<div dir="ltr"><div class="gmail_quote"><div dir="ltr">On Wed, 31 Oct 2018 at 16:46, Peter Grant via GLLUG <<a href="mailto:gllug@mailman.lug.org.uk">gllug@mailman.lug.org.uk</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi all,<br>
This is nearly off topic, but since the VPNs are between two PFSense<br>
firewalls, I guess it might just squeeze in.<br>
<br>
I have two PFSense firewalls, one in the UK and one in Thailand. I<br>
have a need encrypted networking between them (to protect<br>
communication between Windows boxes).<br>
<br>
I've managed to get an IPSec tunnel established, but with major packet<br>
loss over it (30% or so), which is obviously unworkable.<br>
<br>
Any suggestions to either reduce the packet loss or a different VPN<br>
technology that will cope better with the distance/latency involved?<br>
Ideally something PFSense will support, we have several OpenVPN<br>
tunnels and IPSec tunnels running already for other uses, so might<br>
slightly prefer one of those.<br>
<br>
I did disable the Dead peer detection system which improved the<br>
performance, but it's still not good enough for use.<br>
<br>
Thanks for reading and for any advice you might have,<br>
Peter<br>
</blockquote><div><br></div><div>Hi,</div><div><br></div><div>I agree that this is off topic for Linux, but I also have some 20 years TCP/IP networking experience, so I thought I would suggest some ideas.</div><div>With VPNs, then configured wrongly, can cause something called "black hole packets".</div><div>This is where packets of particular sizes get dropped.</div><div>E.g. Packets of sizes up until 1000 bytes pass OK, bytes of size 1001-1010 fail, and then bytes larger than 1011 are fine.</div><div>Which size packet that gets lost varies depending on the configuration, but it is normally around between 1400 and 1500.</div><div><br></div><div>A way to test this is to send ICMP ping packets though the link, starting small size, and progressively getting larger, until about 2000 Bytes.</div><div>Then see if ones of a particular size fail to get through.</div><div>On a properly working link, all the packets should get through.</div><div>On a link with the "black hole" problem, some packets of particular sizes will never get through.</div><div>If your link has a "black hole" problem, one possible solution is lowering the MTU on the ethernet interfaces. Sometimes this fixes the problem, sometimes, all it does is move the "black hole" to a different size.</div><div><br></div><div>So, have a test, and tell me what you find.</div><div>On linux, you can use "ping -s ..."  to set the packet size.</div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><div> <br></div><div><br></div><div><br></div><div><br></div><div><br></div></div></div>