Langsame VPN Verbindung zwischen 2 PIXen
Hallo,
ich habe hier einen VPN Fehler der mich zur Verzweiflung treibt.
Es geht um eine Net-to-Net Verbindung zwischen zwei Cisco PIXen. Auf der einen Seite ist ein SBS 2003, auf der anderen Seite ein LAN mit 5 Domänenclients (WinXP SP2). Die LANs haben unterschiedliche IP-Adressbereiche.
Beide DSL-Leitungen sind SDSL mit einmal 2Mb/s und einmal 34Mb/s.
Diese VPN-Verbindung ist viel zu langsam. Vor allem wenn Datnverkehr über die Leitung geht, fangen die Ping-Zeiten an zu hopsen, ala
3000ms
220ms
2800ms
300ms
4200ms
120ms
Im Leerlauf liegt der Ping bei ca. 60ms.
Bei den Remote-VPN Verbindungen von einem Client im Internet zu den einzelnen PIXen liegt der Ping-Leerlaufwert so bei 40ms und es geht sehr flott.
Die Verbindung ist so langsam das es fast unmöglich ist Daten über die Datei-Freigabe auszutauschen. Auch der Zugriff auf comanyweb, OWA etc. ist sehr langsam, abewr eigentlich funktionieren alle Anwendungen zumindest mal grundsätzlich irgendwie.
RDP über die VPN-Verbindung geht aber relativ flott, auf jedenfall kann man dran arbeiten.
Manchmal geht auch die DNS-Namensauflösung nicht, meist aber doch.
IPconfig /all zeigt nichts an was nicht sein sollte.
Die Clients beziehen ihre IP von der PIX, DNS-Server ist der SBS durch den Tunnel.
ICMP wurde auf allen NIC der beiden PIXen komplett erlaubt.
Kann mir bitte jemand weiterhelfen?? Wir können hier fast nicht arbeiten.
ich habe hier einen VPN Fehler der mich zur Verzweiflung treibt.
Es geht um eine Net-to-Net Verbindung zwischen zwei Cisco PIXen. Auf der einen Seite ist ein SBS 2003, auf der anderen Seite ein LAN mit 5 Domänenclients (WinXP SP2). Die LANs haben unterschiedliche IP-Adressbereiche.
Beide DSL-Leitungen sind SDSL mit einmal 2Mb/s und einmal 34Mb/s.
Diese VPN-Verbindung ist viel zu langsam. Vor allem wenn Datnverkehr über die Leitung geht, fangen die Ping-Zeiten an zu hopsen, ala
3000ms
220ms
2800ms
300ms
4200ms
120ms
Im Leerlauf liegt der Ping bei ca. 60ms.
Bei den Remote-VPN Verbindungen von einem Client im Internet zu den einzelnen PIXen liegt der Ping-Leerlaufwert so bei 40ms und es geht sehr flott.
Die Verbindung ist so langsam das es fast unmöglich ist Daten über die Datei-Freigabe auszutauschen. Auch der Zugriff auf comanyweb, OWA etc. ist sehr langsam, abewr eigentlich funktionieren alle Anwendungen zumindest mal grundsätzlich irgendwie.
RDP über die VPN-Verbindung geht aber relativ flott, auf jedenfall kann man dran arbeiten.
Manchmal geht auch die DNS-Namensauflösung nicht, meist aber doch.
IPconfig /all zeigt nichts an was nicht sein sollte.
Die Clients beziehen ihre IP von der PIX, DNS-Server ist der SBS durch den Tunnel.
ICMP wurde auf allen NIC der beiden PIXen komplett erlaubt.
Kann mir bitte jemand weiterhelfen?? Wir können hier fast nicht arbeiten.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 48467
Url: https://administrator.de/contentid/48467
Ausgedruckt am: 14.11.2024 um 11:11 Uhr
8 Kommentare
Neuester Kommentar
Welche PING-Zeit hast du denn von PIX zu PIX? Die Zeit 10ms bis 30ms sollte die Zeit für das PING in dem VPN sein.
Für windows Server 2003 gibt es ein Patch um ein Problem mit der MTU Size Erkennung zu beheben.
http://support.microsoft.com/kb/898060/en-us
Die PCs und auch der Server, also auf beiden Seiten der VPN Verbindung sollen lokale Firewall so konfigurieren, das ICMP "zu großes ausgehendes Paket" zugelassen wird.
Gruß Rafiki
Für windows Server 2003 gibt es ein Patch um ein Problem mit der MTU Size Erkennung zu beheben.
http://support.microsoft.com/kb/898060/en-us
Die PCs und auch der Server, also auf beiden Seiten der VPN Verbindung sollen lokale Firewall so konfigurieren, das ICMP "zu großes ausgehendes Paket" zugelassen wird.
Gruß Rafiki
Meine Frage war die Pingzeit von PIX zu PIX ohne Tunnel, im Vergleich zu einem Ping durch den Tunnel. Das die Pingzeiten durch den Tunnel da schon stehen habe ich auch gelesen, aber der Vergleich wäre halt gut zu wissen und sollte 10 bis 30ms nicht übersteigen.
So so ping auf der Pix ist zugelassen, na und?
Mein Vorschlag ist ping auf der lokalen windows firewall durch zulassen damit "ICMP packet too large" (deutsch "zu großes ausgehendes Paket") von der PIX bei Windows ankommt.
Ich helfe dir gerne, aber es macht Sinn, dass du meine Antwort liest anstatt sich zu beschweren ich würde deine Frage nicht lesen.
Hast du den Patch schon gelesen und ggf. geladen?
Gruß Rafiki
So so ping auf der Pix ist zugelassen, na und?
Mein Vorschlag ist ping auf der lokalen windows firewall durch zulassen damit "ICMP packet too large" (deutsch "zu großes ausgehendes Paket") von der PIX bei Windows ankommt.
Ich helfe dir gerne, aber es macht Sinn, dass du meine Antwort liest anstatt sich zu beschweren ich würde deine Frage nicht lesen.
Hast du den Patch schon gelesen und ggf. geladen?
Gruß Rafiki