17
Sehr langsame Internetverbindung im LAN trotz 100-MBit-Leitung
Hallo Leute,
habe hier ein Netzwerk, in welchem die Endgeräte (PCs, Notebooks) trotz 100-MBit/s-Internetanbindung
(100 MBit/s Downstream, 40 MBit/s Upstream) einen sehr langsamen Aufbau von Webseiten haben
und Downloads von sehr schnellen Servern mit zum Beispiel < 100 KByte/s laufen.
Das Netzwerk besteht aus einem LANCOM-Router, der die Internetanbindung zur Verfügung stellt.
Auf dem LANCOM-Router wird mir angezeigt, dass die DSL-Leitung mit 100 MBit/s Upstream, 40 MBit/s Downstream
synchronisiert ist.
Dieser LANCOM-Router (LAN-IP=10.1.1.1/24) ist an einer Sophos-Firewall angeschlossen.
Die Sophos-Firewall hat auf dem WAN-Port die IP 10.1.1.2/24 und hat den LANCOM-Router als Default-Gateway eingetragen.
Die Sophos-Firewall stellt das LAN-Netz 10.1.2.0/24 zur Verfügung, hat selbst in diesem Netz
die IP 10.1.2.1/24. Hinter der Sophos-Firewall sind mehrere Aruba-CX-6000-Switche angeschlossen,
welche (leider) kaskadiert sind (siehe die Netzwerkskizze, die ich mit angehangen habe).
Auf den Aruba-Switchen ist zurzeit noch ausschließlich das Default-VLAN 1 konfiguriert. Sprich,
alle Endgeräte, die an den Aruba-Switchen angeschlossen sind, bekommen per "DHCP" eine IP-Adresse
aus dem Netz 10.1.2.0/24. Der DHCP-Server ist die Sophos-Firewall. Die Endgeräte bekommen die LAN-IP
der Sophos-Firewall 10.1.2.1 als Default-Gateway als auch als DNS-Server zugewiesen.
Auf den Endgeräten besteht das Problem, dass der Aufruf von Webseiten sehr lange dauert (etliche Sekunden bei einfach gestalteten Webseiten) und Downloads (z. B. der Download von ISO-Images von sehr schnellen Servern) mit zum Beispiel deutlich unter 100 KByte/s läuft.
Der Download der identischen ISO-Images (über den gleichen Download-Link) läuft aus dem Home-Office der Mitarbeiter mit mehr als 8 MByte/s.
Das Problem betrifft Endgeräte, die per Netzwerkkabel an den Aruba-Switchen angeschlossen sind als auch Geräte,
die per "WLAN" ans Netzwerk angebunden sind. Die Access-Points wiederum sind an die besagten Aruba-Switche (siehe Zeichnung) angeschlossen.
Eine iperf-Messung von einem Endgerät zum LANCOM-Router beläuft sich nach etlichen Messungen im Bereich 200 - 500 MBit/s. Bei den Messungen, die ich heute gemacht habe, war der Durchsatz im Bereich 200 - 300 MBit/s, gestern waren es über 400 MBit/s bei mehreren Messungen.
Auf der Sophos-Firewall habe ich zum Testen 1 Endgerät an allen Schutzmodulen vorbei direkt ins Internet geleitet,
so dass zum Beispiel der WebProxy den Durchsatz nicht verringern kann. Hat aber keinen deutlich messbaren Unterschied bewirkt.
Jemand eine Idee, ob und was ich auf den Aruba-Switchen prüfen könnte, um defekte Switch-Ports und/oder ggf. verbaute Transceiver oder Kabel zu identifizieren? Kenne mich auf der Kommandozeile der Aruba-Switche nicht gut aus. Vielleicht kann jemand von Euch helfen!?
Sonst noch Ideen, um die Problematik zu troubleshooten!?
Danke vorab.
Gruß, Datax
habe hier ein Netzwerk, in welchem die Endgeräte (PCs, Notebooks) trotz 100-MBit/s-Internetanbindung
(100 MBit/s Downstream, 40 MBit/s Upstream) einen sehr langsamen Aufbau von Webseiten haben
und Downloads von sehr schnellen Servern mit zum Beispiel < 100 KByte/s laufen.
Das Netzwerk besteht aus einem LANCOM-Router, der die Internetanbindung zur Verfügung stellt.
