Geen maximale encryptie PIA in PfSense

maandag 7 december 2015 11:58

Acties:

0 Henk 'm!

jvdburgt1980

Topicstarter

Ik heb afgelopen week een Zotac Zbox CI323 als router ingericht op basis van PfSense. Ik maak gebruik van Private Internet Acces als VPN-provider, maar bij de Open-VPN configuratie kan ik schijnbaar niet het maximale encryptieniveau instellen (wat volgens PIA wel wordt ondersteund).

In de handleiding op de website van PIA wordt als default encryptie algorithm "BF-CBC (128 bit)" gehanteerd, en als Auth Digest Algorithm "SHA1 (160 bit)". Als ik dit instel werkt alles naar behoren.

Volgens PIA worden echter ook "AES-256" en "SHA256" ondersteund. Echter wanneer ik dit instel werkt de VPN niet meer

Iemand een idee hoe dit kan / wat de oplossing hiervoor is?

maandag 7 december 2015 12:20

Acties:

0 Henk 'm!

Equator

Crew Council

#whisky #barista

En wat vertelde de provider toen je ze deze vraag stelde?

maandag 7 december 2015 12:42

Acties:

0 Henk 'm!

jvdburgt1980

Topicstarter

Equator schreef op maandag 07 december 2015 @ 12:20:
En wat vertelde de provider toen je ze deze vraag stelde?

Dat ze op dit soort individuele/specifieke vragen geen support bieden

maandag 7 december 2015 12:55

Acties:

0 Henk 'm!

Equator

Crew Council

#whisky #barista

jvdburgt1980 schreef op maandag 07 december 2015 @ 12:42:
[...]

Dat ze op dit soort individuele/specifieke vragen geen support bieden

Dat is natuurlijk een beetje jammer, maar goed.

Als ik het goed begrijp heb je dus een VPN endpoint op basis van PfSense draaiend op je Zotac. Ik lees het even niet terug in je post, maar je past de configuratie aan beide kanten aan neem ik aan?

Dus zowel de 'server' kant als de 'client' kant verander je de config naar SHA-256 en of AES-256?

maandag 7 december 2015 14:09

Acties:

0 Henk 'm!

jvdburgt1980

Topicstarter

Equator schreef op maandag 07 december 2015 @ 12:55:
[...]

Dat is natuurlijk een beetje jammer, maar goed.

Als ik het goed begrijp heb je dus een VPN endpoint op basis van PfSense draaiend op je Zotac. Ik lees het even niet terug in je post, maar je past de configuratie aan beide kanten aan neem ik aan?

Dus zowel de 'server' kant als de 'client' kant verander je de config naar SHA-256 en of AES-256?

Hmm... voor zover ik uit de website van PIA opmaak kan ik aan de server-kant niks instellen (maar dacht ik dat die gewoon is ingesteld op meerdere mogelijke encryptie-settings)...

maandag 7 december 2015 18:07

Acties:

0 Henk 'm!

Thralas

En wat zeggen de OpenVPN logfiles?

maandag 7 december 2015 19:36

Acties:

0 Henk 'm!

ijdod

Vziw doet PIA alleen AES256 met hun eigen client. Voor openVPN kan je wel AES128 doen, daarvoor moet je de openvpn config aanpassen:

code:

1 2	remote <PIA server> 1196 cipher AES-128-CBC

De poort is belangrijk, standaard is dat vziw 1194, en daarop doet PIA alleen BlowFish.

Root don't mean a thing, if you ain't got that ping...

dinsdag 8 december 2015 11:52

Acties:

0 Henk 'm!

jvdburgt1980

Topicstarter

ijdod schreef op maandag 07 december 2015 @ 19:36:
Vziw doet PIA alleen AES256 met hun eigen client. Voor openVPN kan je wel AES128 doen, daarvoor moet je de openvpn config aanpassen:
code:
1
2
remote <PIA server> 1196
cipher AES-128-CBC
De poort is belangrijk, standaard is dat vziw 1194, en daarop doet PIA alleen BlowFish.

Thanks, zal ik meteen proberen wanneer ik thuis kom.
Btw. Is AES-128 te verkiezen boven Blowfish (welke meen ik ook 128 bit is)?

dinsdag 8 december 2015 21:14

Acties:

0 Henk 'm!

ijdod

Vziw (maar ben geen expert) is het qua beveiliging niet significant verschillend; de verschillen zijn vooral voer voor discussies tussen cryptoanalysten. Blowfish zou sneller zijn, maar sommige systemen hebben AES-ondersteuning in de CPU gebakken.

Root don't mean a thing, if you ain't got that ping...

vrijdag 29 januari 2016 09:49

Acties:

0 Henk 'm!

jvdburgt1980

Topicstarter

Voor diegenen die het interessant vinden: sinds de feestdagen heeft PIA ook maximale encryptie over OpenVPN mogelijk gemaakt. Meer info op hun website.

vrijdag 29 januari 2016 13:01

Acties:

0 Henk 'm!

Plopeye

Wat ijdod ook al aangeeft doet een zware encryptie ook een aanslag op je CPU. Een CPU met AES-NI helpt dan wel.

Een te zwakke CPU icm hoge encryptie kan je doorvoor zeer sterk beperken, en zelfs zo ver beperken dat het lijkt dat het niet meer werkt.

Vaak is een CPU met lage clock, een netwerkkaart die ook interupts vraagt (de realtek class ipv een fatsoenlijke intel kaart) de bottelnek in dit soort gevallen.

In de ZBOX die je aangeeft zou overigens een CPU moeten zitten die AES-NI heeft...
Wel zijn de netwerkkaarten realtekjes maar met AES-NI in de CPU zou het goed moeten gaan.

[ Voor 17% gewijzigd door Plopeye op 29-01-2016 13:06 ]

Unix is user friendly, it's only selective about his friends.....

vrijdag 29 januari 2016 13:04

Acties:

0 Henk 'm!

jvdburgt1980

Topicstarter

Ik heb zelf de Zotac CI-323, met AES-NI, en die trekt de maximale encryptie so far met twee vingers in de neus

vrijdag 29 januari 2016 13:09

Acties:

0 Henk 'm!

Plopeye

Toch heeft Encryptie een behoorlijke invloed op je doorvoer.

Kijk hier maar eens: https://www.applianceshop...d-core-gen3-10gb-ssd.html

Deze machine kan bijna 10Gbit doorvoeren zonder, en met VPN tunnels (uitgaande van 1 gelijktijdige tunnel) dropt dit naar 0,5 Gbit... (Meer tunnels gelijktijdig gaan dit nog verder onderuit halen...)

De effecten van encryptie worden heel vaak onderschat...

[ Voor 7% gewijzigd door Plopeye op 29-01-2016 13:10 ]

Unix is user friendly, it's only selective about his friends.....

Onderwerpen