13
Rsync über VPN
Hallo zusammen,
ich habe zwei NAS von Synology. Beide stehen an zwei verschiedenen Standorten. Die beiden Standorte sind per VPN mit einander verbunden.
Die eine NAS soll sich jeden Abend per rsync ihre Daten auf die andere kopieren.
Anfangs hat es die ersten Tage geklappt, dann irgendwann nicht mehr. Er fängt an, aber wird nicht fertig, da angeblich das Ziel nicht gefunden wird.
Lasse ich nebenbei ein Ping laufen, erhalte ich immer eine Antwort ohne unterbrechung.
Mache ich den rsync zum Test direkt übers Internet ohne VPN Tunnel, dann läuft er sauber durch.
Das Ziel ist nach meinen Test immer erreichbar, nur schafft er es aus irgendeinem Grund nicht, die kompletten Daten rüber zu kopieren.
Daher meine Frage, muss man bei einem VPN-Tunnel, wo ein rsync Dienst laufen soll, etwas spezielles beachtet werden?
ich habe zwei NAS von Synology. Beide stehen an zwei verschiedenen Standorten. Die beiden Standorte sind per VPN mit einander verbunden.
Die eine NAS soll sich jeden Abend per rsync ihre Daten auf die andere kopieren.
Anfangs hat es die ersten Tage geklappt, dann irgendwann nicht mehr. Er fängt an, aber wird nicht fertig, da angeblich das Ziel nicht gefunden wird.
Lasse ich nebenbei ein Ping laufen, erhalte ich immer eine Antwort ohne unterbrechung.
Mache ich den rsync zum Test direkt übers Internet ohne VPN Tunnel, dann läuft er sauber durch.
Das Ziel ist nach meinen Test immer erreichbar, nur schafft er es aus irgendeinem Grund nicht, die kompletten Daten rüber zu kopieren.
Daher meine Frage, muss man bei einem VPN-Tunnel, wo ein rsync Dienst laufen soll, etwas spezielles beachtet werden?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 321266
Url: https://administrator.de/contentid/321266
Ausgedruckt am: 22.11.2024 um 18:11 Uhr
13 Kommentare
Neuester Kommentar
Hallo,
wenn das Ziel direkt erreichbar ist, mach rsync via ssh und fertig. Das ist auch sicher und weniger overhead als beim VPN.
Logst Du mit u nd bekommst mit bei welchen Dateien Rsync aussteigt?
Gruß
Chonta
wenn das Ziel direkt erreichbar ist, mach rsync via ssh und fertig. Das ist auch sicher und weniger overhead als beim VPN.
Logst Du mit u nd bekommst mit bei welchen Dateien Rsync aussteigt?
Gruß
Chonta
Hallo,
es ist nicht immer die selbe Datei.
Klar ssh wäre eine Lösung, wenn ich es direkt durch das Internet schicke. Aber da ich den VPN Tunnel habe um dort auch andere Geräte zu administrieren würde ich schon gerne auch den rsync über den Tunnel schicken.
es ist nicht immer die selbe Datei.
Klar ssh wäre eine Lösung, wenn ich es direkt durch das Internet schicke. Aber da ich den VPN Tunnel habe um dort auch andere Geräte zu administrieren würde ich schon gerne auch den rsync über den Tunnel schicken.
Was für ein VPN Protokoll wird verwendet? Ich vermute mal das eine zu große MTU über den Tunnel gefahren wird so dass Pakete fragmentieren bzw gedroppt werden.
Welche rsync Parameter werden verwendet?
Gruß
Welche rsync Parameter werden verwendet?
Gruß
Das ist zu 98% vermutlich ein MTU Problem.
Wenn die VPN Verbindung über DSL rennt hast du eine MTU Verkleinerung auf 1452 Bytes darüber dann noch den Encapsulation Overhead des VPNs was dann je nach verwendetem VPN Protokoll bis 1396 runtergehen kann wird das sicher sein. Bzw. das dein Router vermutlich ne Billigbox ist die das nicht richtig dynmaisch anpasst oder du realisierst das VPN nicht mit dem Router sondern mit einem externen Device so das es keinereli Synchronisation der MTU Size gibt.
Dein NAS weiss davon nichts vom VPN und MTU und "denkt" das es weiterhin am Ethernet arbeitet mit 1500 Byte so das die Router fragmentieren müssen, was das Gros allerdings nicht macht. Die droppen dann einfach diese Pakete die nicht mehr in die max. MTU passen und dann geschieht genau das was du oben siehst.
Fazit: MTU bzw. MSS Size auf dem VPN Tunnelrouter entsprechend anpassen und verkleinern. Oder alternativ die rsync Blocksize ändern.
Ersteres ist das Sinnvollste.
Wenn die VPN Verbindung über DSL rennt hast du eine MTU Verkleinerung auf 1452 Bytes darüber dann noch den Encapsulation Overhead des VPNs was dann je nach verwendetem VPN Protokoll bis 1396 runtergehen kann wird das sicher sein. Bzw. das dein Router vermutlich ne Billigbox ist die das nicht richtig dynmaisch anpasst oder du realisierst das VPN nicht mit dem Router sondern mit einem externen Device so das es keinereli Synchronisation der MTU Size gibt.
