8
Langsame VPN Verbindung zwischen 2 PIXen
Hallo,
ich habe hier einen VPN Fehler der mich zur Verzweiflung treibt.
Es geht um eine Net-to-Net Verbindung zwischen zwei Cisco PIXen. Auf der einen Seite ist ein SBS 2003, auf der anderen Seite ein LAN mit 5 Domänenclients (WinXP SP2). Die LANs haben unterschiedliche IP-Adressbereiche.
Beide DSL-Leitungen sind SDSL mit einmal 2Mb/s und einmal 34Mb/s.
Diese VPN-Verbindung ist viel zu langsam. Vor allem wenn Datnverkehr über die Leitung geht, fangen die Ping-Zeiten an zu hopsen, ala
3000ms
220ms
2800ms
300ms
4200ms
120ms
Im Leerlauf liegt der Ping bei ca. 60ms.
Bei den Remote-VPN Verbindungen von einem Client im Internet zu den einzelnen PIXen liegt der Ping-Leerlaufwert so bei 40ms und es geht sehr flott.
Die Verbindung ist so langsam das es fast unmöglich ist Daten über die Datei-Freigabe auszutauschen. Auch der Zugriff auf comanyweb, OWA etc. ist sehr langsam, abewr eigentlich funktionieren alle Anwendungen zumindest mal grundsätzlich irgendwie.
RDP über die VPN-Verbindung geht aber relativ flott, auf jedenfall kann man dran arbeiten.
Manchmal geht auch die DNS-Namensauflösung nicht, meist aber doch.
IPconfig /all zeigt nichts an was nicht sein sollte.
Die Clients beziehen ihre IP von der PIX, DNS-Server ist der SBS durch den Tunnel.
ICMP wurde auf allen NIC der beiden PIXen komplett erlaubt.
Kann mir bitte jemand weiterhelfen?? Wir können hier fast nicht arbeiten.
ich habe hier einen VPN Fehler der mich zur Verzweiflung treibt.
Es geht um eine Net-to-Net Verbindung zwischen zwei Cisco PIXen. Auf der einen Seite ist ein SBS 2003, auf der anderen Seite ein LAN mit 5 Domänenclients (WinXP SP2). Die LANs haben unterschiedliche IP-Adressbereiche.
Beide DSL-Leitungen sind SDSL mit einmal 2Mb/s und einmal 34Mb/s.
Diese VPN-Verbindung ist viel zu langsam. Vor allem wenn Datnverkehr über die Leitung geht, fangen die Ping-Zeiten an zu hopsen, ala
3000ms
220ms
2800ms
300ms
4200ms
120ms
Im Leerlauf liegt der Ping bei ca. 60ms.
Bei den Remote-VPN Verbindungen von einem Client im Internet zu den einzelnen PIXen liegt der Ping-Leerlaufwert so bei 40ms und es geht sehr flott.
Die Verbindung ist so langsam das es fast unmöglich ist Daten über die Datei-Freigabe auszutauschen. Auch der Zugriff auf comanyweb, OWA etc. ist sehr langsam, abewr eigentlich funktionieren alle Anwendungen zumindest mal grundsätzlich irgendwie.
RDP über die VPN-Verbindung geht aber relativ flott, auf jedenfall kann man dran arbeiten.
Manchmal geht auch die DNS-Namensauflösung nicht, meist aber doch.
IPconfig /all zeigt nichts an was nicht sein sollte.
Die Clients beziehen ihre IP von der PIX, DNS-Server ist der SBS durch den Tunnel.
ICMP wurde auf allen NIC der beiden PIXen komplett erlaubt.
Kann mir bitte jemand weiterhelfen?? Wir können hier fast nicht arbeiten.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 48467
Url: https://administrator.de/contentid/48467
Printed on: April 19, 2024 at 08:04 o'clock
8 Comments
Latest comment
Welche PING-Zeit hast du denn von PIX zu PIX? Die Zeit 10ms bis 30ms sollte die Zeit für das PING in dem VPN sein.
Für windows Server 2003 gibt es ein Patch um ein Problem mit der MTU Size Erkennung zu beheben.
http://support.microsoft.com/kb/898060/en-us
Die PCs und auch der Server, also auf beiden Seiten der VPN Verbindung sollen lokale Firewall so konfigurieren, das ICMP "zu großes ausgehendes Paket" zugelassen wird.
Gruß Rafiki
Für windows Server 2003 gibt es ein Patch um ein Problem mit der MTU Size Erkennung zu beheben.
http://support.microsoft.com/kb/898060/en-us
Die PCs und auch der Server, also auf beiden Seiten der VPN Verbindung sollen lokale Firewall so konfigurieren, das ICMP "zu großes ausgehendes Paket" zugelassen wird.