Auf dem LANCOM-Router wird mir angezeigt, dass die DSL-Leitung mit 100 MBit/s Upstream, 40 MBit/s Downstream
synchronisiert ist.
Dieser LANCOM-Router (LAN-IP=10.1.1.1/24) ist an einer Sophos-Firewall angeschlossen.
Die Sophos-Firewall hat auf dem WAN-Port die IP 10.1.1.2/24 und hat den LANCOM-Router als Default-Gateway eingetragen.
Die Sophos-Firewall stellt das LAN-Netz 10.1.2.0/24 zur Verfügung, hat selbst in diesem Netz
die IP 10.1.2.1/24. Hinter der Sophos-Firewall sind mehrere Aruba-CX-6000-Switche angeschlossen,
welche (leider) kaskadiert sind (siehe die Netzwerkskizze, die ich mit angehangen habe).
Auf den Aruba-Switchen ist zurzeit noch ausschließlich das Default-VLAN 1 konfiguriert. Sprich,
alle Endgeräte, die an den Aruba-Switchen angeschlossen sind, bekommen per "DHCP" eine IP-Adresse
aus dem Netz 10.1.2.0/24. Der DHCP-Server ist die Sophos-Firewall. Die Endgeräte bekommen die LAN-IP
der Sophos-Firewall 10.1.2.1 als Default-Gateway als auch als DNS-Server zugewiesen.
Auf den Endgeräten besteht das Problem, dass der Aufruf von Webseiten sehr lange dauert (etliche Sekunden bei einfach gestalteten Webseiten) und Downloads (z. B. der Download von ISO-Images von sehr schnellen Servern) mit zum Beispiel deutlich unter 100 KByte/s läuft.
Der Download der identischen ISO-Images (über den gleichen Download-Link) läuft aus dem Home-Office der Mitarbeiter mit mehr als 8 MByte/s.
Das Problem betrifft Endgeräte, die per Netzwerkkabel an den Aruba-Switchen angeschlossen sind als auch Geräte,
die per "WLAN" ans Netzwerk angebunden sind. Die Access-Points wiederum sind an die besagten Aruba-Switche (siehe Zeichnung) angeschlossen.
Eine iperf-Messung von einem Endgerät zum LANCOM-Router beläuft sich nach etlichen Messungen im Bereich 200 - 500 MBit/s. Bei den Messungen, die ich heute gemacht habe, war der Durchsatz im Bereich 200 - 300 MBit/s, gestern waren es über 400 MBit/s bei mehreren Messungen.
Auf der Sophos-Firewall habe ich zum Testen 1 Endgerät an allen Schutzmodulen vorbei direkt ins Internet geleitet,
so dass zum Beispiel der WebProxy den Durchsatz nicht verringern kann. Hat aber keinen deutlich messbaren Unterschied bewirkt.
Jemand eine Idee, ob und was ich auf den Aruba-Switchen prüfen könnte, um defekte Switch-Ports und/oder ggf. verbaute Transceiver oder Kabel zu identifizieren? Kenne mich auf der Kommandozeile der Aruba-Switche nicht gut aus. Vielleicht kann jemand von Euch helfen!?
Sonst noch Ideen, um die Problematik zu troubleshooten!?
Danke vorab.
Gruß, Datax
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 82115743226
Url: https://administrator.de/contentid/82115743226
Printed on: June 27, 2024 at 02:06 o'clock
17 Comments
Latest comment
Hier die Netzwerkskizze.
Die erste Sache die ich in so einem Fall zuerst prüfe: Ist die Leitung vielleicht ausgelastet?
Am Router oder an der Firewall gibt es doch bestimmt eine Möglichkeit zu sehen wie viel Traffic gerade ansteht?! Und vielleicht auch wie stark das Gerät ausgelastet ist?!
Der Test zum Router mit iPerf sollte m.E. deutlich höhere Werte liefern. Also könnte die Firewall oder einer der Switche Probleme machen.
Ich würde mich also mal mit einem Notebook direkt hinter die Firewall klemmen und als nächstes direkt an den Router. Je nach Ergebnis dann weiter vor gehen.
Manuel
Am Router oder an der Firewall gibt es doch bestimmt eine Möglichkeit zu sehen wie viel Traffic gerade ansteht?! Und vielleicht auch wie stark das Gerät ausgelastet ist?!
Der Test zum Router mit iPerf sollte m.E. deutlich höhere Werte liefern. Also könnte die Firewall oder einer der Switche Probleme machen.
