Muss ich bei meiner VPN TCP/UDP socket send/receive buffer size hoch oder runter stellen?

...komplette Frage anzeigen

2 Antworten

Die Einstellung hat nichts mit Sicherheit zu tun. Eine Veränderung der Einstellung für die Puffer kann den Datendurchsatz erhöhen, muss aber nicht. Default-Werte sind für beide Puffer 65536.

In der Tat reduziert dieser für heutige Verhältnisse kleine Puffer den Durchsatz. Die richtige Einstellung hängt vor allem davon ab, ob Du UDP oder TCP für den Tunnel verwendest. Das liegt daran, dass im TCP zwischen beiden Seiten eine sogenannte Window Size für die Flusskontrolle gesetzt wird und ein kleiner Puffer diese Window Size unnötig klein macht. UDP kennt keine Flusskontrolle, hier ist der Puffer sowieso irrelevant. Verwendest Du TCP, kann das Setzen eines konkreten Wertes bei Windows-Geräten zu Problemen mit der MTU führen. Deshalb ist der Wert in OpenVPN "hardcoded". Auf Client und Server solltest Du setzen:

sndbuf 0
rcvbuf 0

So wird verhindert, dass OpenVPN die Puffergröße setzt, nun wird es von den Betriebssystemen geregelt. Wenn Du den Puffer nur auf der Serverseite setzen kannst oder möchtest, setzt Du am besten:

sndbuf 0
rcvbuf 0
push "sndbuf 393216"
push "rcvbuf 393216"

Nur auf der Clientseite solltest Du die Puffergröße nicht setzen.

Verwendest Du UDP, setzt Du in der Serverkonfiguration:

sndbuf 393216
rcvbuf 393216
push "sndbuf 393216"
push "rcvbuf 393216"

Was die Sicherheit angeht, solltest Du AES 128 oder AES 256 für die Verschlüsselung und SHA 384 oder SHA 512 für den Hashalgorithmus verwenden.

FlearixGF 21.01.2017, 09:20

Hab eine 4096 bit RSA und eine 265 AES Verschlüsselung?
Ist das gut? Und soll die Settings also von dem TCP/UDP eig auf 0
Stellen oder auf Open VPN oder ganz hoch?
Danke

0
franzhartwig 21.01.2017, 09:27
@FlearixGF

RSA 4096 ist in Ordnung. RSA 2048 ist auch o.k., RSA 8192 wäre übertrieben. AES 256 ist in Ordnung.

Für die Einstellungen des Puffers siehe meine Antwort. Es ist abhängig davon, ob Du proto tcp oder proto udp konfiguriert hast. Wenn der Parameter proto nicht gesetzt ist, wird UDP verwendet.

0

Mit Sicherheit oder besserem Schutz hat das nichts zu tun! 

Mit einer größeren Buffersize kannst du lediglich höhere Datenraten erreichen.

FlearixGF 21.01.2017, 09:12

Muss ich die hoch oder klein stellen

0

Was möchtest Du wissen?