Sehr langsame Internetverbindung im LAN trotz 100-MBit-Leitung
Hallo Leute,
habe hier ein Netzwerk, in welchem die Endgeräte (PCs, Notebooks) trotz 100-MBit/s-Internetanbindung
(100 MBit/s Downstream, 40 MBit/s Upstream) einen sehr langsamen Aufbau von Webseiten haben
und Downloads von sehr schnellen Servern mit zum Beispiel < 100 KByte/s laufen.
Das Netzwerk besteht aus einem LANCOM-Router, der die Internetanbindung zur Verfügung stellt.
Auf dem LANCOM-Router wird mir angezeigt, dass die DSL-Leitung mit 100 MBit/s Upstream, 40 MBit/s Downstream
synchronisiert ist.
Dieser LANCOM-Router (LAN-IP=10.1.1.1/24) ist an einer Sophos-Firewall angeschlossen.
Die Sophos-Firewall hat auf dem WAN-Port die IP 10.1.1.2/24 und hat den LANCOM-Router als Default-Gateway eingetragen.
Die Sophos-Firewall stellt das LAN-Netz 10.1.2.0/24 zur Verfügung, hat selbst in diesem Netz
die IP 10.1.2.1/24. Hinter der Sophos-Firewall sind mehrere Aruba-CX-6000-Switche angeschlossen,
welche (leider) kaskadiert sind (siehe die Netzwerkskizze, die ich mit angehangen habe).
Auf den Aruba-Switchen ist zurzeit noch ausschließlich das Default-VLAN 1 konfiguriert. Sprich,
alle Endgeräte, die an den Aruba-Switchen angeschlossen sind, bekommen per "DHCP" eine IP-Adresse
aus dem Netz 10.1.2.0/24. Der DHCP-Server ist die Sophos-Firewall. Die Endgeräte bekommen die LAN-IP
der Sophos-Firewall 10.1.2.1 als Default-Gateway als auch als DNS-Server zugewiesen.
Auf den Endgeräten besteht das Problem, dass der Aufruf von Webseiten sehr lange dauert (etliche Sekunden bei einfach gestalteten Webseiten) und Downloads (z. B. der Download von ISO-Images von sehr schnellen Servern) mit zum Beispiel deutlich unter 100 KByte/s läuft.
Der Download der identischen ISO-Images (über den gleichen Download-Link) läuft aus dem Home-Office der Mitarbeiter mit mehr als 8 MByte/s.
Das Problem betrifft Endgeräte, die per Netzwerkkabel an den Aruba-Switchen angeschlossen sind als auch Geräte,
die per "WLAN" ans Netzwerk angebunden sind. Die Access-Points wiederum sind an die besagten Aruba-Switche (siehe Zeichnung) angeschlossen.
Eine iperf-Messung von einem Endgerät zum LANCOM-Router beläuft sich nach etlichen Messungen im Bereich 200 - 500 MBit/s. Bei den Messungen, die ich heute gemacht habe, war der Durchsatz im Bereich 200 - 300 MBit/s, gestern waren es über 400 MBit/s bei mehreren Messungen.
Auf der Sophos-Firewall habe ich zum Testen 1 Endgerät an allen Schutzmodulen vorbei direkt ins Internet geleitet,
so dass zum Beispiel der WebProxy den Durchsatz nicht verringern kann. Hat aber keinen deutlich messbaren Unterschied bewirkt.
Jemand eine Idee, ob und was ich auf den Aruba-Switchen prüfen könnte, um defekte Switch-Ports und/oder ggf. verbaute Transceiver oder Kabel zu identifizieren? Kenne mich auf der Kommandozeile der Aruba-Switche nicht gut aus. Vielleicht kann jemand von Euch helfen!?
Sonst noch Ideen, um die Problematik zu troubleshooten!?
Danke vorab.
Gruß, Datax
habe hier ein Netzwerk, in welchem die Endgeräte (PCs, Notebooks) trotz 100-MBit/s-Internetanbindung
(100 MBit/s Downstream, 40 MBit/s Upstream) einen sehr langsamen Aufbau von Webseiten haben
und Downloads von sehr schnellen Servern mit zum Beispiel < 100 KByte/s laufen.
Das Netzwerk besteht aus einem LANCOM-Router, der die Internetanbindung zur Verfügung stellt.
