Der ist noch nicht so alt, da wird sich wohl nicht viel getan haben.
Daher finde ich die OpenVPN Lösung genauso sicher aber einfacher zu installieren und zu benutzen.
Wlan mit OpenVPN schützen
Message
Naja das Mark Target war als umständlich beschrieben, die IPSec Policy war aber als adäquat genannt ... ich werd mich melden sobald ich live ausprobiert habe obs wirklich so schwer ist, derzeit nutze ich ja den nativen Stack schon für ESP Pakete, nur der Router muss noch dran kommen - mal sehn wies wird.
Denn dann finde ich ist es so schon besser, da Kernel Space meist schneller läuft als Userspace, siehe pppoe im Kernel / Userland, die im Kernel sind zig mal schneller.
MfG
Denn dann finde ich ist es so schon besser, da Kernel Space meist schneller läuft als Userspace, siehe pppoe im Kernel / Userland, die im Kernel sind zig mal schneller.
MfG
Naja,
aber der Trend geht schon in Richtung Userland, siehe udev.
Und generell kann man das auch nicht sagen das kernelspace schneller ist als userspace.
Und die einfache Installation ist schon ein wichtiges Argument. Ebenso die Portablilität,
z.b. wenn jetzt jemand mit nem Fedaro Core 2 connecten möchte und der keinen IPSec-Unterstützung im Kernel hat (keine Ahnung ob FC2 jetzt IPSec drinne hat oder nicht, ist nur ein Beispiel), er aber auch den Kernel nicht neukompilieren will (Firmenpolitik, Können, etc.) , geht es nicht.
Mit OpenVPN ist es egal welchen Kernel er einsetzt und welches OS ebenfalls.
aber der Trend geht schon in Richtung Userland, siehe udev.
Und generell kann man das auch nicht sagen das kernelspace schneller ist als userspace.
Und die einfache Installation ist schon ein wichtiges Argument. Ebenso die Portablilität,
z.b. wenn jetzt jemand mit nem Fedaro Core 2 connecten möchte und der keinen IPSec-Unterstützung im Kernel hat (keine Ahnung ob FC2 jetzt IPSec drinne hat oder nicht, ist nur ein Beispiel), er aber auch den Kernel nicht neukompilieren will (Firmenpolitik, Können, etc.) , geht es nicht.
Mit OpenVPN ist es egal welchen Kernel er einsetzt und welches OS ebenfalls.
...it's only Rock'n'Roll, but I like it!
habe seit ca einem halben jahr openvpn mit meinem wlan laufen und bin eher unzufrieden.
Habe unter windows schon alles mögliche probiert und habe immer mit verbindungsabbrüchen oder routingfehler zu kämpfen die keine sind.
Werde nächste WE mal forschen was ich noch machen kann, habe aber langsa genug und werde denke ich evtl mal mit ipsec und l2tp probieren was zu reissen....
Lasse mich mal überraschen....
bis denne
DaemonB
Habe unter windows schon alles mögliche probiert und habe immer mit verbindungsabbrüchen oder routingfehler zu kämpfen die keine sind.
Werde nächste WE mal forschen was ich noch machen kann, habe aber langsa genug und werde denke ich evtl mal mit ipsec und l2tp probieren was zu reissen....
Lasse mich mal überraschen....
bis denne
DaemonB
Wie? Ein Laufwerk kann in einem Ordner stehen? 
Bei mir läuft das jetzt seit Anfang des Jahres und ich kann deine Probleme nicht bestätigen. Bisher gab es nicht ein Problem.
Was ich mir bei dir vorstellen kann wäre ein Verlust der Leitung auf Grund zu schwacher WLAN-Leistung.
Wobei da gerade das auf UDP basierende OpenVPN weniger Probleme machen sollte (würde ich meinen).
Was ich mir bei dir vorstellen kann wäre ein Verlust der Leitung auf Grund zu schwacher WLAN-Leistung.
Wobei da gerade das auf UDP basierende OpenVPN weniger Probleme machen sollte (würde ich meinen).
...it's only Rock'n'Roll, but I like it!
habe das problem ja nur mit dem einen windowsXP laptop.
Zuerst ging es garnicht, das lag aber daran das da SP2 drauf war.
Also deinstalliert und dann gings erst, jetzt zickt er immer rum, vonwegen routing problem packet lost....
Denke es liegt evtl auch an der Kerio FW oder ähnlichem....
Mit meinem Powerbook geht es eigentlich relativ stressfrei.
Zuerst ging es garnicht, das lag aber daran das da SP2 drauf war.
Also deinstalliert und dann gings erst, jetzt zickt er immer rum, vonwegen routing problem packet lost....
Denke es liegt evtl auch an der Kerio FW oder ähnlichem....
