datax87
Goto Top

Sehr langsame Internetverbindung im LAN trotz 100-MBit-Leitung

Hallo Leute,

habe hier ein Netzwerk, in welchem die Endgeräte (PCs, Notebooks) trotz 100-MBit/s-Internetanbindung
(100 MBit/s Downstream, 40 MBit/s Upstream) einen sehr langsamen Aufbau von Webseiten haben
und Downloads von sehr schnellen Servern mit zum Beispiel < 100 KByte/s laufen.

Das Netzwerk besteht aus einem LANCOM-Router, der die Internetanbindung zur Verfügung stellt.
Auf dem LANCOM-Router wird mir angezeigt, dass die DSL-Leitung mit 100 MBit/s Upstream, 40 MBit/s Downstream
synchronisiert ist.

Dieser LANCOM-Router (LAN-IP=10.1.1.1/24) ist an einer Sophos-Firewall angeschlossen.
Die Sophos-Firewall hat auf dem WAN-Port die IP 10.1.1.2/24 und hat den LANCOM-Router als Default-Gateway eingetragen.

Die Sophos-Firewall stellt das LAN-Netz 10.1.2.0/24 zur Verfügung, hat selbst in diesem Netz
die IP 10.1.2.1/24. Hinter der Sophos-Firewall sind mehrere Aruba-CX-6000-Switche angeschlossen,
welche (leider) kaskadiert sind (siehe die Netzwerkskizze, die ich mit angehangen habe).

Auf den Aruba-Switchen ist zurzeit noch ausschließlich das Default-VLAN 1 konfiguriert. Sprich,
alle Endgeräte, die an den Aruba-Switchen angeschlossen sind, bekommen per "DHCP" eine IP-Adresse
aus dem Netz 10.1.2.0/24. Der DHCP-Server ist die Sophos-Firewall. Die Endgeräte bekommen die LAN-IP
der Sophos-Firewall 10.1.2.1 als Default-Gateway als auch als DNS-Server zugewiesen.

Auf den Endgeräten besteht das Problem, dass der Aufruf von Webseiten sehr lange dauert (etliche Sekunden bei einfach gestalteten Webseiten) und Downloads (z. B. der Download von ISO-Images von sehr schnellen Servern) mit zum Beispiel deutlich unter 100 KByte/s läuft.

Der Download der identischen ISO-Images (über den gleichen Download-Link) läuft aus dem Home-Office der Mitarbeiter mit mehr als 8 MByte/s.

Das Problem betrifft Endgeräte, die per Netzwerkkabel an den Aruba-Switchen angeschlossen sind als auch Geräte,
die per "WLAN" ans Netzwerk angebunden sind. Die Access-Points wiederum sind an die besagten Aruba-Switche (siehe Zeichnung) angeschlossen.

Eine iperf-Messung von einem Endgerät zum LANCOM-Router beläuft sich nach etlichen Messungen im Bereich 200 - 500 MBit/s. Bei den Messungen, die ich heute gemacht habe, war der Durchsatz im Bereich 200 - 300 MBit/s, gestern waren es über 400 MBit/s bei mehreren Messungen.

Auf der Sophos-Firewall habe ich zum Testen 1 Endgerät an allen Schutzmodulen vorbei direkt ins Internet geleitet,
so dass zum Beispiel der WebProxy den Durchsatz nicht verringern kann. Hat aber keinen deutlich messbaren Unterschied bewirkt.

Jemand eine Idee, ob und was ich auf den Aruba-Switchen prüfen könnte, um defekte Switch-Ports und/oder ggf. verbaute Transceiver oder Kabel zu identifizieren? Kenne mich auf der Kommandozeile der Aruba-Switche nicht gut aus. Vielleicht kann jemand von Euch helfen!?

Sonst noch Ideen, um die Problematik zu troubleshooten!?

Danke vorab.

