15
IPSec Performance und Usability
Moin,
zurzeit wird folgendermaßen im HomeOffice gearbeitet:
1) HO-Laptops werden von Mitarbeitern abwechselnd benutzt
2) Nach dem Booten des Laptops wird eine WLAN-Verbindung (Internet) hergestellt
3) gleich danach wird der NCP-Client gestartet
4) VPN-Anmeldung IPSEC ikev1 PSK (main mode) mit den eigenen Active Directory - Daten über XAUTH
5) NCP-Client meldet den Mitarbeiter zugleich unter Windows bzw. in der Domäne an (inkl. Netlogon etc.)
6) der Mitarbeiter kann auf seine Netzlaufwerke etc. direkt zugreifen, alternativ kann er auch einen Terminalserver gehen (Netzwerkvollzugriff)
Warum?
1) Mitarbeiter haben äußerst bescheidene Computerkenntnisse
2) Managebarkeit: Um einen VPN-Zugriff zu ermöglichen, reicht es, den Mitarbeiter in eine entsprechende AD-Gruppe zu packen
3) Nachverfolgbarkeit: Wer hat sich wann angemeldet?
4) Laptops werden hin und her gereicht
Frage:
Je nach Internet-Verbindung zuhause, ist das Arbeiten auf Netzlaufwerken etc. mitunter mühselig. Bringt z.B. ikev2 mit Zertifikat einen Performance-Vorteil? Bleiben die oben genannten Vorteile erhalten? Eine reine Terminal-Server-Lösung ist an den Fähigkeiten der Mitarbeiter bereits gescheitert.
zurzeit wird folgendermaßen im HomeOffice gearbeitet:
1) HO-Laptops werden von Mitarbeitern abwechselnd benutzt
2) Nach dem Booten des Laptops wird eine WLAN-Verbindung (Internet) hergestellt
3) gleich danach wird der NCP-Client gestartet
4) VPN-Anmeldung IPSEC ikev1 PSK (main mode) mit den eigenen Active Directory - Daten über XAUTH
5) NCP-Client meldet den Mitarbeiter zugleich unter Windows bzw. in der Domäne an (inkl. Netlogon etc.)
6) der Mitarbeiter kann auf seine Netzlaufwerke etc. direkt zugreifen, alternativ kann er auch einen Terminalserver gehen (Netzwerkvollzugriff)
Warum?
1) Mitarbeiter haben äußerst bescheidene Computerkenntnisse
2) Managebarkeit: Um einen VPN-Zugriff zu ermöglichen, reicht es, den Mitarbeiter in eine entsprechende AD-Gruppe zu packen
3) Nachverfolgbarkeit: Wer hat sich wann angemeldet?
4) Laptops werden hin und her gereicht
Frage:
Je nach Internet-Verbindung zuhause, ist das Arbeiten auf Netzlaufwerken etc. mitunter mühselig. Bringt z.B. ikev2 mit Zertifikat einen Performance-Vorteil? Bleiben die oben genannten Vorteile erhalten? Eine reine Terminal-Server-Lösung ist an den Fähigkeiten der Mitarbeiter bereits gescheitert.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 861643309
Url: https://administrator.de/contentid/861643309
Printed on: April 26, 2024 at 09:04 o'clock
15 Comments
Latest comment
Moin..
Frage:
Nein, das bringt nix... ne langsame Leitung ist ne Langsame leitung!
Frank
Frage:
Je nach Internet-Verbindung zuhause, ist das Arbeiten auf Netzlaufwerken etc. mitunter mühselig. Bringt z.B. ikev2 mit Zertifikat einen Performance-Vorteil? Bleiben die oben genannten Vorteile erhalten? Eine reine Terminal-Server-Lösung ist an den Fähigkeiten der Mitarbeiter bereits gescheitert.
Nein, das bringt nix... ne langsame Leitung ist ne Langsame leitung!