Mit meinem Powerbook geht es eigentlich relativ stressfrei.
Wie? Ein Laufwerk kann in einem Ordner stehen?
@Neo
für nen richtigen Test sollten wir wohl die Art des testes abstimmen.
Bei mir läuft es auf einem Athlon XP 2000+ mit 1 GB RAM. Aber dort läuft noch ne ganze menge anderes Zeug. Ich kann dir aber sagen wieviel CPU der openvpn-daemon nimmt.
Ist dein Wert unter Netzwerkvolllast oder unter normallast?
Edit:
Unter fast DSL-Vollast (ca. 300 kb/s) liegt der openvpn daemon bei max. 2% CPU
für nen richtigen Test sollten wir wohl die Art des testes abstimmen.
Bei mir läuft es auf einem Athlon XP 2000+ mit 1 GB RAM. Aber dort läuft noch ne ganze menge anderes Zeug. Ich kann dir aber sagen wieviel CPU der openvpn-daemon nimmt.
Ist dein Wert unter Netzwerkvolllast oder unter normallast?
Edit:
Unter fast DSL-Vollast (ca. 300 kb/s) liegt der openvpn daemon bei max. 2% CPU
...it's only Rock'n'Roll, but I like it!
Geht alles mittlerweile.
Größter Vorteil die Performance, IPSec frißt definitv das xx-fache im Gegensatz zu OpenVPN, das Argument für den armen P90.
Ein Problem gibts aber noch: Openvpn erstellt auf dem Client das tap1 Device nicht schnell genug so das das Init Script zum starten von tap1 scheitert ... was den Bootvergang verewigt da die Netzanbindung fehlt, wie kann man das beheben?
Ein sleep in den Startscripten hilft nicht.
Gruß
Größter Vorteil die Performance, IPSec frißt definitv das xx-fache im Gegensatz zu OpenVPN, das Argument für den armen P90
.Ein Problem gibts aber noch: Openvpn erstellt auf dem Client das tap1 Device nicht schnell genug so das das Init Script zum starten von tap1 scheitert ... was den Bootvergang verewigt da die Netzanbindung fehlt, wie kann man das beheben?
Ein sleep in den Startscripten hilft nicht.
Gruß
@Anarcho:
Wie siehts eigentlich aus, wenn bei deiner config das tap device mal verschwindet? Wenn ich die OpenVPN Doku richtig verstehe könnte das ja passieren, wenn OpenVPN-Server und -Client sich mal nicht mehr verstehen (einfach zu triggern, indem man die Uhrzeit mal deutlich verstellt bzw den Dienst auf dem Server einfach mal neu startet). Schonmal Probleme gehabt oder funktioniert das immer sauber?
Ich hab das so ähnlich aufgesetzt wie du (bin zu spät auf deine FAQ gestoßen), hab aber dazu auf dem Server das WLAN mit dem LAN als bridge zusammengeführt. Das funktioniert auch recht gut, nur hab ich auf den clients keine init-scripte für tap0 sondern lasse das als route-up script vom openvpn aus starten.
Das hat bei mir den Vorteil, dass ich mit dem Notebook sowohl aus dem LAN als auch WLAN dieselbe IPV4-Adresse habe (die er vom LAN-dhcp bezieht).
Bei Interesse kann ich die configs mal posten.
Wie siehts eigentlich aus, wenn bei deiner config das tap device mal verschwindet? Wenn ich die OpenVPN Doku richtig verstehe könnte das ja passieren, wenn OpenVPN-Server und -Client sich mal nicht mehr verstehen (einfach zu triggern, indem man die Uhrzeit mal deutlich verstellt bzw den Dienst auf dem Server einfach mal neu startet). Schonmal Probleme gehabt oder funktioniert das immer sauber?
Ich hab das so ähnlich aufgesetzt wie du (bin zu spät auf deine FAQ gestoßen), hab aber dazu auf dem Server das WLAN mit dem LAN als bridge zusammengeführt. Das funktioniert auch recht gut, nur hab ich auf den clients keine init-scripte für tap0 sondern lasse das als route-up script vom openvpn aus starten.
Das hat bei mir den Vorteil, dass ich mit dem Notebook sowohl aus dem LAN als auch WLAN dieselbe IPV4-Adresse habe (die er vom LAN-dhcp bezieht).
Bei Interesse kann ich die configs mal posten.
__
success is the ability to go from one failure to another with no loss of enthusiasm (W. Churchill)
success is the ability to go from one failure to another with no loss of enthusiasm (W. Churchill)
Naja nein die Bridge nutze ich nicht, ich route korrekt und gut.
Aber das mit dem Device ist so, wenn openvpn startet dauert es lange bis der Kernel das Device anlegt oder udev, einer von beiden mehrt, ich habe jetzt per Hand "provide, use" Direktiven in die Startscripte so eingebaut, das das Device da ist wie es soll.
