lhanduo
Goto Top

Anbindung Aussenstellen - Infrastruktur Ideen?

Hallo zusammen,

Zunächst weiß ich nicht, ob die Kategorie passt, aber was besseres konnte ich jetzt nicht finden, daher hier...

Wir haben das Problem, dass unsere Aussenstellen (jeweils 4-8 Rechner) einen sehr langsamen Zugriff auf unseren Server haben. Daher sind wir nun in den Überlegungen, was sich an dieser Verbindung optimieren ließe.

Vielleicht zunächst was zur Infrastukur, damit es einfacher verständlich ist: Wir haben drei Außenstellen per Sophos RED 10 an unsere UTM 220 in der Hauptstelle angebunden. Die Clients in den Außenstellen greifen per RDP auf einen Terminalserver in der Hauptstelle zu und arbeiten auf diesem. Die Außenstellen haben jeweils eine 6 MBit T-Com DSL Business Anschluss, in der Hauptstelle liegt eine synchrone 2 MBit Leitung, die ausschließlich für die Außenstellen konfiguriert ist.

Soviel zur derzeitigen Situation. Mit Sicherheit würde es schon einiges bringen, die RED Devices in den Außenstellen jeweils gegen eine UTM 110 auszutauschen, dies ist allerdings eine nicht unerhebliche Kostenfrage für die Lizenzen (sozialer Bereich = wenig Budget vorhanden). Die Außenstellen jeweils mit eigenen NAS Geräten oder ähnlichem auszustatten, so dass der Workload nicht übers Netz geht, wäre nur bedingt optimal, da wir eine Branchensoftware einsetzen, deren Datenbank auf einem SQL-Server in der Hauptstelle läuft und diese ist leider essentiell für die jeweiligen Außenstellen und ein direkt Zugriff auf die DB würde den Traffic in meinen Augen nur zusätzlich erhöhen.

Grundsätzlich würde mir als Lösung nur einfallen, die DSL-Leitungen aufzubohren, so dass eine höhere Bandbreite gewährleistet ist, aber vielleicht habt Ihr ja noch andere Ideen?

Ich hoffe, ich konnte mein Problem ausreichend beschreiben, falls Ihr noch Rückfragen habt oder was unklar ist, immer her damit ;)

Vielen Dank schon einmal im voraus!

Content-ID: 262831

Url: https://administrator.de/forum/anbindung-aussenstellen-infrastruktur-ideen-262831.html

Ausgedruckt am: 23.12.2024 um 02:12 Uhr

catachan
catachan 09.02.2015 aktualisiert um 10:26:12 Uhr
Goto Top
Hi

Was ist langsamer ZUgriff ? Gehen die Programme langsam auf oder hat man eine Verzögerung bei der Eingabe ?
Die Frage ist wie gut die Qualität der Internetleitungen ist. Grundsätzlich sollte die Leitungskapazität ausreichend sein.
Sonst eventuell eine Citrix Lösung da die die Daten etwas mehr komprimiert als RDP.

Wie ist die Standortverbindung ausgeführt ? VPN ?

Edit: Habe das mit den 2Mbit überlesen (MOntag MOrgen ;-( ). Das ist sehr wahrscheinlich zu wenig.

LG
SlainteMhath
SlainteMhath 09.02.2015 um 10:20:27 Uhr
Goto Top
Moin,

als erstes würde ich dir Raten ein paar Informationen zusammen zu tragen.
z.B.
- Auslastung der DSL Leitung in den Aussenstellen und in der Zentrale
- Auslastung der RED 10
- Auslastung RD Server

Bei den extrem asynchronen Leitungskazitäten (3x6mbit zu 1x2mnit) macht dir locker eine Aussenstelle die komplette Zentrale dicht.
Ggfs. gibt es bei den Sophos Kisten die Möglichkeit den RDP Traffic zu priorisieren?