Dein NAS weiss davon nichts vom VPN und MTU und "denkt" das es weiterhin am Ethernet arbeitet mit 1500 Byte so das die Router fragmentieren müssen, was das Gros allerdings nicht macht. Die droppen dann einfach diese Pakete die nicht mehr in die max. MTU passen und dann geschieht genau das was du oben siehst.
Fazit: MTU bzw. MSS Size auf dem VPN Tunnelrouter entsprechend anpassen und verkleinern. Oder alternativ die rsync Blocksize ändern.
Ersteres ist das Sinnvollste.
MTU müsste bei 1500 liegen.
VPN läuft über IPSec.
Rsync Parameter: Übertragungskomprimierung ist aktiv und Synchronisation in Blöcken.
klappt aber auch nicht, wenn ich beide deaktiviere
VPN läuft über IPSec.
Rsync Parameter: Übertragungskomprimierung ist aktiv und Synchronisation in Blöcken.
klappt aber auch nicht, wenn ich beide deaktiviere
Zu hoch ...
Schnapp dir Wireshark dann siehst du direkt an den Retransmissions was Sache ist.
Schnapp dir Wireshark dann siehst du direkt an den Retransmissions was Sache ist.
MTU müsste bei 1500 liegen.
Und ganz genau DAS ist der Fehler bei VPN wenn dein VPN Sstem das nicht sauber anpasst !Guckst du hier:
http://www.cisco.com/c/en/us/support/docs/long-reach-ethernet-lre-digit ...
und auch
http://www.cisco.com/c/en/us/td/docs/ios/12_2sb/12_2sba/feature/guide/s ...
danke schon mal für den Hinweis.
Auf meiner Seite kann ich die MTU beim VPN aushandeln lassen (Watchguard).
Habe die Jungs auf der anderen Seite mal angeschrieben, was da genau eingestellt ist.
Melde mich, wenn ich mehr weiss.
Welche MTU wäre den optimal, wenn 1500 zu hoch ist?
Auf meiner Seite kann ich die MTU beim VPN aushandeln lassen (Watchguard).
Habe die Jungs auf der anderen Seite mal angeschrieben, was da genau eingestellt ist.
Melde mich, wenn ich mehr weiss.
Welche MTU wäre den optimal, wenn 1500 zu hoch ist?
Habe Antowort von den Jungs von der gegenseite bekomm. Deren Router steht die MTU ebenfalls auf 1500.
Also müsste ich jetzt hingehen und auf beiden Seiten den MTU auf 1418 stellen?
Also müsste ich jetzt hingehen und auf beiden Seiten den MTU auf 1418 stellen?
Deren Router steht die MTU ebenfalls auf 1500.
Das ist dann tödlich fürs VPN. Klar das der Transfer dann abbricht wenn mal Frames größer 1418 Bytes vom NAS gesendet werden.Also müsste ich jetzt hingehen und auf beiden Seiten den MTU auf 1418 stellen?
Eigentlich sollten die Router das selber machen wenn denn die Router auch das VPN realisieren. Bis dato dazu ja keinerlei Feedback von dir 
Nur Billigrouter machen das nicht so das man es anpassen muss.
Die Antwort lautet aber JA das muss auf beiden Seiten am WAN/DSL Port gemacht werden.
Hier findest du das nochmal am Beispiel OpenVPN erklärt:
http://wohnzimmerhostblogger.de/archives/1563-OpenVPN-und-MTU-1500.html
Hallo,
auf unserer Seite haben wir eine WatchGuard, da kann man vom Billigrouter nicht sprechen und ich weiss, dass die Watchguard das kann (PMTU)
Die andere Seite ist leider in Serbien, die haben da ein Router vom Provider bekommen. Ein Mikrotik, leider kann/darf ich da nicht drauf schauen.
Ich werde versuchen herauszufinden, ob die Kiste von denen das kann.
Danke schon mal bis hier hin für die Hilfe.
auf unserer Seite haben wir eine WatchGuard, da kann man vom Billigrouter nicht sprechen und ich weiss, dass die Watchguard das kann (PMTU)
Die andere Seite ist leider in Serbien, die haben da ein Router vom Provider bekommen. Ein Mikrotik, leider kann/darf ich da nicht drauf schauen.
Ich werde versuchen herauszufinden, ob die Kiste von denen das kann.
Danke schon mal bis hier hin für die Hilfe.
Und ob die das kann 
Die werden die Max MTU und Max MRU Werte auf dem ipsec interface zu hoch gesetzt haben.
Die Umsetzung der MSS macht der Mikrotik dann von selbst.
Die werden die Max MTU und Max MRU Werte auf dem ipsec interface zu hoch gesetzt haben.Die Umsetzung der MSS macht der Mikrotik dann von selbst.
