marco-83
Goto Top

OpenVPN PKI+Auth-User-Pass Packet loss(PFSENSE)

Guten Tag in die Runde,

ich habe mal wieder ein sehr merkwürdiges Verhalten / Problem an unserem VPN Gateway festgestellt. In Zeiten von Homeoffice nutzen natürlich auch viele User unser VPN, aktuell haben wir zwischen 80 und 100 Clients auf einem OpenVPN Server hängen. Nun haben sich vermehrt Personen über Sekunden Aussetzer bei der Telefonie beklagt, was mich zur Nachforschung angeregt hat. Bedingt durch unsere DNS/VPN Konfiguration läuft der VOIP Traffic vom Softclient der User aus dem Homeoffice ebenfalls durch den Tunnel, soweit so gut.

Der OpenVPN Server läuft mit der aktuellsten PFSENSE auf Netgate Hardware im HA Cluster. Alles super. Das VPN läuft auf UDP mit PKI+ Auth-User-Pass. Es hat jeder Benutzer ein eigenes Zertifikat, zusätzlich wird noch der AD User abgefragt beim Login. Die Benutzer werden auf der PFSENSE über LDAP von unseren beiden DC's (2019 Server) am Hauptstandort verifiziert. Läuft alles ohne Probleme seit Jahren.

Nun habe ich mal ein wenig nachgeforscht, einen Client verbunden und einen Ping auf beide DC'S laufen lassen. Soweit stabil um die 20ms! SSH auf die Master PFSESE Kiste und das openvpn.log getailt. Da kann man wirklich nachweislich die Uhr danach stellen, sobald sich ein User einloggt im VPN, geht der Ping im Optimalfall auf 300ms im schlechtesten Fall gibts ein Timeout, welches natürlich bei einem Telefonat sofort zu einem Aussetzer führt. (das ist bei allen Clients zur gleichen Zeit so) Wenn man genau darauf achtet, merkt man es auch im Remotedesktop, sollte dem normalen User aber nicht auffallen face-wink

Nun habe ich Google etwas bemüht und bin auch fündig geworden, auch wenn der Beitrag sehr alt ist.

https://community.openvpn.net/openvpn/ticket/222?__cf_chl_jschl_tk__=900 ...

Hat jemand von euch ähnliche Probleme beobachten können? Vermutlich steht der OpenVPN Server für die Zeit der LDAP Abfrage halt einfach still(single Thread). Ich habe jetzt noch nicht näher untersucht, wie PFSENSE die Sache eingebunden hat, soll wohl auch externe Module geben.

Habe zusätzlich auch noch einen Thread im NETGATE Forum erstellt.

Content-ID: 665984

Url: https://administrator.de/contentid/665984

Ausgedruckt am: 22.11.2024 um 07:11 Uhr