Und: Ist in den Aussenstellen jeglicher nicht gewollter (Internet-)Traffic in der FW geblockt?

lg,
Slainte
Mobsmonster
Mobsmonster 09.02.2015 aktualisiert um 10:21:51 Uhr
Goto Top
Hallo,

So wie ich das jetzt im überfliegen sehe liegt dein Flaschenhals in der Anbindung der aussenstellen an deine Hauptstelle. 6mbit sind halt nix da der Upload zu gering ist.
Dann kommt der Flaschenhals in der Hauptstelle 2 Mbit ist zu gering.
Deepsys
Deepsys 09.02.2015 um 10:25:25 Uhr
Goto Top
Hi,

mess doch mal am Abend wie schnell die DSL-Leitungen wirklich sind.
iperf oder netio sollten dir da helfen face-wink

Das die RED für 2 MBit/s zu lahm sind, glaube ich nun nicht (aber ich kenn die Dinger auch nicht).
117643
117643 09.02.2015 um 10:25:55 Uhr
Goto Top
1) wird nur über RDP bearbeitet? Oder laufen noch mehr Daten über die Leitung?
2) Wie sind die Auslastungswerte für Leitung, FW?
3) Läuft der gesamte Traffic übers die Haupstelle oder nur Daten die auch ins Haupstellennetz gehören?

Ich könnte mir vorstellen das 2Mbit für die Zentrale zu wenig sind, erst recht wenn noch darüber gesurft wird. Eventuell wäre eine Multi-WAN Lösung das richtige für euch? Vorher sollten aber alle Fragen von oben geklärt sein um die Ursache zu bestimmen ;)
Pjordorf
Pjordorf 09.02.2015 um 10:26:52 Uhr
Goto Top
Hallo,

Zitat von @LHanDuo:
sehr langsamen Zugriff auf unseren Server haben.
Definiere sehr langsam und was wird tatsächlich gemacht.

Sophos RED 10
OK. verlängertes Ethernet Kabel....

per RDP
alles per RDP? ist das RDP langsam? Oder das drum herum um das RDP?

6 MBit T-Com DSL Business
Ist das synchron oder asynchron (adsl sdsl)?

synchrone 2 MBit Leitung
Also der Download für die Aussenstellen betrgägt für alle gleichzeitig max. 2 MBit

jeweils gegen eine UTM 110 auszutauschen
Was erhoffst du dir davon?

Gruß,
Peter
LHanDuo
LHanDuo 09.02.2015 um 11:08:30 Uhr
Goto Top
Wow erstmal vielen Dank für die Menge an schnellen Beiträgen face-smile

Ich versuchs mal nach und nach abzuarbeiten

@catachan: Im Grunde ist die gesamte Anbindung langsam, also die gesamte RDP Sitzung. Anbindung läuft über VPN genau. Citrix wäre bei uns vermutlich eher mit Kanonen auf Spatzen, aber da bin ich auch ehrlich gesagt zu wenig im Thema, um da jetzt eine Aussage drüber treffen zu können.

@SlainteMhath: Der RD Server (Du meinst den TS?) ist es definitiv nicht, da auch Kollegen hier in der Zentrale darüber arbeiten, dort gibt es keine Beschwerden und auch die Leistungsparameter sehen jetzt nicht gerade so aus, als wenn der sich totarbeiten würde. Was die genaue Auslastung der Leitungen angeht, muss ich das mal überprüfen, das war jetzt hier ein "Schnellschuss" um zu schauen, ob ich jetzt gerade vor die Wand denke mit meiner "Lösung". In der UTM kann ich an der QoS Schraube drehen, muss mal schauen, ob ich den RDP Traffic dann vor dem Internet Traffic den Vorzug geben kann. Was den Internet-Traffic angeht, wird dieser über die Red´s in die Hauptstelle geleitet, weil ich dadurch eine sichere Leitung hab. Man kann die zwar so konfigurieren, dass der Internet Traffic an der Red vorbei direkt über den Anschluss geht, dann hab ich aber eben das Problem, dass die Verbindung nicht gesichert ist bzw. ich noch eine zusätzliche Firewall benötige, das wäre eben der Punkt der mit den RED´s umgangen wurde. Das ist mit Sicherheit auch einer der Bandbreitenfresser. Allerdings hatten wir vor den RED´s, Sonicwalls in den Aussenstellen, wo halt beides getrennt war und das war auch nicht wesentlich schneller.