Auf dem LANCOM-Router wird mir angezeigt, dass die DSL-Leitung mit 100 MBit/s Upstream, 40 MBit/s Downstream
synchronisiert ist.
Dieser LANCOM-Router (LAN-IP=10.1.1.1/24) ist an einer Sophos-Firewall angeschlossen.
Die Sophos-Firewall hat auf dem WAN-Port die IP 10.1.1.2/24 und hat den LANCOM-Router als Default-Gateway eingetragen.
Die Sophos-Firewall stellt das LAN-Netz 10.1.2.0/24 zur Verfügung, hat selbst in diesem Netz
die IP 10.1.2.1/24. Hinter der Sophos-Firewall sind mehrere Aruba-CX-6000-Switche angeschlossen,
welche (leider) kaskadiert sind (siehe die Netzwerkskizze, die ich mit angehangen habe).
Auf den Aruba-Switchen ist zurzeit noch ausschließlich das Default-VLAN 1 konfiguriert. Sprich,
alle Endgeräte, die an den Aruba-Switchen angeschlossen sind, bekommen per "DHCP" eine IP-Adresse
aus dem Netz 10.1.2.0/24. Der DHCP-Server ist die Sophos-Firewall. Die Endgeräte bekommen die LAN-IP
der Sophos-Firewall 10.1.2.1 als Default-Gateway als auch als DNS-Server zugewiesen.
Auf den Endgeräten besteht das Problem, dass der Aufruf von Webseiten sehr lange dauert (etliche Sekunden bei einfach gestalteten Webseiten) und Downloads (z. B. der Download von ISO-Images von sehr schnellen Servern) mit zum Beispiel deutlich unter 100 KByte/s läuft.
Der Download der identischen ISO-Images (über den gleichen Download-Link) läuft aus dem Home-Office der Mitarbeiter mit mehr als 8 MByte/s.
Das Problem betrifft Endgeräte, die per Netzwerkkabel an den Aruba-Switchen angeschlossen sind als auch Geräte,
die per "WLAN" ans Netzwerk angebunden sind. Die Access-Points wiederum sind an die besagten Aruba-Switche (siehe Zeichnung) angeschlossen.
Eine iperf-Messung von einem Endgerät zum LANCOM-Router beläuft sich nach etlichen Messungen im Bereich 200 - 500 MBit/s. Bei den Messungen, die ich heute gemacht habe, war der Durchsatz im Bereich 200 - 300 MBit/s, gestern waren es über 400 MBit/s bei mehreren Messungen.
Auf der Sophos-Firewall habe ich zum Testen 1 Endgerät an allen Schutzmodulen vorbei direkt ins Internet geleitet,
so dass zum Beispiel der WebProxy den Durchsatz nicht verringern kann. Hat aber keinen deutlich messbaren Unterschied bewirkt.
Jemand eine Idee, ob und was ich auf den Aruba-Switchen prüfen könnte, um defekte Switch-Ports und/oder ggf. verbaute Transceiver oder Kabel zu identifizieren? Kenne mich auf der Kommandozeile der Aruba-Switche nicht gut aus. Vielleicht kann jemand von Euch helfen!?
Sonst noch Ideen, um die Problematik zu troubleshooten!?
Danke vorab.
Gruß, Datax
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 82115743226
Url: https://administrator.de/forum/sehr-langsame-internetverbindung-im-lan-trotz-100-mbit-leitung-82115743226.html
Ausgedruckt am: 25.12.2024 um 08:12 Uhr
21 Kommentare
Neuester Kommentar
Die erste Sache die ich in so einem Fall zuerst prüfe: Ist die Leitung vielleicht ausgelastet?
Am Router oder an der Firewall gibt es doch bestimmt eine Möglichkeit zu sehen wie viel Traffic gerade ansteht?! Und vielleicht auch wie stark das Gerät ausgelastet ist?!
Der Test zum Router mit iPerf sollte m.E. deutlich höhere Werte liefern. Also könnte die Firewall oder einer der Switche Probleme machen.
Ich würde mich also mal mit einem Notebook direkt hinter die Firewall klemmen und als nächstes direkt an den Router. Je nach Ergebnis dann weiter vor gehen.
Manuel
Am Router oder an der Firewall gibt es doch bestimmt eine Möglichkeit zu sehen wie viel Traffic gerade ansteht?! Und vielleicht auch wie stark das Gerät ausgelastet ist?!
