2
Schwankender SMB Datentraffic bei Windows Server als VPN Client
Hallo zusammen,
ich habe auf einem Mikrotik Router (= PPPoE-Client) einen L2TP + IPSec VPN-Server eingerichtet.
Der Router hängt an einem VDSL-Modem, Bandbreite 80MBit/s Download, 40 MBit/s Upload.
Hinter dem Router steht ein Win 10 Pro Client, der als Backup-Device dient.
RouterOS ist Version 6.47.7.
Als VPN-Clients kommen Windows 10 Pro Clients und Windows Server 2019 zum Einsatz, welche ihr Backup per SMB durch das VPN auf das Windows 10 Backup-Device schaufeln.
Anbindung der Clients sind einfache VDSL-Leitungen mit Fritzbox und ähnlichen NAT-Routern.
Bei den Win10-VPN-Clients läuft auch alles einwandfrei, diese schaufeln die Daten mit recht konstanter Geschwindigkeit (nahezu volle VDSL-Bandbreite) durch den VPN-Tunnel.
Bei den Windows Servern 2019 jedoch ist der Datentransfer stark schwankend. Diese hätten jeweils 40 MBit/s Upload-Bandbreite exklusiv zur Verfügung.
Im Mikrotik werden aber im Tunnel sekündlich stark schwankende Werte zwischen 8 und 30 MBit/s angezeigt.
Erster Verdacht war Paketfragmentierung.
Im Mikrotik VPN-Server sind Max MTU und Max MRU auf 1400 eingestellt. Zudem ist im L2TP-Profil "Change TCP MSS" auf "yes" gesetzt.
(Die Win10-Clients haben damit auch definitiv kein Problem).
Testweise habe ich diesen Wert mal auf 1350 heruntergesetzt, was aber auch keine Verbesserung brachte.
Testweise Windows-Firewall abschalten (Client und Server) brachte keine Änderung.
Sämtliche Verschlüsselungseinstellungen im VPN-Client sind bei Windows 10 und Windows Server 2019 per Powershell identisch gesetzt:
Ich vermute deshalb weniger ein Problem durch Paketfragmentierung.
So ein bisschen kommt mir nun der Verdacht, dass das SMB-Protokoll vielleicht beim Datentransfer durch so ein VPN ins Stottern gerät, aber da ich kein Experte bin in Sachen SMB kenne ich da die möglichen Fallstricke nicht.
Die Frage wäre nun, wo in Bezug auf das SMB-Protokoll Unterschiede zwischen Windows 10 Pro und Windows Server 2019 sein könnten.
Welche Stellschrauben müsste man überprüfen? Könnte man die Einstellungen bezgl. SMB-Protokoll von Win 10 auf Win Server 2019 übertragen? Wenn ja, welche settings wären das?
(Falls es noch relevant ist: auf den Windows Servern sind keine VPN(RAS)-Dienste installiert - sie fungieren ausschließlich als VPN-Clients.)
Danke Vorab & Gruß,
Colt
ich habe auf einem Mikrotik Router (= PPPoE-Client) einen L2TP + IPSec VPN-Server eingerichtet.
Der Router hängt an einem VDSL-Modem, Bandbreite 80MBit/s Download, 40 MBit/s Upload.
Hinter dem Router steht ein Win 10 Pro Client, der als Backup-Device dient.
RouterOS ist Version 6.47.7.
Als VPN-Clients kommen Windows 10 Pro Clients und Windows Server 2019 zum Einsatz, welche ihr Backup per SMB durch das VPN auf das Windows 10 Backup-Device schaufeln.
Anbindung der Clients sind einfache VDSL-Leitungen mit Fritzbox und ähnlichen NAT-Routern.
Bei den Win10-VPN-Clients läuft auch alles einwandfrei, diese schaufeln die Daten mit recht konstanter Geschwindigkeit (nahezu volle VDSL-Bandbreite) durch den VPN-Tunnel.
Bei den Windows Servern 2019 jedoch ist der Datentransfer stark schwankend. Diese hätten jeweils 40 MBit/s Upload-Bandbreite exklusiv zur Verfügung.
Im Mikrotik werden aber im Tunnel sekündlich stark schwankende Werte zwischen 8 und 30 MBit/s angezeigt.