@Deepsys: Das werd ich definitv mal machen. Die Red´s sollen lt. Herstellerangaben 30 mbps schaffen, also daran kanns eigentlich nicht liegen.

@117643: Es laufen alle Daten über die Leitung, allerdings ist die UTM so konfiguriert, dass alles was HTML ist über einen weiteren DSL Anschluss geroutet wird. Also die o.g. Leitungen kümmern sich letztlich ausschließlich um den Traffic zwischen Aussenstellen und Zentrale. Die 2MBit sind auch meine Vermutung...

@Pjordorf: Definition Langsam: teilweise werden Tastatureingaben mit 20 Sekunden Verzögerung angenommen (in der RDP Verbindung), nur ein Beispiel. und ja alles per RPD. 6 MBit ist ADSL. Bzgl. der 2 MBit Leitung korrekt mit dem Download. Der Austausch gegen eine 110 hätte den Vorteil, dass der Internettraffic am RED Tunnel vorbei läuft und über den Anschluss der Aussenstelle selbst läuft. Ob das jetzt wirklich einen Vorteil bringt, sei dahin gestellt, da das wie oben bereits geschrieben, in der Ära vor den RED´s mit Sonicwalls auch nicht wirklich schneller war.
Mobsmonster
Mobsmonster 09.02.2015 um 11:18:08 Uhr
Goto Top
Also meine Erfahrung mti den RED sind durchweg Positv haben bei uns mehrere Aussenstellen/HomeOffices mit den Verschiedensten Anbindungen, jedoch laufen sie am besten ab 16Mbit Leitungen. Und die zentrale hat hier zwei mal jeweils 150/10Mbit Leitungen.
Ich würde erst mal an die Priosierung gehen wenn das keinen erfolg hat würde ich mal die zentrale Leitung erhöhen oder eine zweite mit mehr Bandbreite, und die alte dann als Backup.
Pjordorf
Pjordorf 09.02.2015 um 11:20:02 Uhr
Goto Top
Hallo,

Zitat von @LHanDuo:
dass der Internettraffic am RED Tunnel vorbei läuft und über den Anschluss der Aussenstelle selbst läuft.
Deine REDs können es auch.... Manual / Split Setup
http://www.sophos.com/de-de/support/knowledgebase/116573.aspx

Gruß,
Peter
LHanDuo
LHanDuo 09.02.2015 um 11:48:50 Uhr
Goto Top
Deine REDs können es auch.... Manual / Split Setup
http://www.sophos.com/de-de/support/knowledgebase/116573.aspx

Dass die das können weiß ich, aber es gilt dann halt auch das folgende Zitat aus der Doku und dann kann ich die halt nicht mehr als Firewall einsetzen, was ja eigentlich der ganze Charme der Geschichte ist.
Standard Split Mode [...]Traffic to or from the internet cannot be filtered or protected from threats. Security can only be applied between the remote and local LANs.[...]
LHanDuo
LHanDuo 09.02.2015 aktualisiert um 11:51:28 Uhr
Goto Top
@Mobsmonster: In welchem Modus hast Du die Reds denn laufen? Standard/Unified?
Mobsmonster
Mobsmonster 09.02.2015 um 12:09:18 Uhr
Goto Top
@LHanDuo: Im Standard Modus es soll bei uns alles gefiltert werden. Sind ja auch Rechner aus unserem Unternehmen bzw. werden in den HomeOffices gestellt.
Pjordorf
Pjordorf 09.02.2015 um 12:13:52 Uhr
Goto Top
Hallo,