Ein "sleep" im openvon hat nix geholfen, sehr interessantes Problem ...
MfG
Aber das mit dem Device ist so, wenn openvpn startet dauert es lange bis der Kernel das Device anlegt oder udev, einer von beiden mehrt, ich habe jetzt per Hand "provide, use" Direktiven in die Startscripte so eingebaut, das das Device da ist wie es soll.
Ein "sleep" im openvon hat nix geholfen, sehr interessantes Problem ...
MfG
Mein Post bezog sich auch weniger auf dein Problem. Nach deiner Aussage nehme ich an, dass du das Problem jetzt aber gelöst hast. Ansonsten fällt mir nur noch eine recht hässliche Lösung ein: man könnte z.B. in der Konfigurationsdatei vom OpenVPN-Client im "up" oder "route-up" script ein flagfile (bzw. flagdirectory, mkdir=atomar?) setzen lassen, worauf dann die folgenden initscripte testen könnten. Aber solche Kapriolen sollte man soweit möglich vermeiden.Neo_0815 wrote:Naja nein die Bridge nutze ich nicht, ich route korrekt und gut.
Aber das mit dem Device ist so, wenn openvpn startet dauert es lange bis der Kernel das Device anlegt oder udev, einer von beiden mehrt, ich habe jetzt per Hand "provide, use" Direktiven in die Startscripte so eingebaut, das das Device da ist wie es soll.
Ein "sleep" im openvon hat nix geholfen, sehr interessantes Problem ...
MfG
__
success is the ability to go from one failure to another with no loss of enthusiasm (W. Churchill)
success is the ability to go from one failure to another with no loss of enthusiasm (W. Churchill)
Komisch,
@neo: schön das es bei dir klappt. Das der Unterschied an CPU-Last so deutlich ist, hätte ich nicht vermutet.
Aber ich habe keinerlei solche probleme mit nicht vorhandensein des tap-devices gehabt.
Und zum Thema verbindungsabbruch: Damit habe ich sehr gute Erfahrung gemacht:
Wenn ich mein Notebook mit suspend-to-disk ausschalte und wieder hochfahre, dann denkt der Server ja, das während das Notebook aus ist, das die Verbindung abgebrochen ist. Aber wenn ich es wieder hochfahre, dann wird die Verbindung ja nicht manuell wiederhergestellt, da der openvpn daemon ja noch läuft. Dieser baut dann selbstständig die Verbindung wieder her. Man muss nur kurz warten.
@neo: schön das es bei dir klappt. Das der Unterschied an CPU-Last so deutlich ist, hätte ich nicht vermutet.
Aber ich habe keinerlei solche probleme mit nicht vorhandensein des tap-devices gehabt.
Und zum Thema verbindungsabbruch: Damit habe ich sehr gute Erfahrung gemacht:
Wenn ich mein Notebook mit suspend-to-disk ausschalte und wieder hochfahre, dann denkt der Server ja, das während das Notebook aus ist, das die Verbindung abgebrochen ist. Aber wenn ich es wieder hochfahre, dann wird die Verbindung ja nicht manuell wiederhergestellt, da der openvpn daemon ja noch läuft. Dieser baut dann selbstständig die Verbindung wieder her. Man muss nur kurz warten.
...it's only Rock'n'Roll, but I like it!
- benjamin200
- Veteran
- Posts: 1426
- Joined: Sun Feb 01, 2004 7:03 pm
- Location: DE Munich
kommt das auch ins wiki? www.gentoo-wiki.com
"Unerhört schnelle Systeme begehen unerhört schnell Fehler." -- Stanislaw Lem
Naja das Deviceinit Script ist zu fix an der Reihe, da ist OpenVPN noch am Erzeugen ... daher ist es nicht da.Anarcho wrote:Komisch,
@neo: schön das es bei dir klappt. Das der Unterschied an CPU-Last so deutlich ist, hätte ich nicht vermutet.
Aber ich habe keinerlei solche probleme mit nicht vorhandensein des tap-devices gehabt.
Gruß
Ich hab mal angefangen, ich hoffe das ist ok.
http://de.gentoo-wiki.com/Wlan_mit_Open ... %C3%BCtzen
http://de.gentoo-wiki.com/Wlan_mit_Open ... %C3%BCtzen
"Unerhört schnelle Systeme begehen unerhört schnell Fehler." -- Stanislaw Lem
Sieht doch schon ganz gut aus.
Ich habe noch den Eintrag zu den Kernelvorraussetzungen geändert, denn bei neueren Kerneln braucht man support für das Universal TUN/TAP Device.
Ich meine das ich das damals nicht gebraucht habe, werde aber nochmal nen alten Kernel testen.