Gruß Rafiki
Also die ping-Zeiten durch den Tunnel stehen ganz groß in meinem Post.
Da steht auch drinne das ich icmp komplett auf den NIC der Pixen zugelassen habe.
Da steht auch drinne das ich icmp komplett auf den NIC der Pixen zugelassen habe.
Meine Frage war die Pingzeit von PIX zu PIX ohne Tunnel, im Vergleich zu einem Ping durch den Tunnel. Das die Pingzeiten durch den Tunnel da schon stehen habe ich auch gelesen, aber der Vergleich wäre halt gut zu wissen und sollte 10 bis 30ms nicht übersteigen.
So so ping auf der Pix ist zugelassen, na und?
Mein Vorschlag ist ping auf der lokalen windows firewall durch zulassen damit "ICMP packet too large" (deutsch "zu großes ausgehendes Paket") von der PIX bei Windows ankommt.
Ich helfe dir gerne, aber es macht Sinn, dass du meine Antwort liest anstatt sich zu beschweren ich würde deine Frage nicht lesen.
Hast du den Patch schon gelesen und ggf. geladen?
Gruß Rafiki
So so ping auf der Pix ist zugelassen, na und?
Mein Vorschlag ist ping auf der lokalen windows firewall durch zulassen damit "ICMP packet too large" (deutsch "zu großes ausgehendes Paket") von der PIX bei Windows ankommt.
Ich helfe dir gerne, aber es macht Sinn, dass du meine Antwort liest anstatt sich zu beschweren ich würde deine Frage nicht lesen.
Hast du den Patch schon gelesen und ggf. geladen?
Gruß Rafiki
O.K. sorry für die kurz gratene Antwort. Ich hatte in letzter Zeit öfters mal nichtssagende Schlaumeier an der Leitung, da wird man manchmal etwas kurz angebunden. Ich entschuldige mich hiemit.
Also,
- Patch ist installiert.
- Ping vpn Pix <-> Pix jeweils 60-50ms
- ping vom Server zum Client bei 60ms
- ping von Server zu Client geht garnicht mehr (nicht gefunden, aber Anwendungen finden ihn durchaus)
- ICMP auf Client komplett erlaubt
- auf Server läuft keine Firewall (default SBS) aber dafür kommt eine Medlung die mir neu ist:
<<Der Windows-Firewall kann nicht ausgeführt werden, da ein anderes Programm bzw. eine anderer Dienst, das bzw. der momentan ausgeführt wird, die Netzwerkadressübersetzungskomponente (Ipnat.sys) verwendet.>>>>
Also,
- Patch ist installiert.
- Ping vpn Pix <-> Pix jeweils 60-50ms
- ping vom Server zum Client bei 60ms
- ping von Server zu Client geht garnicht mehr (nicht gefunden, aber Anwendungen finden ihn durchaus)
- ICMP auf Client komplett erlaubt
- auf Server läuft keine Firewall (default SBS) aber dafür kommt eine Medlung die mir neu ist:
<<Der Windows-Firewall kann nicht ausgeführt werden, da ein anderes Programm bzw. eine anderer Dienst, das bzw. der momentan ausgeführt wird, die Netzwerkadressübersetzungskomponente (Ipnat.sys) verwendet.>>>>
Und die Einstellungen der PIX NICs
Servseitig:
intern 100full 1500 LAN
extern auto 1456 (Telekom Vorgabe) DSL
Clientseitig:
extern 100full 1500 LAN?
intern auto 1500 LAN
Servseitig:
intern 100full 1500 LAN
extern auto 1456 (Telekom Vorgabe) DSL
Clientseitig:
extern 100full 1500 LAN?
intern auto 1500 LAN
<<ping von Server zu Client geht garnicht mehr (nicht gefunden, aber Anwendungen finden ihn durchaus)<<<
sorry, hatte mich vertippt, geht aber genauso wie vorher
sorry, hatte mich vertippt, geht aber genauso wie vorher
O.K., hat sich erledigt. Lag nicht am Tunnel, sondern
http://dnn.mssbsfaq.de/SBS2003/Server/GatewaywirdperSBSLoginskript%C3%B ...
http://dnn.mssbsfaq.de/SBS2003/Server/GatewaywirdperSBSLoginskript%C3%B ...
Danke für die Info.
Ich versuchte mir gerade einen Kopf zu machen in Richtung Paketfragmentation oder ähnliches.
Gruß Rafiki
Ich versuchte mir gerade einen Kopf zu machen in Richtung Paketfragmentation oder ähnliches.
Gruß Rafiki