Erster Verdacht war Paketfragmentierung.
Im Mikrotik VPN-Server sind Max MTU und Max MRU auf 1400 eingestellt. Zudem ist im L2TP-Profil "Change TCP MSS" auf "yes" gesetzt.
(Die Win10-Clients haben damit auch definitiv kein Problem).
Testweise habe ich diesen Wert mal auf 1350 heruntergesetzt, was aber auch keine Verbesserung brachte.
Testweise Windows-Firewall abschalten (Client und Server) brachte keine Änderung.
Sämtliche Verschlüsselungseinstellungen im VPN-Client sind bei Windows 10 und Windows Server 2019 per Powershell identisch gesetzt:
Set-VpnConnectionIPsecConfiguration -ConnectionName "vpn1" -AuthenticationTransformConstants SHA196 -CipherTransformConstants AES256 -EncryptionMethod AES256 -IntegrityCheckMethod SHA1 -PfsGroup ECP256 -DHGroup Group14 -PassThru -Force Ich vermute deshalb weniger ein Problem durch Paketfragmentierung.
So ein bisschen kommt mir nun der Verdacht, dass das SMB-Protokoll vielleicht beim Datentransfer durch so ein VPN ins Stottern gerät, aber da ich kein Experte bin in Sachen SMB kenne ich da die möglichen Fallstricke nicht.
Die Frage wäre nun, wo in Bezug auf das SMB-Protokoll Unterschiede zwischen Windows 10 Pro und Windows Server 2019 sein könnten.
Welche Stellschrauben müsste man überprüfen? Könnte man die Einstellungen bezgl. SMB-Protokoll von Win 10 auf Win Server 2019 übertragen? Wenn ja, welche settings wären das?
(Falls es noch relevant ist: auf den Windows Servern sind keine VPN(RAS)-Dienste installiert - sie fungieren ausschließlich als VPN-Clients.)
Danke Vorab & Gruß,
Colt
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 621098
Url: https://administrator.de/contentid/621098
Printed on: April 19, 2024 at 11:04 o'clock
2 Comments
Latest comment
Wireshark anwerfen. Oftmals ist bei Windows VPN-Verbindungen das LargeSend-Offloading in der NIC das Problem (dies mal beidseitig abschalten).
VPN - Upload langsam
Für Backups würde ich sowieso auf ein performanteres Protokoll wie z.B. scp/rsync etc. setzen, SMB kleckert da nicht gerade mit Effizienz über Remote-Verbindungen.
Den Tunnel selbst kannst du Protokoll unabhängig erst mal mit iPerf3 auf seine Leistung überprüfen.
VPN - Upload langsam
Welche Stellschrauben müsste man überprüfen? Könnte man die Einstellungen bezgl. SMB-Protokoll von Win 10 auf Win Server 2019 übertragen? Wenn ja, welche settings wären das?
Leistungsoptimierung für DateiserverFür Backups würde ich sowieso auf ein performanteres Protokoll wie z.B. scp/rsync etc. setzen, SMB kleckert da nicht gerade mit Effizienz über Remote-Verbindungen.
Den Tunnel selbst kannst du Protokoll unabhängig erst mal mit iPerf3 auf seine Leistung überprüfen.
der Verdacht, dass das SMB-Protokoll vielleicht beim Datentransfer durch so ein VPN ins Stottern gerät
Logisch betrachtet kann man das aber ja sicher ausschliessen, denn wenn die Win 10 Clients mit annähernd Wirespeed übertragen scheidet ein genereller Fehler in der Netzwerk bzw. VPN Infrastruktur ja per se aus.Es reduziert sich dann rein auf die Frage was macht der Windows Server im SMB Umfeld anders als Win 10.
Es wäre in der Tat mal interessant auf dem Server ein anderes Protokoll zu nutzen um zu sehen ob es auf Protokoll Ebene passiert oder noch darunter. SMB ist bekanntermaßen sehr ineffizient da es viele kleine Pakete nutzt aber auch da dann die Frage warum es bei Win 10 eben nicht auftritt ?
Möglicherweise hat es etwas mit den SMB Protokoll Versionen zu tun. Hast du das ggf. einmal überprüft ob es da Unterschiede Server zu 10 gibt ?