Ich würde mich also mal mit einem Notebook direkt hinter die Firewall klemmen und als nächstes direkt an den Router. Je nach Ergebnis dann weiter vor gehen.
Manuel
1
Auch meine Empfehlung ist, einfach mal ein Endgerät direkt an den LANCOM zu hängen um herauszufinden, ob das Problem der LANCOM oder die Sophos ist.
Wenn das Problem an einem ungenutzten Port des LANCOM nicht auftritt, kontrolliere auch mal den Port, an dem die Sophos jetzt hängt, so niedrige Datenraten sind häufig bei einem Duplex-Mismatch zu beobachten, welcher meist portspezifisch ist.
Gibt es eine weitergehende Konfiguration auf dem LANCOM oder ist da neben der Internetverbindung nichts weiter konfiguriert?
Wenn das Problem an einem ungenutzten Port des LANCOM nicht auftritt, kontrolliere auch mal den Port, an dem die Sophos jetzt hängt, so niedrige Datenraten sind häufig bei einem Duplex-Mismatch zu beobachten, welcher meist portspezifisch ist.
Gibt es eine weitergehende Konfiguration auf dem LANCOM oder ist da neben der Internetverbindung nichts weiter konfiguriert?
1
Hallo,
fang wie die Kollegen sagen von vorn an: Lancom, Sophos, Switche.
Ganz trivial: Firmware, Patchstand auf den Geräten ist OK? Hast du die Komponenten zusätzlich zu deiner Messung alle einmal durchstarten/ rebooten können?
Wenn nicht 24/7 Netz nötig ist kann du es zusätzlich noch zerlegen. vor den Messungen die Kaskade einfach abklemmen. Schritt für Schritt.
Interessant wären ggf. auch Logs auf den Switchen. Wie viele Pakete werden verworfen? QoS?
QoS Einstellungen auf den Lancom?
Die Sophos fungiert doch auch als Router. Wo terminieren die VPN Clients? Wenn der Lancom nur als Gateway fungiert kann man ggf. noch weitere Dienste auf dem Router deaktivieren....
fang wie die Kollegen sagen von vorn an: Lancom, Sophos, Switche.
Ganz trivial: Firmware, Patchstand auf den Geräten ist OK? Hast du die Komponenten zusätzlich zu deiner Messung alle einmal durchstarten/ rebooten können?
Wenn nicht 24/7 Netz nötig ist kann du es zusätzlich noch zerlegen. vor den Messungen die Kaskade einfach abklemmen. Schritt für Schritt.
Interessant wären ggf. auch Logs auf den Switchen. Wie viele Pakete werden verworfen? QoS?
QoS Einstellungen auf den Lancom?
Die Sophos fungiert doch auch als Router. Wo terminieren die VPN Clients? Wenn der Lancom nur als Gateway fungiert kann man ggf. noch weitere Dienste auf dem Router deaktivieren....
Hi, danke schon mal für Eure Antworten.
Die Auslastung der Netzwerkschnittstellen der Sophos-Firewall ist ziemlich gering.
Ich kann gerade keinen Screenshot der Netzwerkauslastung hier liefern,
aber habe im Kopf, dass über den gesamten Monat nur wenige Peaks zu sehen waren, wo
der WAN-Port (eth0) oder der LAN-Port (eth1) mal kurzzeitig ordentlich Daten übertragen mussten.
Das kann man sich auf der Sophos-Firewall grafisch gut anzeigen lassen.
Ich schaue mal, dass ich die Ursache des Problems auf LANCOM-Router, Firewall oder die Switche inkl. der Verkabelung eingrenzen kann wie ihr es hier beschrieben habt.
Dann schaue ich weiter.
Der LANCOM-Router dient wirklich nur als Internetrouter. Dort ist sonst nichts weiter eingerichtet,
also keine VPN-Einwahl oder QoS-Einstellungen oder sonstiges. Eine VPN-Einwahl gibt es auch auf der Sophos-Firewall nicht. Die Firewall dient hauptsächlich als Webfilter und routet den Internetdatenverkehr zum LANCOM-Router weiter.
