inf1d3l
Goto Top

IPSec Performance und Usability

Moin,

zurzeit wird folgendermaßen im HomeOffice gearbeitet:

1) HO-Laptops werden von Mitarbeitern abwechselnd benutzt
2) Nach dem Booten des Laptops wird eine WLAN-Verbindung (Internet) hergestellt
3) gleich danach wird der NCP-Client gestartet
4) VPN-Anmeldung IPSEC ikev1 PSK (main mode) mit den eigenen Active Directory - Daten über XAUTH
5) NCP-Client meldet den Mitarbeiter zugleich unter Windows bzw. in der Domäne an (inkl. Netlogon etc.)
6) der Mitarbeiter kann auf seine Netzlaufwerke etc. direkt zugreifen, alternativ kann er auch einen Terminalserver gehen (Netzwerkvollzugriff)

Warum?
1) Mitarbeiter haben äußerst bescheidene Computerkenntnisse
2) Managebarkeit: Um einen VPN-Zugriff zu ermöglichen, reicht es, den Mitarbeiter in eine entsprechende AD-Gruppe zu packen
3) Nachverfolgbarkeit: Wer hat sich wann angemeldet?
4) Laptops werden hin und her gereicht

Frage:
Je nach Internet-Verbindung zuhause, ist das Arbeiten auf Netzlaufwerken etc. mitunter mühselig. Bringt z.B. ikev2 mit Zertifikat einen Performance-Vorteil? Bleiben die oben genannten Vorteile erhalten? Eine reine Terminal-Server-Lösung ist an den Fähigkeiten der Mitarbeiter bereits gescheitert. face-smile

Content-ID: 861643309

Url: https://administrator.de/contentid/861643309

Ausgedruckt am: 04.11.2024 um 18:11 Uhr

Vision2015
Vision2015 30.06.2021 um 12:45:04 Uhr
Goto Top
Moin..


Frage:
Je nach Internet-Verbindung zuhause, ist das Arbeiten auf Netzlaufwerken etc. mitunter mühselig. Bringt z.B. ikev2 mit Zertifikat einen Performance-Vorteil? Bleiben die oben genannten Vorteile erhalten? Eine reine Terminal-Server-Lösung ist an den Fähigkeiten der Mitarbeiter bereits gescheitert.

Nein, das bringt nix... ne langsame Leitung ist ne Langsame leitung!

Frank
Ad39min
Ad39min 30.06.2021 um 13:30:42 Uhr
Goto Top
Moin,

Da bei VPN-Verbindungen in 99% der Fällen die Internetleitung als Transport-Medium der Flaschenhals ist, wohl kaum.

Alex
Ghent74
Ghent74 30.06.2021 um 13:32:58 Uhr
Goto Top
Genau aus diesem Grund sind wir auf Remote Desktop gegangen.
Das übertragen des Bildschirms und der Steuersignale (vereinfacht gesagt) ist deutlich performanter als das ständige lesen und schreiben via Netzlaufwerk. Zumindest bei größeren Dateien oder SQL-Lite Dateien, auf die ständig gelesen und geschrieben wird.

Ich verstehe auch nicht, was an der Terminallösung so schwierig ist. Das habe ich meinem Chef schneller erklärt gehabt als das ganze Gedöns mit dem Netzlaufwerk. So kann er von Zuhause aus arbeiten, als ob er im Büro ist.

Trotzdem ist die Eingangsfrage interessant.
Es wird ja immer geschrieben, dass OpenVPN oder Wireguard deutlich performanter sind als die üblichen, in den meisten Routern integrierten VPN Lösungen.
Looser27
Looser27 30.06.2021 um 13:40:12 Uhr
Goto Top
Wir verwenden für die HO-Arbeitsplätze ausschließlich OpenVPN. Aber ne schlechte Leitung wird damit auch zum Showstopper....
Bei einer stabilen Leitung mit entsprechender Leistung funktioniert OpenVPN genauso gut oder schlecht wie IPsec.

Gruß

Looser

P.S.: IPsec verwenden wir für einen S2S-Tunnel.
Inf1d3l
Inf1d3l 30.06.2021 um 13:44:51 Uhr
Goto Top
Zitat von @Ghent74:

Genau aus diesem Grund sind wir auf Remote Desktop gegangen.
Das übertragen des Bildschirms und der Steuersignale (vereinfacht gesagt) ist deutlich performanter als das ständige lesen und schreiben via Netzlaufwerk. Zumindest bei größeren Dateien oder SQL-Lite Dateien, auf die ständig gelesen und geschrieben wird.

Ich verstehe auch nicht, was an der Terminallösung so schwierig ist. Das habe ich meinem Chef schneller erklärt gehabt als das ganze Gedöns mit dem Netzlaufwerk. So kann er von Zuhause aus arbeiten, als ob er im Büro ist.

Der Laptop ist gleichzeig ein Softphone. Außerdem kommen noch Webkonferenzen etc. dazu. Unsere Mitarbeiter kriegen das nicht hin, egal wie oft du es ihnen erklärst. Leider.

Trotzdem ist die Eingangsfrage interessant.
Es wird ja immer geschrieben, dass OpenVPN oder Wireguard deutlich performanter sind als die üblichen, in den meisten Routern integrierten VPN Lösungen.

Das ist die Frage. IKEv2 soll ja zumindest beim Aushandeln schneller als ikev1 sein.
Vision2015
Vision2015 30.06.2021 um 13:47:19 Uhr
Goto Top
Zitat von @Inf1d3l:

Zitat von @Ghent74:

Genau aus diesem Grund sind wir auf Remote Desktop gegangen.
Das übertragen des Bildschirms und der Steuersignale (vereinfacht gesagt) ist deutlich performanter als das ständige lesen und schreiben via Netzlaufwerk. Zumindest bei größeren Dateien oder SQL-Lite Dateien, auf die ständig gelesen und geschrieben wird.