Gruß, Datax

Content-Key: 82115743226

Url: https://administrator.de/contentid/82115743226

Printed on: July 16, 2024 at 15:07 o'clock

Member: Datax87
Datax87 Jun 19, 2024 at 18:06:06 (UTC)
Goto Top
Hier die Netzwerkskizze.

unbenannt2
Member: manuel-r
manuel-r Jun 19, 2024 at 18:24:12 (UTC)
Goto Top
Die erste Sache die ich in so einem Fall zuerst prüfe: Ist die Leitung vielleicht ausgelastet?
Am Router oder an der Firewall gibt es doch bestimmt eine Möglichkeit zu sehen wie viel Traffic gerade ansteht?! Und vielleicht auch wie stark das Gerät ausgelastet ist?!

Der Test zum Router mit iPerf sollte m.E. deutlich höhere Werte liefern. Also könnte die Firewall oder einer der Switche Probleme machen.

Ich würde mich also mal mit einem Notebook direkt hinter die Firewall klemmen und als nächstes direkt an den Router. Je nach Ergebnis dann weiter vor gehen.

Manuel
Member: tikayevent
tikayevent Jun 19, 2024 at 18:46:28 (UTC)
Goto Top
Auch meine Empfehlung ist, einfach mal ein Endgerät direkt an den LANCOM zu hängen um herauszufinden, ob das Problem der LANCOM oder die Sophos ist.
Wenn das Problem an einem ungenutzten Port des LANCOM nicht auftritt, kontrolliere auch mal den Port, an dem die Sophos jetzt hängt, so niedrige Datenraten sind häufig bei einem Duplex-Mismatch zu beobachten, welcher meist portspezifisch ist.

Gibt es eine weitergehende Konfiguration auf dem LANCOM oder ist da neben der Internetverbindung nichts weiter konfiguriert?
Member: Crusher79
Crusher79 Jun 19, 2024 at 19:28:36 (UTC)
Goto Top
Hallo,

fang wie die Kollegen sagen von vorn an: Lancom, Sophos, Switche.

Ganz trivial: Firmware, Patchstand auf den Geräten ist OK? Hast du die Komponenten zusätzlich zu deiner Messung alle einmal durchstarten/ rebooten können?

Wenn nicht 24/7 Netz nötig ist kann du es zusätzlich noch zerlegen. vor den Messungen die Kaskade einfach abklemmen. Schritt für Schritt.

Interessant wären ggf. auch Logs auf den Switchen. Wie viele Pakete werden verworfen? QoS?

QoS Einstellungen auf den Lancom?

Die Sophos fungiert doch auch als Router. Wo terminieren die VPN Clients? Wenn der Lancom nur als Gateway fungiert kann man ggf. noch weitere Dienste auf dem Router deaktivieren....
Member: Datax87
Datax87 Jun 19, 2024 updated at 19:54:49 (UTC)
Goto Top
Hi, danke schon mal für Eure Antworten.

Die Auslastung der Netzwerkschnittstellen der Sophos-Firewall ist ziemlich gering.

Ich kann gerade keinen Screenshot der Netzwerkauslastung hier liefern,
aber habe im Kopf, dass über den gesamten Monat nur wenige Peaks zu sehen waren, wo
der WAN-Port (eth0) oder der LAN-Port (eth1) mal kurzzeitig ordentlich Daten übertragen mussten.
Das kann man sich auf der Sophos-Firewall grafisch gut anzeigen lassen.

Ich schaue mal, dass ich die Ursache des Problems auf LANCOM-Router, Firewall oder die Switche inkl. der Verkabelung eingrenzen kann wie ihr es hier beschrieben habt.
Dann schaue ich weiter.

Der LANCOM-Router dient wirklich nur als Internetrouter. Dort ist sonst nichts weiter eingerichtet,
also keine VPN-Einwahl oder QoS-Einstellungen oder sonstiges. Eine VPN-Einwahl gibt es auch auf der Sophos-Firewall nicht. Die Firewall dient hauptsächlich als Webfilter und routet den Internetdatenverkehr zum LANCOM-Router weiter.