Der Test zum Router mit iPerf sollte m.E. deutlich höhere Werte liefern. Also könnte die Firewall oder einer der Switche Probleme machen.
Ich würde mich also mal mit einem Notebook direkt hinter die Firewall klemmen und als nächstes direkt an den Router. Je nach Ergebnis dann weiter vor gehen.
Manuel
Auch meine Empfehlung ist, einfach mal ein Endgerät direkt an den LANCOM zu hängen um herauszufinden, ob das Problem der LANCOM oder die Sophos ist.
Wenn das Problem an einem ungenutzten Port des LANCOM nicht auftritt, kontrolliere auch mal den Port, an dem die Sophos jetzt hängt, so niedrige Datenraten sind häufig bei einem Duplex-Mismatch zu beobachten, welcher meist portspezifisch ist.
Gibt es eine weitergehende Konfiguration auf dem LANCOM oder ist da neben der Internetverbindung nichts weiter konfiguriert?
Wenn das Problem an einem ungenutzten Port des LANCOM nicht auftritt, kontrolliere auch mal den Port, an dem die Sophos jetzt hängt, so niedrige Datenraten sind häufig bei einem Duplex-Mismatch zu beobachten, welcher meist portspezifisch ist.
Gibt es eine weitergehende Konfiguration auf dem LANCOM oder ist da neben der Internetverbindung nichts weiter konfiguriert?
Hallo,
fang wie die Kollegen sagen von vorn an: Lancom, Sophos, Switche.
Ganz trivial: Firmware, Patchstand auf den Geräten ist OK? Hast du die Komponenten zusätzlich zu deiner Messung alle einmal durchstarten/ rebooten können?
Wenn nicht 24/7 Netz nötig ist kann du es zusätzlich noch zerlegen. vor den Messungen die Kaskade einfach abklemmen. Schritt für Schritt.
Interessant wären ggf. auch Logs auf den Switchen. Wie viele Pakete werden verworfen? QoS?
QoS Einstellungen auf den Lancom?
Die Sophos fungiert doch auch als Router. Wo terminieren die VPN Clients? Wenn der Lancom nur als Gateway fungiert kann man ggf. noch weitere Dienste auf dem Router deaktivieren....
fang wie die Kollegen sagen von vorn an: Lancom, Sophos, Switche.
Ganz trivial: Firmware, Patchstand auf den Geräten ist OK? Hast du die Komponenten zusätzlich zu deiner Messung alle einmal durchstarten/ rebooten können?
Wenn nicht 24/7 Netz nötig ist kann du es zusätzlich noch zerlegen. vor den Messungen die Kaskade einfach abklemmen. Schritt für Schritt.
Interessant wären ggf. auch Logs auf den Switchen. Wie viele Pakete werden verworfen? QoS?
QoS Einstellungen auf den Lancom?
Die Sophos fungiert doch auch als Router. Wo terminieren die VPN Clients? Wenn der Lancom nur als Gateway fungiert kann man ggf. noch weitere Dienste auf dem Router deaktivieren....
habe ich Kopf, dass über den gesamten Monat nur wenige Peaks zu sehen waren, wo der WAN-Port (eth0) oder der LAN-Port (eth1) mal kurzzeitig ordentlich Daten übertragen mussten.
Dann ist schon mal ziemlich sicher, dass nicht irgendein Client oder Server permanent "mit Vollgas" irgendwas hoch- oder runter lädt.
a) Ich würde nen Client direkt an die Lancom hängen und dort z.B. fast.com oder testmy.net (Achtung Zielserver FRA) testen um den ISP auszuschließen.
b) Anschließend mit zwei iperf PCs die verschiedenen LAN-Verbindungen an und zwischen den Switches durchtesten.
Alles, um hoffentlich die Sophos als Problemquelle zu identifizieren.
b) Anschließend mit zwei iperf PCs die verschiedenen LAN-Verbindungen an und zwischen den Switches durchtesten.
Alles, um hoffentlich die Sophos als Problemquelle zu identifizieren.
Die Frage ist ja generell was das "Durchlauferhitzer" Setup mit einer eigentlich überflüssigen Router Kaskade mit doppeltem NAT und doppeltem Firewalling überhaupt für einen tieferen Sinn hat?!