Die DSL-Leitung langweilt sich im Grunde. Man kann sich mit "LANconfig" die Auslastung der Internetleitung (des LANCOM-Routers) anzeigen lassen. Dort wurden mir im Download als auch im Upload jedes Mal, wenn ich mir das angeschaut habe, nur wenige MBit/s angezeigt als Auslastung. Und das auch dann, wenn ich zum Beispiel von einem schnellen Server versuche ein Windows-ISO herunterlade.
Aus dem Grund denke ich, dass die Netzwerkumgebung aus Firewall und Switche einfach nur einen geringen Durchsatz bis ans Endgerät bringt. Aber muss ich mir Schritt für Schritt anschauen. Eure Infos haben mir schon mal geholfen. Jetzt kann ich geplant vorgehen.
Danke schon mal bis hierhin. : - )
Die Auslastung der Netzwerkschnittstellen der Sophos-Firewall ist ziemlich gering.
Ich kann gerade keinen Screenshot der Netzwerkauslastung hier liefern,
aber habe im Kopf, dass über den gesamten Monat nur wenige Peaks zu sehen waren, wo
der WAN-Port (eth0) oder der LAN-Port (eth1) mal kurzzeitig ordentlich Daten übertragen mussten.
Das kann man sich auf der Sophos-Firewall grafisch gut anzeigen lassen.
Ich schaue mal, dass ich die Ursache des Problems auf LANCOM-Router, Firewall oder die Switche inkl. der Verkabelung eingrenzen kann wie ihr es hier beschrieben habt.
Dann schaue ich weiter.
Der LANCOM-Router dient wirklich nur als Internetrouter. Dort ist sonst nichts weiter eingerichtet,
also keine VPN-Einwahl oder QoS-Einstellungen oder sonstiges. Eine VPN-Einwahl gibt es auch auf der Sophos-Firewall nicht. Die Firewall dient hauptsächlich als Webfilter und routet den Internetdatenverkehr zum LANCOM-Router weiter.
Die DSL-Leitung langweilt sich im Grunde. Man kann sich mit "LANconfig" die Auslastung der Internetleitung (des LANCOM-Routers) anzeigen lassen. Dort wurden mir im Download als auch im Upload jedes Mal, wenn ich mir das angeschaut habe, nur wenige MBit/s angezeigt als Auslastung. Und das auch dann, wenn ich zum Beispiel von einem schnellen Server versuche ein Windows-ISO herunterlade.
Aus dem Grund denke ich, dass die Netzwerkumgebung aus Firewall und Switche einfach nur einen geringen Durchsatz bis ans Endgerät bringt. Aber muss ich mir Schritt für Schritt anschauen. Eure Infos haben mir schon mal geholfen. Jetzt kann ich geplant vorgehen.
Danke schon mal bis hierhin. : - )
habe ich Kopf, dass über den gesamten Monat nur wenige Peaks zu sehen waren, wo der WAN-Port (eth0) oder der LAN-Port (eth1) mal kurzzeitig ordentlich Daten übertragen mussten.
Dann ist schon mal ziemlich sicher, dass nicht irgendein Client oder Server permanent "mit Vollgas" irgendwas hoch- oder runter lädt.
Könnte auch ein MTU-Thema sein.
a) Ich würde nen Client direkt an die Lancom hängen und dort z.B. fast.com oder testmy.net (Achtung Zielserver FRA) testen um den ISP auszuschließen.
b) Anschließend mit zwei iperf PCs die verschiedenen LAN-Verbindungen an und zwischen den Switches durchtesten.
Alles, um hoffentlich die Sophos als Problemquelle zu identifizieren.
b) Anschließend mit zwei iperf PCs die verschiedenen LAN-Verbindungen an und zwischen den Switches durchtesten.
Alles, um hoffentlich die Sophos als Problemquelle zu identifizieren.
Die Frage ist ja generell was das "Durchlauferhitzer" Setup mit einer eigentlich überflüssigen Router Kaskade mit doppeltem NAT und doppeltem Firewalling überhaupt für einen tieferen Sinn hat?!
Deutlich sinnvoller wäre ja ein Betrieb der Sophos direkt am Internet mit einem NUR Modem wie Vigor 167 oder Zyxel VMG3006.
Deutlich sinnvoller wäre ja ein Betrieb der Sophos direkt am Internet mit einem NUR Modem wie Vigor 167 oder Zyxel VMG3006.
1
... oder die Sophos rauswerfen (oder zumindest das dortige NAT deaktiveren?) 
