finchen961988
Goto Top

Client verhält sich im Home Office wie Gerät vor 10 Jahren

Hallo liebes Forum,

ich mal wieder und ich habe riesen ??? über den Kopf!


Das Verhalten zu beschreiben wird nicht ganz einfach, da ich da auch noch mit Rätseln vor sitze!

Also:

Der Kunde hat eine Sophso UTM (HA CLuster) mit aktueller Firmeware.
Hat 4 verschiedene DSL Leitung
Telekom 50 MBIT
Telekom SDSL (bitte nicht festnageln auch 50 Mbit??)
Vodafon 500 Mbit
EWE 250 MBIT

Die Telekom SDSL Leitung hat einen IPSEC TUNNEL zu einem anderen Standort.
Vodafon 500 MBIT wird für das Surfen benutzt
EWE für die HomeOFFICE Einwahl Tunnel (SSL VPN (Einstellung UDP))
Telekom 50 MBIT für Gast WLAN und Mitarbeiter surfen (in Mittagspause)

Es gibt nun bei mehrer MAs des Kunden das Problem, dass die Notebooks (bestandteil der Domäne) sich im HomeOffice sehr langsam verhalten, also cmd öffnet sich erst nach 10 min, der Explorer lädt auch langsam und anderes (CPU Last bei nichts tun auf 70% und höher).
Dieses Verhalten ist sowohl bei geöffneten SSL VPN als auch ohne SSL VPN.
Wechsel wenn cmd offen ist von U: auf C: quittiert das Endgerät mit der Meldung C: nicht gefunden!
Per GPO wird das Homelaufwerk U: publiziert!

Was habe ich getan:

Bei einem HO User, statt SSL VPN IPSEC VPN benutzt --> wurde auch nicht besser!
User hat ein Test - Client bekommen --> wurde auch nicht besser!
Original Client wurde neu installiert und in Domäne --> ähnlich wie davor
Einer der Clients war im Büro wurde da angemeldet im WLAN und dann wurde auf das GAST WLAN gewechselt, da war kein problematisches Verhalten.


Sorry für die schlechte Beschreibung, aber ich komme nicht weiter und kann mir bei dem Fehlerbild kein Reim machen!

Ich habe die Vermutung so ein bisschen, dass es mit dem HomeLaufwerk zu tun hat, bin mir aber nicht sicher.

Hat hier einer ein RAT?


MFG

Content-ID: 666776

Url: https://administrator.de/contentid/666776

Ausgedruckt am: 22.11.2024 um 06:11 Uhr

Looser27
Looser27 16.05.2021 um 16:08:36 Uhr
Goto Top
Moin,

mal ins Blaue:
Welche AV Lösung läuft auf den Clients?
Wurden die evtl. nicht komplett eingerichtet?

Das Laufwerk per GPO mappen läuft bei uns problemlos über VPN SSL.

Sind alle erforderlichen Ports in der Firewall (UTM und Client) korrekt eingerichtet?

Der Timeout deutet erstmal auf o.g. Einstellungen hin.

Gruß Looser
tikayevent
tikayevent 16.05.2021 um 16:15:24 Uhr
Goto Top
Wie sehen denn die Auslastung und die Leitungswerte auf der Unternehmensseite der VPN-Leitung aus? Wie sieht die Netzwerknutzung eines Clients nach der VPN-Anmeldung aus?

Deine Beschreibung deuten nämlich entweder auf fehlerhaft konfigurierte Clients hin oder eine Überlastung der Leitung. Vermutlich wird nach der Anmeldung im Hintergrund ständig irgendwas nachgeladen, was im Büro durch geringe Latenzen und hohe Bandbreiten wohl kein Problem darstellt, aber über eine schlechtere Verbindung Probleme macht.

Können die HO-User alles im Firmennetz erreichen oder sind hier Firewallregeln im Weg?
Franz-Josef-II
Franz-Josef-II 16.05.2021 um 16:33:58 Uhr
Goto Top
Zitat von @Finchen961988:
Es gibt nun bei mehrer MAs des Kunden das Problem, dass die Notebooks (bestandteil der Domäne) sich im HomeOffice sehr langsam verhalten, .....

