Je me suis mis au VPN à la maison via Pfsense pour partager l’accès au réseau est c’est super!
Voici un sujet pour ceux qui rencontrent des difficultés avec openvpn et pfsense (mode vpn en “client”) et à ceux qui veulent optimiser leur VPN
-
Mode TCP ou UDP
Avec ma configuration, j’ai remarqué que les performances sont vraiment pourries en TCP alors que le client pour Windows gère très bien TCP (débit convenable à mes yeux). Il faut passer en UDP et pfsense tournera au max avec le VPN, les performances sont vraiment incroyables!
Par contre si votre ligne xDSL a beaucoup d’erreurs par secondes type CRC HEC, il faut rester en TCP car ce dernier offre une retransmission des paquets. Les erreurs FEC sont corrigées par le modem.
(si votre modem/box à un uptime de plusieurs dizaines de jours, ce n’est pas important de voir un chiffre très élevé, mais si en rafraichissant, le nombre d’erreurs augmente drastiquement, faut penser à basculer vers TCP et comparer les perfs…)
-
Compression : je ne l’utilise pas.
Si on fait un speed-test avec la compression activée, le débit va être énorme, c’est normal, car les données sont vides, donc la compression a un excellent rendement. Par contre dans la “pratique” j’ai remarqué que la compression ne sert pas trop à grand chose et me ralentis. A vous de voir, mais dans le menu déroulant, il faut spécifier quelle compression utiliser, ou choisir de ne pas en mettre. -
Paramètres avancés et MTU
Pfsense propose un champ pour ajouter ses propres paramètres de conf’ OpenVPN.
Si vous rencontrez des problèmes de lenteur de chargement sur les sites web (chargement dans le vide, et ping fonctionnant normalement) le mieux est d’ajouter ceci :mssfix 1400
tun-mtu 1497
Le MTU est à 1500 par défaut, tout dépend des caractéristiques de votre connexion xDSL. Si les pages web sont très lentes à charger mais que le ping fonctionne très bien avec OpenVPN, le MTU automatique peut poser problème. Faut donc le réduire, puis l’augmenter progressivement jusqu’au nombre où ça recommence à mer*er. Enfin, garder la valeur précédente légèrement plus faible. Chez moi, les paramètres ci-dessus fonctionnent.
Les freebox non dégroupées ont un MTU plus faible que les freebox dégroupées (MTU classique de 1500)
- Ne pas forcer le routage peut être intéressant si vous voulez définir vous-même quels appareils auront accès au VPN. Il y a une option à cocher pour ça. Ensuite, faut faire une règle dans le pare-feu pour rediriger seulement certaines IP (avec un Alias), et en sélectionnant la passerelle du VPN pour cette règle.