Nachdem sich in Sachen VPN auf der Trutzbox ja mittlerweile einiges getan hat (u.a. neue OpenVPN-Versionen, cipher AES-256-CBC), hier noch mal kurz meine aktuelle VPN-Konfiguration, in die auch einige Erfahrungen quer durch Berlin mit Mobilfunk (Deutsche Telekom) und diversen Hotspots (DB, BVG, Deutsche Telekom, private) mit eingeflossen sind.
(1) Die "server.conf" meines OpenVPN-Servers auf der Trutzbox
Code: Select all
# TCP or UDP server?
proto tcp
;proto udp
;keepalive 10 120
keepalive 60 3600
# Custom settings
;link-mtu 1360
tun-mtu 1256
tls-version-min 1.2
tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384
auth SHA512
(2) Die "*.ovpn" (meines iPhones) mit OpenVPN Connect
Code: Select all
# Are we connecting to a TCP or
# UDP server? Use the same setting as
# on the server.
proto tcp
;proto udp
# The hostname/IP and port of the server.
# You can have multiple remote entries
# to load balance between the servers.
remote my-server.dyndns 443
;remote my-server-2 1194
# Custom settings
;link-mtu 1360
tun-mtu 1256
tls-version-min 1.2
;tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384
auth SHA512
Also meine Entscheidung, von UDP auf TCP umzustellen, hat sich dabei nach wie vor klar bewährt. Anders ist bei vielen öffentlichen Hotspots ja auch kein Durchkommen mehr möglich.
Nur sollte man dabei auch die maximale TCP-Paketgröße (MTU) auf den kleinsten gemeinsamen Nenner (sämtlicher Netzwerke) verringern. Sonst kann es schnell passieren, dass die Stabilität und Geschwindigkeit der VPN-Verbindung äußerst mager ausfallen. Meine MTU-Einstellung ist dabei auf die von mir verwendete Verschlüsselung abgestimmt, da je nach Art und Stärke unterschiedliche Transportpaketgrößen anfallen. Darüber hinaus habe ich die keepalive-Werte deutlich erhöht, um den Akku meiner mobilen Geräte zu schonen und die teils schlechte Netzabdeckung (auf einigen Bahnstrecken, in Kinos etc.) zu berücksichtigen.