Frank
Moin,
Da bei VPN-Verbindungen in 99% der Fällen die Internetleitung als Transport-Medium der Flaschenhals ist, wohl kaum.
Alex
Da bei VPN-Verbindungen in 99% der Fällen die Internetleitung als Transport-Medium der Flaschenhals ist, wohl kaum.
Alex
Genau aus diesem Grund sind wir auf Remote Desktop gegangen.
Das übertragen des Bildschirms und der Steuersignale (vereinfacht gesagt) ist deutlich performanter als das ständige lesen und schreiben via Netzlaufwerk. Zumindest bei größeren Dateien oder SQL-Lite Dateien, auf die ständig gelesen und geschrieben wird.
Ich verstehe auch nicht, was an der Terminallösung so schwierig ist. Das habe ich meinem Chef schneller erklärt gehabt als das ganze Gedöns mit dem Netzlaufwerk. So kann er von Zuhause aus arbeiten, als ob er im Büro ist.
Trotzdem ist die Eingangsfrage interessant.
Es wird ja immer geschrieben, dass OpenVPN oder Wireguard deutlich performanter sind als die üblichen, in den meisten Routern integrierten VPN Lösungen.
Das übertragen des Bildschirms und der Steuersignale (vereinfacht gesagt) ist deutlich performanter als das ständige lesen und schreiben via Netzlaufwerk. Zumindest bei größeren Dateien oder SQL-Lite Dateien, auf die ständig gelesen und geschrieben wird.
Ich verstehe auch nicht, was an der Terminallösung so schwierig ist. Das habe ich meinem Chef schneller erklärt gehabt als das ganze Gedöns mit dem Netzlaufwerk. So kann er von Zuhause aus arbeiten, als ob er im Büro ist.
Trotzdem ist die Eingangsfrage interessant.
Es wird ja immer geschrieben, dass OpenVPN oder Wireguard deutlich performanter sind als die üblichen, in den meisten Routern integrierten VPN Lösungen.
Wir verwenden für die HO-Arbeitsplätze ausschließlich OpenVPN. Aber ne schlechte Leitung wird damit auch zum Showstopper....
Bei einer stabilen Leitung mit entsprechender Leistung funktioniert OpenVPN genauso gut oder schlecht wie IPsec.
Gruß
Looser
P.S.: IPsec verwenden wir für einen S2S-Tunnel.
Bei einer stabilen Leitung mit entsprechender Leistung funktioniert OpenVPN genauso gut oder schlecht wie IPsec.
Gruß
Looser
P.S.: IPsec verwenden wir für einen S2S-Tunnel.
Zitat von @Ghent74:
Genau aus diesem Grund sind wir auf Remote Desktop gegangen.
Das übertragen des Bildschirms und der Steuersignale (vereinfacht gesagt) ist deutlich performanter als das ständige lesen und schreiben via Netzlaufwerk. Zumindest bei größeren Dateien oder SQL-Lite Dateien, auf die ständig gelesen und geschrieben wird.
Ich verstehe auch nicht, was an der Terminallösung so schwierig ist. Das habe ich meinem Chef schneller erklärt gehabt als das ganze Gedöns mit dem Netzlaufwerk. So kann er von Zuhause aus arbeiten, als ob er im Büro ist.
Genau aus diesem Grund sind wir auf Remote Desktop gegangen.
Das übertragen des Bildschirms und der Steuersignale (vereinfacht gesagt) ist deutlich performanter als das ständige lesen und schreiben via Netzlaufwerk. Zumindest bei größeren Dateien oder SQL-Lite Dateien, auf die ständig gelesen und geschrieben wird.
Ich verstehe auch nicht, was an der Terminallösung so schwierig ist. Das habe ich meinem Chef schneller erklärt gehabt als das ganze Gedöns mit dem Netzlaufwerk. So kann er von Zuhause aus arbeiten, als ob er im Büro ist.