Bei mehreren oder bei allen? Falls "mehrere", wieviel %?
Welche Internetverbindung gibt's auf Homeuserseite? Upload?
CPU-Last 70%, was sagt die Netzwerkauslastung bzw der HD-Zugriff?

Schuß ins Blaue: Roaming Profiles? Bedenke ein RoamingProfil downzuloaden = Upload auf Eurer Seite 😊
em-pie
em-pie 16.05.2021 um 17:02:26 Uhr
Goto Top
Moin,

Auch mal die MTU-Werte an der Sophos mal prüfen.

Gerade wenn VPN im Einsatz ist, muss das zwingend geprüft werden.

Ansonsten ist es halt immer „ungünstig“, wenn die Profile 1GB Gros sind und die jedesmal über die Leitungen geschoben werden müssen.

Deswegen arbeiten unsere Mädels und Jungs alle auf den vorhanden Citrix-Servern, wenn die im Homeoffice sind.

Gruß
em-pie
nEmEsIs
nEmEsIs 16.05.2021 um 17:09:21 Uhr
Goto Top
Hi

Wie sehen deine sofern im Einsatz befindlichen DFS-N Einstellungen aus?

Auch wie hast du die Homelaufwerke konfiguriert ? Sind offline Files eingestellt ?
Wenn ja hast du hier mit Latenzen gearbeitet?
Denke das hier sollte aufschlussreich sein.
https://helgeklein.com/blog/2012/04/windows-7-offline-files-survival-gui ...

Weitere Frage
Wie lautet die Domain Eures ADS
Sprich Domain.tld oder ad.Domain.tld.

Wenn ersteres habt ihr eure Umgebung auf Split DNS richtig konfiguriert?

Wie ist der VPN Tunnel eingestellt? Wird hier das Internet mit drüber oder Split Tunneling?

Mit freundlichen Grüßen Nemesis
Looser27
Looser27 16.05.2021 aktualisiert um 18:27:37 Uhr
Goto Top
Schuß ins Blaue: Roaming Profiles?

Tödlich über VPN....dafür fehlt den meisten die Disziplin im die klein zu halten.
tikayevent
tikayevent 16.05.2021 um 18:40:31 Uhr
Goto Top
Zitat von @Looser27:

Schuß ins Blaue: Roaming Profiles?

Tödlich über VPN....dafür fehlt den meisten die Disziplin im die klein zu halten.

Kann man per GPO beschränken. Ist das Gejammer aber noch größer.
erikro
erikro 16.05.2021 aktualisiert um 21:00:12 Uhr
Goto Top
Moin,

Zitat von @Finchen961988:
Sorry für die schlechte Beschreibung, aber ich komme nicht weiter und kann mir bei dem Fehlerbild kein Reim machen!

Na dann will ich Dir erstmal dabei mit ein paar Fragen helfen. face-wink

1. Die EWE-Leitung ADSL oder SDSL? Wenn ADSL, wie groß ist denn der Upload?
2. Wieviele MA benutzen VPN gleichzeitig? 5, 50 oder 500?
3. Was verursacht denn die 70% CPU-Last? Was sagt der Taskmanager und der Ressourcen-Monitor dazu?
4. Wann findet der Aufbau des Tunnels statt? Vor oder nach der Anmeldung? Wurde die GINA (oder wie auch immer das jetzt heißt) getauscht?
5. Gibt es bei den Usern Gemeinsamkeiten wie langsame Leitung oder Kunde bei O2? O2 macht bei uns ständig Ärger im HO.
6. Sind die üblichen GPOs (Bei Neustart auf Netzwerk warten, letzten User nicht automatisch anmelden etc.) konfiguriert?
7. Nach Roaming Profile/FSLogix haben die Kollegen ja schon gefragt.
<edit>8. Welche UTM?</edit>

Allgemein zwei Tipps zum Problem aus eigener Erfahrung: Wenn ich meinen NB in der Firma anmelde und dann in den Ruhezustand gehe, ist er zu Hause grottenlahm. Nach einem Neustart ist er wieder schnell. Deshalb: Ruhezustand meiden und Schnellstart ausschalten. Ich vermute bei meinem NB, dass er nach dem Aufwachen aus dem Ruhezustand "glaubt", er sei noch in der Domain und ständig nach Ressourcen sucht die gar nicht vorhanden sind. Nach einem Schnellstart dürfte das ähnlich sein.