Ich verstehe auch nicht, was an der Terminallösung so schwierig ist. Das habe ich meinem Chef schneller erklärt gehabt als das ganze Gedöns mit dem Netzlaufwerk. So kann er von Zuhause aus arbeiten, als ob er im Büro ist.

Der Laptop ist gleichzeig ein Softphone. Außerdem kommen noch Webkonferenzen etc. dazu. Unsere Mitarbeiter kriegen das nicht hin, egal wie oft du es ihnen erklärst. Leider.

Trotzdem ist die Eingangsfrage interessant.
Es wird ja immer geschrieben, dass OpenVPN oder Wireguard deutlich performanter sind als die üblichen, in den meisten Routern integrierten VPN Lösungen.

Das ist die Frage. IKEv2 soll ja zumindest beim Aushandeln schneller als ikev1 sein.
ja... 0,2 sekunden.. face-smile
brammer
brammer 30.06.2021 um 14:01:21 Uhr
Goto Top
Hallo,

Das ist die Frage. IKEv2 soll ja zumindest beim Aushandeln schneller als ikev1 sein.

ja... 0,2 sekunden.. face-smile face-smile

Na, dann wird die VPN Verbindung halt 0.2 Sekunden früher langsam....

brammer
Ghent74
Ghent74 30.06.2021 um 14:04:37 Uhr
Goto Top
Zitat von @Inf1d3l:
Der Laptop ist gleichzeig ein Softphone. Außerdem kommen noch Webkonferenzen etc. dazu. Unsere Mitarbeiter kriegen das nicht hin, egal wie oft du es ihnen erklärst. Leider.

Sofern das alles auf dem FirmenPC läuft wird es doch automatisch via Remote Audio weitergeleitet. Geht bei uns jedenfalls ohne Probleme.
Oder verhält es sich bei TerminalServern anders? Bei uns sind es RDP Verbindungen zu einzelnen FirmenPCs.
Looser27
Looser27 30.06.2021 um 14:05:42 Uhr
Goto Top
Bei uns läuft das Softphone auf dem TS und wir leiten Audio in die RDP Sitzung weiter. Funktioniert tadellos.
Inf1d3l
Inf1d3l 30.06.2021 aktualisiert um 14:15:33 Uhr
Goto Top
Also weiß niemand wirklich, ob ein anderes VPN-Protokoll was bringen würde. Trotzdem danke! face-smile
brammer
brammer 30.06.2021 um 15:11:54 Uhr
Goto Top
Hallo,

Also weiß niemand wirklich, ob ein anderes VPN-Protokoll was bringen würde. Trotzdem danke! face-smile face-smile

Dein Flaschenhals ist die dünne Leitung bei deinen Home Office Mitarbeitern. oder die mangelhafte Performance des DSL Routers (Oder woran die Mitarbeiter auch immer dran hängen..)

Durch ein 1/2 Zoll rohr geht nicht mehr Wasser nur weil du einen anderen Wasserhahn nimmst...

brammer
148523
148523 01.07.2021 aktualisiert um 15:23:39 Uhr
Goto Top
Also weiß niemand wirklich, ob ein anderes VPN-Protokoll was bringen würde.
Doch. JEDER oben hat es dir gesagt das es NICHTS bringen wird ! Der Netto Durchsatz im Tunnel ist bei IKEv1 genauso wie bei IKEv2.
Nur der 3rd Party VPN Client könnte selber noch ein Flaschenhals sein in Bezug wie performant er Daten ans OS übergibt. Niemals aber das IPsec Protokoll an sich. Eine Grafik im Vergleich zu anderen VPN Protokollen zeigt das HIER.
Helfen würde ggf. ein Test mit den Windows bordeigenen VPN Clients die keinerlei solche Limitierungen haben. Der Erfolg dürfte aber sehr wahrscheinlich gering sein.
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Inf1d3l
Inf1d3l 01.07.2021 aktualisiert um 15:59:28 Uhr
Goto Top
Zitat von @148523:

Also weiß niemand wirklich, ob ein anderes VPN-Protokoll was bringen würde.
Doch. JEDER oben hat es dir gesagt das es NICHTS bringen wird !

Also ist Wireguard laut deinem Link schneller als IPSec. Danke. Nur schade dass es wenig unterstützt wird. pfsense und opnsense kommen hier nicht in Frage.
148523
148523 01.07.2021 aktualisiert um 16:18:41 Uhr
Goto Top
Nur schade dass es wenig unterstützt wird.
Du bist sehr schlecht informiert ! Zumindestens für OPNsense ist das nicht richtig.
https://docs.opnsense.org/manual/how-tos/wireguard-client.html
Bei pfSense ist es in der 2.5.0 enthalten:
Merkzettel: VPN Installation mit Wireguard
Wenn es auf deine aktuelle HW bezogen war dann stellst du deinen VPN Server eben um auf IKEv2 und nutzt immer die OS internen VPN Clients. 3rd Party VPN Clients wie bei dir muss man heutzutage nirgendwo mehr verwenden.
Visucius
Visucius 01.07.2021 aktualisiert um 16:27:36 Uhr
Goto Top
Das Problem ist doch (auch), dass Du keine Kontrolle über die heimischen Netzwerke hast.

Es gibt doch kaum jemanden, der die Performance seines heimischen Wifis kontrolliert ... nur gemosert wird fast überall.

Ich würde den Problemfällen testweise mal 10 m (dünnes) LAN-Kabel mitgeben.

VG