Ich habe noch den Eintrag zu den Kernelvorraussetzungen geändert, denn bei neueren Kerneln braucht man support für das Universal TUN/TAP Device.
Ich meine das ich das damals nicht gebraucht habe, werde aber nochmal nen alten Kernel testen.
...it's only Rock'n'Roll, but I like it!
Man sollte einfach nicht so früh am Tag ins Forum schreiben, da hapert es immer mit dem Nachdenken.Anarcho wrote: [...]
Und zum Thema verbindungsabbruch: Damit habe ich sehr gute Erfahrung gemacht:
Wenn ich mein Notebook mit suspend-to-disk ausschalte und wieder hochfahre, dann denkt der Server ja, das während das Notebook aus ist, das die Verbindung abgebrochen ist. Aber wenn ich es wieder hochfahre, dann wird die Verbindung ja nicht manuell wiederhergestellt, da der openvpn daemon ja noch läuft. Dieser baut dann selbstständig die Verbindung wieder her. Man muss nur kurz warten.
Ich sehe den Unterschied in unseren Konfigurationen: du erstellst das tap device auf den clients per Init-Script, bei mir wird das jeweils von openvpn verwaltet. Daher wirst du client-seitig keine Probleme damit haben, denn das tap-device startet sich ja auch beim boot aus dem suspend per initscript wieder einen dhcpcd (?).
Was mich aber immer noch interessiert ist, was passiert wenn du den openvpn-server neu startest. Läuft es dann auch problemlos weiter? Der dhcpcd, der auf dem tap-device läuft, ist dann vermutlich schon weg und würde sich keine neue Adresse holen oder liege ich da falsch?
Ausserdem: ich sehe, dass du in deiner Server-Config kein client-to-client keyword hast. Sollen sich deine WLAN-clients nicht gegenseitig sehen? Tun sie es auch ohne das keyword (bei mir nicht...)?
Hast du bei dir Verbindungen ins LAN vorgesehen, oder willst du die Netze absolut trennen?
Fragen über Fragen...
__
success is the ability to go from one failure to another with no loss of enthusiasm (W. Churchill)
success is the ability to go from one failure to another with no loss of enthusiasm (W. Churchill)
Geht mit den richtign Routen ohne Probleme, das ist vom OpevVPN nicht abhängig.AcheronH wrote:Hast du bei dir Verbindungen ins LAN vorgesehen, oder willst du die Netze absolut trennen?Anarcho wrote: [...]
Und zum Thema verbindungsabbruch: Damit habe ich sehr gute Erfahrung gemacht:
Wenn ich mein Notebook mit suspend-to-disk ausschalte und wieder hochfahre, dann denkt der Server ja, das während das Notebook aus ist, das die Verbindung abgebrochen ist. Aber wenn ich es wieder hochfahre, dann wird die Verbindung ja nicht manuell wiederhergestellt, da der openvpn daemon ja noch läuft. Dieser baut dann selbstständig die Verbindung wieder her. Man muss nur kurz warten.
Fragen über Fragen...
MfG
Warum willst du dafür ip-routing bemühen - das wäre doch ein ziemlich krasser Umweg?Neo_0815 wrote:Geht mit den richtign Routen ohne Probleme, das ist vom OpevVPN nicht abhängig.AcheronH wrote: Hast du bei dir Verbindungen ins LAN vorgesehen, oder willst du die Netze absolut trennen?
Fragen über Fragen...
MfG
Mir gehts auch unter anderem um direkten Zugriff im Ethernet, nicht auf IP-Ebene.
Für den Fall, dass man mal D**m übers Netz zocken will, ohne dass man lange vorbereiten müsste.
__
success is the ability to go from one failure to another with no loss of enthusiasm (W. Churchill)
success is the ability to go from one failure to another with no loss of enthusiasm (W. Churchill)
Da müsste ich mal ethereal anwerfen wie Client-to-Client Traffic verläuft.
Aber mir ist Client-to-Client Traffic egal, denn bei mir geht es nur um den Server (Fileserver und Router)
und das neustarten des Servers halte ich für unwahrscheinlich bzw. noch aus anderen Gründen für sehr schlecht, daher würde mir im Falle des neustarten des Servers sowieso ein wenig Handarbeit nicht erspart.
Wenn dein Server ständig neustartet, machst du was falsch
Aber mir ist Client-to-Client Traffic egal, denn bei mir geht es nur um den Server (Fileserver und Router)
und das neustarten des Servers halte ich für unwahrscheinlich bzw. noch aus anderen Gründen für sehr schlecht, daher würde mir im Falle des neustarten des Servers sowieso ein wenig Handarbeit nicht erspart.
Wenn dein Server ständig neustartet, machst du was falsch
...it's only Rock'n'Roll, but I like it!