Die DSL-Leitung langweilt sich im Grunde. Man kann sich mit "LANconfig" die Auslastung der Internetleitung (des LANCOM-Routers) anzeigen lassen. Dort wurden mir im Download als auch im Upload jedes Mal, wenn ich mir das angeschaut habe, nur wenige MBit/s angezeigt als Auslastung. Und das auch dann, wenn ich zum Beispiel von einem schnellen Server versuche ein Windows-ISO herunterlade.

Aus dem Grund denke ich, dass die Netzwerkumgebung aus Firewall und Switche einfach nur einen geringen Durchsatz bis ans Endgerät bringt. Aber muss ich mir Schritt für Schritt anschauen. Eure Infos haben mir schon mal geholfen. Jetzt kann ich geplant vorgehen.

Danke schon mal bis hierhin. : - )
Member: manuel-r
manuel-r Jun 19, 2024 at 20:04:59 (UTC)
Goto Top
habe ich Kopf, dass über den gesamten Monat nur wenige Peaks zu sehen waren, wo der WAN-Port (eth0) oder der LAN-Port (eth1) mal kurzzeitig ordentlich Daten übertragen mussten.

Dann ist schon mal ziemlich sicher, dass nicht irgendein Client oder Server permanent "mit Vollgas" irgendwas hoch- oder runter lädt.
Member: Snowman25
Snowman25 Jun 19, 2024 at 20:36:15 (UTC)
Goto Top
Könnte auch ein MTU-Thema sein.
Member: Visucius
Visucius Jun 19, 2024 updated at 22:19:24 (UTC)
Goto Top
a) Ich würde nen Client direkt an die Lancom hängen und dort z.B. fast.com oder testmy.net (Achtung Zielserver FRA) testen um den ISP auszuschließen.

b) Anschließend mit zwei iperf PCs die verschiedenen LAN-Verbindungen an und zwischen den Switches durchtesten.

Alles, um hoffentlich die Sophos als Problemquelle zu identifizieren.
Member: aqui
aqui Jun 20, 2024 at 07:41:23 (UTC)
Goto Top
Die Frage ist ja generell was das "Durchlauferhitzer" Setup mit einer eigentlich überflüssigen Router Kaskade mit doppeltem NAT und doppeltem Firewalling überhaupt für einen tieferen Sinn hat?!
Deutlich sinnvoller wäre ja ein Betrieb der Sophos direkt am Internet mit einem NUR Modem wie Vigor 167 oder Zyxel VMG3006.
Member: Visucius
Visucius Jun 20, 2024 updated at 10:27:28 (UTC)
Goto Top
... oder die Sophos rauswerfen (oder zumindest das dortige NAT deaktiveren?) face-wink
Member: Crusher79
Crusher79 Jun 20, 2024 at 13:29:52 (UTC)
Goto Top
Wobei fairer Weise gesagt sein muss, dass ein Router Kaskade auch funktioniert. Hab ich zu Hause. Bei solchen Geschwindigkeiten würde mir meine Kinder sonst was erzählen. face-big-smile

Klar unschön und Fehlerquelle mehr.

Mal abwarten was es für Erkenntnisse gibt, wenn er es zerpflückt hat.

Eine Option wäre je nach Art der Ursache auch die Sophos z.B. zu resetten und bei Null anzufangen. Dank Backup und Recovery kann man sowas in der freien Zeit auch mal munter los lassen. Risiko ist ja überschaubar .

Der Lancom hat noch mehrere Ethernet Ports. Da lässt sich also schnell mit einem Client auch im lfd. Betrieb ein belastbares Ergebnis erzielen.
Member: MysticFoxDE
MysticFoxDE Jun 20, 2024 updated at 19:52:10 (UTC)
Goto Top
Moin @Datax87,

Sonst noch Ideen, um die Problematik zu troubleshooten!?

meine Kristallkugel sagt, dass du musst stellen die MTU der WAN Schnittstelle der Sophos die die IP 10.1.1.2 hat von 1500 auf 1492 und schon sollte dein Internet wieder viel besser flutschen. 😉
Zur Sicherheit solltest du die Sophos nach dieser Änderung auch mal durchbooten.