Der Laptop ist gleichzeig ein Softphone. Außerdem kommen noch Webkonferenzen etc. dazu. Unsere Mitarbeiter kriegen das nicht hin, egal wie oft du es ihnen erklärst. Leider.
Trotzdem ist die Eingangsfrage interessant.
Es wird ja immer geschrieben, dass OpenVPN oder Wireguard deutlich performanter sind als die üblichen, in den meisten Routern integrierten VPN Lösungen.
Es wird ja immer geschrieben, dass OpenVPN oder Wireguard deutlich performanter sind als die üblichen, in den meisten Routern integrierten VPN Lösungen.
Das ist die Frage. IKEv2 soll ja zumindest beim Aushandeln schneller als ikev1 sein.
Zitat von @Inf1d3l:
Der Laptop ist gleichzeig ein Softphone. Außerdem kommen noch Webkonferenzen etc. dazu. Unsere Mitarbeiter kriegen das nicht hin, egal wie oft du es ihnen erklärst. Leider.
Das ist die Frage. IKEv2 soll ja zumindest beim Aushandeln schneller als ikev1 sein.
ja... 0,2 sekunden.. Zitat von @Ghent74:
Genau aus diesem Grund sind wir auf Remote Desktop gegangen.
Das übertragen des Bildschirms und der Steuersignale (vereinfacht gesagt) ist deutlich performanter als das ständige lesen und schreiben via Netzlaufwerk. Zumindest bei größeren Dateien oder SQL-Lite Dateien, auf die ständig gelesen und geschrieben wird.
Ich verstehe auch nicht, was an der Terminallösung so schwierig ist. Das habe ich meinem Chef schneller erklärt gehabt als das ganze Gedöns mit dem Netzlaufwerk. So kann er von Zuhause aus arbeiten, als ob er im Büro ist.
Genau aus diesem Grund sind wir auf Remote Desktop gegangen.
Das übertragen des Bildschirms und der Steuersignale (vereinfacht gesagt) ist deutlich performanter als das ständige lesen und schreiben via Netzlaufwerk. Zumindest bei größeren Dateien oder SQL-Lite Dateien, auf die ständig gelesen und geschrieben wird.
Ich verstehe auch nicht, was an der Terminallösung so schwierig ist. Das habe ich meinem Chef schneller erklärt gehabt als das ganze Gedöns mit dem Netzlaufwerk. So kann er von Zuhause aus arbeiten, als ob er im Büro ist.
Der Laptop ist gleichzeig ein Softphone. Außerdem kommen noch Webkonferenzen etc. dazu. Unsere Mitarbeiter kriegen das nicht hin, egal wie oft du es ihnen erklärst. Leider.
Trotzdem ist die Eingangsfrage interessant.
Es wird ja immer geschrieben, dass OpenVPN oder Wireguard deutlich performanter sind als die üblichen, in den meisten Routern integrierten VPN Lösungen.
Es wird ja immer geschrieben, dass OpenVPN oder Wireguard deutlich performanter sind als die üblichen, in den meisten Routern integrierten VPN Lösungen.
Das ist die Frage. IKEv2 soll ja zumindest beim Aushandeln schneller als ikev1 sein.
Hallo,
ja... 0,2 sekunden.. face-smile
Na, dann wird die VPN Verbindung halt 0.2 Sekunden früher langsam....
brammer
Das ist die Frage. IKEv2 soll ja zumindest beim Aushandeln schneller als ikev1 sein.
ja... 0,2 sekunden..
face-smileNa, dann wird die VPN Verbindung halt 0.2 Sekunden früher langsam....
brammer
Zitat von @Inf1d3l:
Der Laptop ist gleichzeig ein Softphone. Außerdem kommen noch Webkonferenzen etc. dazu. Unsere Mitarbeiter kriegen das nicht hin, egal wie oft du es ihnen erklärst. Leider.
