mhoelle
Goto Top

Langsame VPN Verbindung zwischen 2 PIXen

Hallo,

ich habe hier einen VPN Fehler der mich zur Verzweiflung treibt.

Es geht um eine Net-to-Net Verbindung zwischen zwei Cisco PIXen. Auf der einen Seite ist ein SBS 2003, auf der anderen Seite ein LAN mit 5 Domänenclients (WinXP SP2). Die LANs haben unterschiedliche IP-Adressbereiche.

Beide DSL-Leitungen sind SDSL mit einmal 2Mb/s und einmal 34Mb/s.


Diese VPN-Verbindung ist viel zu langsam. Vor allem wenn Datnverkehr über die Leitung geht, fangen die Ping-Zeiten an zu hopsen, ala
3000ms
220ms
2800ms
300ms
4200ms
120ms

Im Leerlauf liegt der Ping bei ca. 60ms.

Bei den Remote-VPN Verbindungen von einem Client im Internet zu den einzelnen PIXen liegt der Ping-Leerlaufwert so bei 40ms und es geht sehr flott.

Die Verbindung ist so langsam das es fast unmöglich ist Daten über die Datei-Freigabe auszutauschen. Auch der Zugriff auf comanyweb, OWA etc. ist sehr langsam, abewr eigentlich funktionieren alle Anwendungen zumindest mal grundsätzlich irgendwie.

RDP über die VPN-Verbindung geht aber relativ flott, auf jedenfall kann man dran arbeiten.

Manchmal geht auch die DNS-Namensauflösung nicht, meist aber doch.

IPconfig /all zeigt nichts an was nicht sein sollte.

Die Clients beziehen ihre IP von der PIX, DNS-Server ist der SBS durch den Tunnel.

ICMP wurde auf allen NIC der beiden PIXen komplett erlaubt.

Kann mir bitte jemand weiterhelfen?? Wir können hier fast nicht arbeiten.

Content-ID: 48467

Url: https://administrator.de/contentid/48467

Ausgedruckt am: 14.11.2024 um 11:11 Uhr

Rafiki
Rafiki 11.01.2007 um 08:13:39 Uhr
Goto Top
Welche PING-Zeit hast du denn von PIX zu PIX? Die Zeit 10ms bis 30ms sollte die Zeit für das PING in dem VPN sein.


Für windows Server 2003 gibt es ein Patch um ein Problem mit der MTU Size Erkennung zu beheben.
http://support.microsoft.com/kb/898060/en-us

Die PCs und auch der Server, also auf beiden Seiten der VPN Verbindung sollen lokale Firewall so konfigurieren, das ICMP "zu großes ausgehendes Paket" zugelassen wird.

Gruß Rafiki
mHoelle
mHoelle 11.01.2007 um 09:59:20 Uhr
Goto Top
Also die ping-Zeiten durch den Tunnel stehen ganz groß in meinem Post.

Da steht auch drinne das ich icmp komplett auf den NIC der Pixen zugelassen habe.
Rafiki
Rafiki 11.01.2007 um 12:20:49 Uhr
Goto Top
Meine Frage war die Pingzeit von PIX zu PIX ohne Tunnel, im Vergleich zu einem Ping durch den Tunnel. Das die Pingzeiten durch den Tunnel da schon stehen habe ich auch gelesen, aber der Vergleich wäre halt gut zu wissen und sollte 10 bis 30ms nicht übersteigen.

So so ping auf der Pix ist zugelassen, na und?
Mein Vorschlag ist ping auf der lokalen windows firewall durch zulassen damit "ICMP packet too large" (deutsch "zu großes ausgehendes Paket") von der PIX bei Windows ankommt.

Ich helfe dir gerne, aber es macht Sinn, dass du meine Antwort liest anstatt sich zu beschweren ich würde deine Frage nicht lesen.

Hast du den Patch schon gelesen und ggf. geladen?


Gruß Rafiki
mHoelle
mHoelle 11.01.2007 um 16:14:03 Uhr
Goto Top
O.K. sorry für die kurz gratene Antwort. Ich hatte in letzter Zeit öfters mal nichtssagende Schlaumeier an der Leitung, da wird man manchmal etwas kurz angebunden. Ich entschuldige mich hiemit.

Also,
- Patch ist installiert.
- Ping vpn Pix <-> Pix jeweils 60-50ms
- ping vom Server zum Client bei 60ms
- ping von Server zu Client geht garnicht mehr (nicht gefunden, aber Anwendungen finden ihn durchaus)
- ICMP auf Client komplett erlaubt
- auf Server läuft keine Firewall (default SBS) aber dafür kommt eine Medlung die mir neu ist:
<<Der Windows-Firewall kann nicht ausgeführt werden, da ein anderes Programm bzw. eine anderer Dienst, das bzw. der momentan ausgeführt wird, die Netzwerkadressübersetzungskomponente (Ipnat.sys) verwendet.>>>>
mHoelle
mHoelle 11.01.2007 um 16:24:54 Uhr
Goto Top
Und die Einstellungen der PIX NICs

Servseitig:
intern 100full 1500 LAN
extern auto 1456 (Telekom Vorgabe) DSL

Clientseitig:
extern 100full 1500 LAN?
intern auto 1500 LAN
mHoelle
mHoelle 11.01.2007 um 16:39:09 Uhr
Goto Top
<<ping von Server zu Client geht garnicht mehr (nicht gefunden, aber Anwendungen finden ihn durchaus)<<<

sorry, hatte mich vertippt, geht aber genauso wie vorher
mHoelle
mHoelle 11.01.2007 um 22:26:06 Uhr
Goto Top
O.K., hat sich erledigt. Lag nicht am Tunnel, sondern

http://dnn.mssbsfaq.de/SBS2003/Server/GatewaywirdperSBSLoginskript%C3%B ...
Rafiki
Rafiki 11.01.2007 um 22:30:37 Uhr
Goto Top
Danke für die Info.
Ich versuchte mir gerade einen Kopf zu machen in Richtung Paketfragmentation oder ähnliches.

Gruß Rafiki