Gruss Alex
Member: MysticFoxDE
MysticFoxDE Jun 20, 2024 updated at 19:51:23 (UTC)
Goto Top
Moin @Visucius,

... oder die Sophos rauswerfen

oder einfach mal lernen zu berücksichtigen, dass ein PPPoE Header nicht für umme ist, sondern 8 Bytes kostet und man daher bei nachfolgenden Gateways auch immer entsprechend die MTU mit anpassen muss, dann klappt das auch mit der Sophos oder einem FortiGate oder einer ASA, schon viel viel besser. 😉

Gruss Alex
Member: MysticFoxDE
MysticFoxDE Jun 20, 2024 at 19:54:20 (UTC)
Goto Top
Moin @aqui,

Die Frage ist ja generell was das "Durchlauferhitzer" Setup mit einer eigentlich überflüssigen Router Kaskade mit doppeltem NAT und doppeltem Firewalling überhaupt für einen tieferen Sinn hat?!

ich denke mal, dass der TO dieses Konstrukt deshalb so betreibt, weil er den Lancom Router wahrscheinlich noch als VoIP-TK benutzt. 🙃

Gruss Alex
Member: Datax87
Datax87 Jun 21, 2024 at 19:29:49 (UTC)
Goto Top
@MysticFoxDE

Danke für den Hinweis bezüglich der MTU.
Member: ni.sch
ni.sch Jun 21, 2024 at 23:37:17 (UTC)
Goto Top
Ist auch IP-TV am Anschluss gebucht?
Dann kämen auch noch fleissige Multicasts an alle Clients in Frage wenn die Sophos das nicht wegdrückt, oder die Switches. Hatte ich selber auch mit "dummen" Switches. Es ging teilweise nichts mehr im Internet.
Wireshark hats dann aufgedeckt.
Member: MysticFoxDE
MysticFoxDE Jun 22, 2024 at 09:20:26 (UTC)
Goto Top
Moin @Datax87,

Danke für den Hinweis bezüglich der MTU.

sehr gerne.

Hat er den auch geholfen?

Gruss Alex
Member: aqui
aqui Jun 30, 2024 at 10:45:35 (UTC)
Goto Top
Wenn es das denn nun war bitte deinen Thread hier dann auch als erledigt schliessen!
How can I mark a post as solved?
Member: Datax87
Solution Datax87 Jul 09, 2024 at 16:51:58 (UTC)
Goto Top
Hi, konnte das Problem mit der langsamen Internetanbindung gestern lösen.

Der LANCOM-Router hatte offensichtlich ein Problem.

Habe ein Firmware-Update von LCOS 10.20 auf 10.80 gemacht,
wobei der Router ja auch einen Reboot macht.

Seit des Firmware-Updates und des damit verbundenen Reboots kommen wieder
100 MBit/s im Download bei den Endgeräten an.

Danke für Eure Hilfe : -).

LG
Member: Visucius
Visucius Jul 09, 2024 at 17:33:32 (UTC)
Goto Top
Hättest Du mal durchgetestet, wie von mir empfohlen 😂
Member: Datax87
Datax87 Jul 10, 2024 at 17:14:13 (UTC)
Goto Top
@Visucius

Wie kommst du darauf, dass ich das nicht gemacht habe?

Ist mir gerade schleierhaft wie du darauf kommst.

Ich hatte mich mit einem Notebook direkt an den LANCOM-Router geklemmt und
hatte dann festgestellt, dass auch direkt am Router Downloads aus dem Internet sehr langsam waren.

Direkt im Anschluss eben die Firmware vom LANCOM-Router aktualisiert
und dann war die Sache gefixt.

Finde ich schon recht lächerlich wie du dich hier aufspielst.

Sich hier als den Netzwerk-Super-Profi verkaufen und dann noch einen sich tot lachenden
Smiley hinten dran hängen, einfach nur lächerlich.