherheit auftretenden MSS und MTU Problematiken und dem o.a. typischen Fehlerbild.
Aber durch die recht oberflächlichen Informationen alles nur wilde Spekulation... face-sad
Mit einem sauberen IPsec, IKEv2 Site2Site VPN wäre das "Problem" gar nicht erst aufgetreten und der Thread vermutlich obsolet... face-wink
Member: micneu
micneu Jun 18, 2024 at 15:43:07 (UTC)
Goto Top
Ich schließe mich teilweise den anderen an.
Bitte mehr Informationen:
- Verwendete Hardware & pfSense Version?
- Was für eine Anbindung im RZ (Bandbreite, aber wenn ich von Unserem RZ ausgehe, sollte das kein Problem sein, wir sind mit 10Gbit/s angebunden)
- Verwendete VPN-Protokoll?
@aqui OpenVPN ist gar nicht mehr so langsam wenn man DCO Aktiviert
scr-20240618-pmtz
Member: aqui
aqui Jun 18, 2024 updated at 17:45:49 (UTC)
Goto Top
Der Knackpunkt ist aber die fehlende Multiprozessor Fähigkeit und die lahme Verschlüsselung. Siehe auch hier.
Vermutlich aber eh egal, denn das fehlende Feedback des TOs zeigt ja ein Desinteresse an einer zielführenden Lösung. face-sad
How can I mark a post as solved?
Member: 0sindbad0
0sindbad0 Jun 20, 2024 at 14:43:50 (UTC)
Goto Top
Tatsächlich habe ich nicht OpenVPN geschrieben, stimmt. Ist denn wirklich nur im Ansatz zu vermuten, dass die Bandbreite der Internetverbindung dafür verantwortlich ist, dass eine Datei mit 12MB IMMER bei 55% abbricht und eine Datei mit 40MB, direkt daneben abgelegt, nicht? IPSec interessiert mich in dieser Frage nicht. Statische IP Adressen? Bei dieser Fehlerbeschreibung? Wirklich? Ja es sind statische Adressen. Ich kenne den Aufbau des RZ nicht. Ich lande auf einer VM mit pfsense in der neuesten Version. Das RZ hat eine Sophos und VM-Ware mit IBM Kram. Macht ein Dienstleister. Hier ist eine Routerkaskade. Auf der anderen Seite direkt hinter Modem eine Netgate 2100. Früher ging nur Webdav, ist auch noch nicht abgeschalten aus Gründen. Seit 4 Jahren OpenVPN von mir als Laienadmin betrieben inkl Easy-RSA und seit kurzem beschriebenes Problem zwischen den Standorten.
TCP statt UDP. Ok. Bei dem Fehlerbild relevant? Echt? Es ist UDP. Das ist ein typisches MTU Problem? Wo entsteht die Korrelation zwischen 12MB gehen nicht, aber 40MB gehen? Wenn was nicht durch passt, dann doch das Größere?

Ein Vergleich in Wireshark zeigt bei der fehlerhaften Übertragung einen "Ioctl Request FSCTL_Query_Network_Interface_INFO" und einen "IOCTL Request FSCTL_Offload_REad" der mit einem Error : Unknown beantwortet wird. Hier dürfte ein Punkt sein, den ich aber nicht deuten kann. Kopiere ich die problematische Datei auf dem Server (lokal per RDP) und lege sie direkt daneben ab, bleibt das Problem der Übertragung über das VPN exakt erhalten.

Und JA, es ist nur prio2 wichtig. Die Homeofficeverbindung geht und ich verdiene lieber Geld, als mich mit diesem Problem vordergründig zu beschäftigen. Es sind eine handvoll Dateien, die nicht im Backup landen. "Standort" ist auch ein sehr großer Begriff für unsere Situation.

Danke.

PS: Gibt es neben "Markiere als Lösung" auch z.B. "Wie verhalte ich mich im normalen Leben anderen gegenüber" ? Ich frage nur für einen Freund. Aber vielleicht versteht er das auch ganz falsch, weil zu wenige Informationen und Desinteresse.
Member: micneu
micneu Jun 20, 2024 updated at 17:25:35 (UTC)
Goto Top
@0sindbad0 Leider habe ich deinen Text nur teilweise verstanden:
Du schreibst, ihr habt eine Routerkaskade:
- Warum?
- Macht ihr Doppel/mehrfach NAT?
- Und wenn ihr doppel/mehrfach NAT macht, warum macht ihr das?
- Wenn du nur der der „Laienadmin“ bist, warum kümmert sich dann nicht der richtige admin darum oder ihr übergebt das eurem Dienstleiser, der ja vielleicht profi ist?
Damit wir dir vielleicht helfen können, bitte screenshots:
- OpenVPN Server Config (läuft die auf der pfSense)?
- pfSense version?
Bitte mal einen Detaillierten Grafischen Netzwerkplan, so können wir uns ein genaues Bild von dem Aufbau machen

PS: das ist nicht mehr aktuell "Data Ciphers: AES-256-CBC" Empfehlung ist "AES-256-GCM" & "CHACHA20-POLY1305"
Member: aqui
aqui Jul 08, 2024 at 07:53:00 (UTC)
Goto Top
Wenn es das denn nun war bitte dann auch nicht vergessen deinen Thread hier als erledigt zu schliessen!
How can I mark a post as solved?