Zitat von @LHanDuo:
nicht mehr als Firewall einsetzen, was ja eigentlich der ganze Charme der Geschichte ist.
Du musst dich schon entscheiden - Wasser oder Feuer. Wenn du den gesamten Traffic deiner Außenstellen eben über die REDs leitest, macht die UTM in der Zentrale eben auch alles an Inspektionen deiner eingestellten UTM und was die dort Prüfen / Filtern soll. Damit ist diese Aufgabe eben nicht mehr Aufgabe der Außenstelle.
Wenn du aber über Bandbreite klagst, und den unnötigen Traffic eben nicht über die REDs laufen lassen würdest, musst du halt diesen anderen Traffic vor Ort Lokal irgendwie filtern und und und. Ob allerdings damit dein Bandbreitenproblem erst mal aufgehoben wird, würdest du dann erfahren. Ohne genau Kenntnis darüber zu haben wie viele Bits (Senden und Empfangen jeweils getrennt betrachten) denn nun über deine Leitungen tatsächlich gehen und auch benötigt werden ist das reine Mutmaßung.

Die aufgerufen Aldi oder dasoertliche Seiten sind gewiss keine Bits die bei einen Leitungsengpass eben über die Zentralenanbindung gehen müssen. Versuch macht Klug..

Du könntest dies ja mal an einen Standort austesten, was die ein Split betrieb bringt.... Sophos UTM gibt's auch als Software ...

Gruß,
Peter
LHanDuo
LHanDuo 09.02.2015 um 12:26:27 Uhr
Goto Top
Es ist von der Geschäftsführung gewünscht, dass der Traffic entsprechend gefiltert wird und daher ist die Split Lösung als Option eigentlich schon raus bzw, wenn ich da eh noch wieder einen weiteren Filter hinterhänge (wie auch immer jetzt geartet) hab vermutlich die gleichen Kosten, wie bei einer Bandbreitenerweiterung. Was UTM als Software angeht, löst das auch mein Kosten/Lizenzproblem nicht, da ich die Lizenzen für die UTM ja nun trotzdem jährlich zahlen muss. Nun ja ich werde noch mal ein wenig den Traffic analysieren und dann über den QoS der Firewall ein wenig drehen, wenn das nichts bringt, dann muss halt die Bandbreitenerweiterung her.

Danke noch mal für die vielen hilfreichen Antworten!
morla-net
morla-net 09.02.2015 um 15:30:43 Uhr
Goto Top
Moin,
habe unsere Außenstellen auch über RED10´s angebunden, der Durchsatz (max 30 MB) ist bei Dir wahrscheinlich nicht das Problem.
Wir haben in einigen der Außenstellen nur eine 2000 DSL Leitung - in der Zentrale aber einen 10 MBit LWL Anschluß,
RDP funktioniert bei uns (je 3 Clients pro Außenstelle) tadellos.
Die Red´s gegen UTM Modelle zu ersetzten wird Dir wahrscheinlich nix bringen,
da der Flaschenhals die "schmale" Leitung inder Hauptniederlassung sein wird...
crypticvision
crypticvision 16.02.2015 um 12:09:47 Uhr
Goto Top
Schonmal über eine Lösung mit Viprinet nachgedacht? Damit lassen sich mehrere langsame DSL Leitungen an den Aussenstellen und auch an der Zentrale (Status wie Außenstelle) bündeln. Der Datenverkehr läuft dann über ein Rechenzentrum. Das ist jetzt nicht ganz uneigennützig, würde aber Deine Probleme ALLE auf einen Schlag lösen. Siehe www.projekt57.net Tarif Bondig 200. Den Zugriff aufs Internet könnt ihr dann immer noch filtern. Das ganze System hat eine extrem hohe Redundanz!