[Berlin-wireless] Foo-over-UDP (FoU) oder L2TP+Tunneldigger als Alternative zu OpenVPN für VPN03, c-base heute

[Malte]

On Thu, 3 Mar 2016, Philipp Borgers wrote:

>> Da sollte man doch mal genauer reinschauen, was die kleinen Pakete sind. Ist
>> das VPN-gekapselter Traffic oder schon entkapselt?
> Kann ich dir nicht sagen, da du den Kontext getötet hast. tun-udp enthält nur
> Payload. eth0 halt einen mix aus verpackten und echten Paketen.

Das war eth0, die Statistik bringt dann wenig.

>> Bei VPN-Paketen wäre ein Problem, dass bei älteren Kathleens wegen der 
>> "falschen" MTU durch OpenVPN aus jedem Klartext-Paket nahe der MTU dank 
>> des Overheads zwei gekapselte Pakete (ein grosses, ein winziges) 
>> werden.
> Nach meinem Verständnis können wir an aufgeteilten Paketen nicht viel machen.

Für das Gros der Daten erreicht OpenVPNs mssfix genau das: Es "täuscht" 
für TCP-Verbindungen der Clients eine kleinere MTU vor, OpenVPN bekommt 
damit also schon genügend kleine Pakete, die nicht (weiter) fragmentiert 
werden müssen. Für UDP vom Client hilft mssfix nichts, aber es gibt wohl 
fast keine UDP-Anwendungen, die große Pakete verschicken. Skype liegt wohl 
(nur mal kurz gesucht) bei sowas wie 100 Bytes/Paket, SIP bei rund 200 
Bytes/Paket.

>> Nachher sind das die ganzen Pings vom SmartGateway und werweissnochwas... :)
> SmartGateway pingt alle 30 Sekunden.

Man beachte das "werweissnochwas". Wenn irgendein Spaßvogel ein Flood Ping 
über das VPN macht, ist die Statistik schon komplett hin. Man muss sich 
halt mal die Finger schmutzig machen und für ein paar Sekunden 
Traffic Wireshark anwerfen, um da ein Gefühl für zu bekommen.

Grüße,
Malte