2
Wobei fairer Weise gesagt sein muss, dass ein Router Kaskade auch funktioniert. Hab ich zu Hause. Bei solchen Geschwindigkeiten würde mir meine Kinder sonst was erzählen. 
Klar unschön und Fehlerquelle mehr.
Mal abwarten was es für Erkenntnisse gibt, wenn er es zerpflückt hat.
Eine Option wäre je nach Art der Ursache auch die Sophos z.B. zu resetten und bei Null anzufangen. Dank Backup und Recovery kann man sowas in der freien Zeit auch mal munter los lassen. Risiko ist ja überschaubar .
Der Lancom hat noch mehrere Ethernet Ports. Da lässt sich also schnell mit einem Client auch im lfd. Betrieb ein belastbares Ergebnis erzielen.
Klar unschön und Fehlerquelle mehr.
Mal abwarten was es für Erkenntnisse gibt, wenn er es zerpflückt hat.
Eine Option wäre je nach Art der Ursache auch die Sophos z.B. zu resetten und bei Null anzufangen. Dank Backup und Recovery kann man sowas in der freien Zeit auch mal munter los lassen. Risiko ist ja überschaubar .
Der Lancom hat noch mehrere Ethernet Ports. Da lässt sich also schnell mit einem Client auch im lfd. Betrieb ein belastbares Ergebnis erzielen.
Moin @Datax87,
meine Kristallkugel sagt, dass du musst stellen die MTU der WAN Schnittstelle der Sophos die die IP 10.1.1.2 hat von 1500 auf 1492 und schon sollte dein Internet wieder viel besser flutschen. 😉
Zur Sicherheit solltest du die Sophos nach dieser Änderung auch mal durchbooten.
Gruss Alex
Sonst noch Ideen, um die Problematik zu troubleshooten!?
meine Kristallkugel sagt, dass du musst stellen die MTU der WAN Schnittstelle der Sophos die die IP 10.1.1.2 hat von 1500 auf 1492 und schon sollte dein Internet wieder viel besser flutschen. 😉
Zur Sicherheit solltest du die Sophos nach dieser Änderung auch mal durchbooten.
Gruss Alex
Moin @Visucius,
oder einfach mal lernen zu berücksichtigen, dass ein PPPoE Header nicht für umme ist, sondern 8 Bytes kostet und man daher bei nachfolgenden Gateways auch immer entsprechend die MTU mit anpassen muss, dann klappt das auch mit der Sophos oder einem FortiGate oder einer ASA, schon viel viel besser. 😉
Gruss Alex
... oder die Sophos rauswerfen
oder einfach mal lernen zu berücksichtigen, dass ein PPPoE Header nicht für umme ist, sondern 8 Bytes kostet und man daher bei nachfolgenden Gateways auch immer entsprechend die MTU mit anpassen muss, dann klappt das auch mit der Sophos oder einem FortiGate oder einer ASA, schon viel viel besser. 😉
Gruss Alex
1
Moin @aqui,
ich denke mal, dass der TO dieses Konstrukt deshalb so betreibt, weil er den Lancom Router wahrscheinlich noch als VoIP-TK benutzt. 🙃
Gruss Alex
Die Frage ist ja generell was das "Durchlauferhitzer" Setup mit einer eigentlich überflüssigen Router Kaskade mit doppeltem NAT und doppeltem Firewalling überhaupt für einen tieferen Sinn hat?!
ich denke mal, dass der TO dieses Konstrukt deshalb so betreibt, weil er den Lancom Router wahrscheinlich noch als VoIP-TK benutzt. 🙃
Gruss Alex
Ist auch IP-TV am Anschluss gebucht?
Dann kämen auch noch fleissige Multicasts an alle Clients in Frage wenn die Sophos das nicht wegdrückt, oder die Switches. Hatte ich selber auch mit "dummen" Switches. Es ging teilweise nichts mehr im Internet.
Wireshark hats dann aufgedeckt.
Dann kämen auch noch fleissige Multicasts an alle Clients in Frage wenn die Sophos das nicht wegdrückt, oder die Switches. Hatte ich selber auch mit "dummen" Switches. Es ging teilweise nichts mehr im Internet.
Wireshark hats dann aufgedeckt.
1
Moin @Datax87,
sehr gerne.
Hat er den auch geholfen?
Gruss Alex
Danke für den Hinweis bezüglich der MTU.
sehr gerne.
Hat er den auch geholfen?
Gruss Alex
1