Ansonsten schließe ich mich @em-pie an, dass es vernünftiger ist, den Kollegen im HO im lokalen Netz einen Hop-Server zur Verfügung zu stellen. Das kann ein richtiger Terminalserver sein (bei uns die Regel) oder der Desktop-Rechner am normalen Arbeitsplatz (ist bei uns bei einigen Kollegen mit speziellen Aufgaben so geregelt). Da können sie sich dann per RDP einwählen, was selbst mir den langsamsten Leitungen einigermaßen perfomant läuft.

Liebe Grüße

Erik
Ghent74
Ghent74 17.05.2021 um 10:43:10 Uhr
Goto Top
Habe ein ähnliches Verhalten beim VPN vom Chef von zuhause.
Dort ist ein regionaler DSL Anbieter am Werk der unter anderem scheinbar das UDP-Protokoll beim VPN ausbremst.
Als ich es testweise auf TCP umstellte ging es wieder flott auch wenn UDP noch flotter sein soll.

Daher testweise mal das TCP-Protokoll verwenden.

Gruß
aqui
aqui 17.05.2021 aktualisiert um 11:16:12 Uhr
Goto Top
Daher testweise mal das TCP-Protokoll verwenden.
Ist Quatsch, denn die meisten VPN Protokolle nutzen bzw. können gar kein TCP nutzen und haben gar nicht die Möglichkeit das umzustellen wie z.B. das meistverbreitete IPsec oder L2TP wie auch WireGuard oder auch Microsofts proprietäres SSTP.
Einzig OpenVPN als SSL basiertes VPN könnte man umstellen. Aber auch das wäre recht unintelligent, denn es erhöht massiv den Encapsulation Overhead und verkleinert die MTU, sprich geht also massiv zulasten der Performance weshalb OpenVPN selber in seiner Knowledge Base dringenst von einer TCP Encapsulation abrät und das zu Recht. Der TO erweist sich mit so einem unreflektierten Ratschlag einen Bärendienst.
Sinnvoller ist es wenn der Provider wirklich ein Rate Limit auf wellknown UDP Ports macht, wie z.B. 1194 bei OpenVPN, dort andere UDP Ports zu nutzen. Ideal sind hier, wie jeder Netzwerker weiss, die Ephemeral Ports https://en.wikipedia.org/wiki/Ephemeral_port zwischen 49152 und 65535. Dort is nix mit Rate Limiting.
Der obere Rat ist Unsinn und eher kontraproduktiv bzw. zeugt von wenig VPN KnowHow. Mal ganz abgesehen davon das er sich beim Gros aller VPN Protokolle eben gar nicht umsetzen lässt !
Der TO sollte also eher nach den oben ihm schon genannten Troubleshooting Dingen suchen.
Ghent74
Ghent74 17.05.2021 um 12:03:41 Uhr
Goto Top
Aua, diesmal habe ich es aber abbekommen...
Aber du hast natürlich weitestgehend recht. Bei mir war es ein OpenVPN.
Ich sagte ja "testweise" damit man evtl. herausfindet, dass es an einer Drosselung des Providers liegt und nicht, dass er es dauerhaft machen soll.
Mir war aber wirklich nicht bewusst, dass nur OpenVPN das umstellen kann.
Danke für die Aufklärung.

Btw:
So schlecht läuft es über TCP gar nicht...^^
(schnell weg rennt...)
aqui
aqui 17.05.2021 aktualisiert um 14:30:57 Uhr
Goto Top
Nee, musst deshalb nicht gleich wegrennen.... face-wink
Etwas Lektüre in einer ruhigen Minute zu VPN Protokollen kann aber sicher nicht schaden... Der TO hat ja zudem auch leider nur sehr oberflächlich beschrieben was er da genau nutzt.
Das du den Unterschied zu UDP nicht groß merkst liegt an der geringen Bandbreite und Auslastung bei dir. In einer VPN Umgebung mit mehreren zig Usern und mehr Bandbreite merkst du sehr schnell wie wenig skalierbar sowas ist.
Finchen961988
Finchen961988 19.05.2021 um 20:06:04 Uhr
Goto Top
Hallo,

ich habe glaube ich die Lösung und werde mir mal die Zeit nehmen am WE alles zu beschreiben.
Etwas nervig die letztem Tage