Der Laptop ist gleichzeig ein Softphone. Außerdem kommen noch Webkonferenzen etc. dazu. Unsere Mitarbeiter kriegen das nicht hin, egal wie oft du es ihnen erklärst. Leider.
Sofern das alles auf dem FirmenPC läuft wird es doch automatisch via Remote Audio weitergeleitet. Geht bei uns jedenfalls ohne Probleme.
Oder verhält es sich bei TerminalServern anders? Bei uns sind es RDP Verbindungen zu einzelnen FirmenPCs.
Bei uns läuft das Softphone auf dem TS und wir leiten Audio in die RDP Sitzung weiter. Funktioniert tadellos.
1
Also weiß niemand wirklich, ob ein anderes VPN-Protokoll was bringen würde. Trotzdem danke!
Hallo,
Dein Flaschenhals ist die dünne Leitung bei deinen Home Office Mitarbeitern. oder die mangelhafte Performance des DSL Routers (Oder woran die Mitarbeiter auch immer dran hängen..)
Durch ein 1/2 Zoll rohr geht nicht mehr Wasser nur weil du einen anderen Wasserhahn nimmst...
brammer
Also weiß niemand wirklich, ob ein anderes VPN-Protokoll was bringen würde. Trotzdem danke! face-smile
face-smileDein Flaschenhals ist die dünne Leitung bei deinen Home Office Mitarbeitern. oder die mangelhafte Performance des DSL Routers (Oder woran die Mitarbeiter auch immer dran hängen..)
Durch ein 1/2 Zoll rohr geht nicht mehr Wasser nur weil du einen anderen Wasserhahn nimmst...
brammer
Also weiß niemand wirklich, ob ein anderes VPN-Protokoll was bringen würde.
Doch. JEDER oben hat es dir gesagt das es NICHTS bringen wird ! Der Netto Durchsatz im Tunnel ist bei IKEv1 genauso wie bei IKEv2.Nur der 3rd Party VPN Client könnte selber noch ein Flaschenhals sein in Bezug wie performant er Daten ans OS übergibt. Niemals aber das IPsec Protokoll an sich. Eine Grafik im Vergleich zu anderen VPN Protokollen zeigt das HIER.
Helfen würde ggf. ein Test mit den Windows bordeigenen VPN Clients die keinerlei solche Limitierungen haben. Der Erfolg dürfte aber sehr wahrscheinlich gering sein.
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Zitat von @148523:
Also weiß niemand wirklich, ob ein anderes VPN-Protokoll was bringen würde.
Doch. JEDER oben hat es dir gesagt das es NICHTS bringen wird !Also ist Wireguard laut deinem Link schneller als IPSec. Danke. Nur schade dass es wenig unterstützt wird. pfsense und opnsense kommen hier nicht in Frage.
Nur schade dass es wenig unterstützt wird.
Du bist sehr schlecht informiert ! Zumindestens für OPNsense ist das nicht richtig.https://docs.opnsense.org/manual/how-tos/wireguard-client.html
Bei pfSense ist es in der 2.5.0 enthalten:
Merkzettel: VPN Installation mit Wireguard
Wenn es auf deine aktuelle HW bezogen war dann stellst du deinen VPN Server eben um auf IKEv2 und nutzt immer die OS internen VPN Clients. 3rd Party VPN Clients wie bei dir muss man heutzutage nirgendwo mehr verwenden.
Das Problem ist doch (auch), dass Du keine Kontrolle über die heimischen Netzwerke hast.
Es gibt doch kaum jemanden, der die Performance seines heimischen Wifis kontrolliert ... nur gemosert wird fast überall.
Ich würde den Problemfällen testweise mal 10 m (dünnes) LAN-Kabel mitgeben.
VG
Es gibt doch kaum jemanden, der die Performance seines heimischen Wifis kontrolliert ... nur gemosert wird fast überall.
Ich würde den Problemfällen testweise mal 10 m (dünnes) LAN-Kabel mitgeben.
VG