Deutlich sinnvoller wäre ja ein Betrieb der Sophos direkt am Internet mit einem NUR Modem wie Vigor 167 oder Zyxel VMG3006.
Deutlich sinnvoller wäre ja ein Betrieb der Sophos direkt am Internet mit einem NUR Modem wie Vigor 167 oder Zyxel VMG3006.
Wobei fairer Weise gesagt sein muss, dass ein Router Kaskade auch funktioniert. Hab ich zu Hause. Bei solchen Geschwindigkeiten würde mir meine Kinder sonst was erzählen.
Klar unschön und Fehlerquelle mehr.
Mal abwarten was es für Erkenntnisse gibt, wenn er es zerpflückt hat.
Eine Option wäre je nach Art der Ursache auch die Sophos z.B. zu resetten und bei Null anzufangen. Dank Backup und Recovery kann man sowas in der freien Zeit auch mal munter los lassen. Risiko ist ja überschaubar .
Der Lancom hat noch mehrere Ethernet Ports. Da lässt sich also schnell mit einem Client auch im lfd. Betrieb ein belastbares Ergebnis erzielen.
Klar unschön und Fehlerquelle mehr.
Mal abwarten was es für Erkenntnisse gibt, wenn er es zerpflückt hat.
Eine Option wäre je nach Art der Ursache auch die Sophos z.B. zu resetten und bei Null anzufangen. Dank Backup und Recovery kann man sowas in der freien Zeit auch mal munter los lassen. Risiko ist ja überschaubar .
Der Lancom hat noch mehrere Ethernet Ports. Da lässt sich also schnell mit einem Client auch im lfd. Betrieb ein belastbares Ergebnis erzielen.
Moin @Datax87,
meine Kristallkugel sagt, dass du musst stellen die MTU der WAN Schnittstelle der Sophos die die IP 10.1.1.2 hat von 1500 auf 1492 und schon sollte dein Internet wieder viel besser flutschen. 😉
Zur Sicherheit solltest du die Sophos nach dieser Änderung auch mal durchbooten.
Gruss Alex
Sonst noch Ideen, um die Problematik zu troubleshooten!?
meine Kristallkugel sagt, dass du musst stellen die MTU der WAN Schnittstelle der Sophos die die IP 10.1.1.2 hat von 1500 auf 1492 und schon sollte dein Internet wieder viel besser flutschen. 😉
Zur Sicherheit solltest du die Sophos nach dieser Änderung auch mal durchbooten.
Gruss Alex
Moin @Visucius,
oder einfach mal lernen zu berücksichtigen, dass ein PPPoE Header nicht für umme ist, sondern 8 Bytes kostet und man daher bei nachfolgenden Gateways auch immer entsprechend die MTU mit anpassen muss, dann klappt das auch mit der Sophos oder einem FortiGate oder einer ASA, schon viel viel besser. 😉
Gruss Alex
... oder die Sophos rauswerfen
oder einfach mal lernen zu berücksichtigen, dass ein PPPoE Header nicht für umme ist, sondern 8 Bytes kostet und man daher bei nachfolgenden Gateways auch immer entsprechend die MTU mit anpassen muss, dann klappt das auch mit der Sophos oder einem FortiGate oder einer ASA, schon viel viel besser. 😉
Gruss Alex
Moin @aqui,
ich denke mal, dass der TO dieses Konstrukt deshalb so betreibt, weil er den Lancom Router wahrscheinlich noch als VoIP-TK benutzt. 🙃
Gruss Alex
Die Frage ist ja generell was das "Durchlauferhitzer" Setup mit einer eigentlich überflüssigen Router Kaskade mit doppeltem NAT und doppeltem Firewalling überhaupt für einen tieferen Sinn hat?!
ich denke mal, dass der TO dieses Konstrukt deshalb so betreibt, weil er den Lancom Router wahrscheinlich noch als VoIP-TK benutzt. 🙃
Gruss Alex
Moin @Datax87,
sehr gerne.
Hat er den auch geholfen?
Gruss Alex
Danke für den Hinweis bezüglich der MTU.
sehr gerne.
Hat er den auch geholfen?
Gruss Alex
Wenn es das denn nun war bitte deinen Thread hier dann auch als erledigt schliessen!
Wie kann ich einen Beitrag als gelöst markieren?
Wie kann ich einen Beitrag als gelöst markieren?