darkzonesd
14.02.2024
view1495
view10
0
Goto Top

Site to Site - VPN extrem langsam

FrageVPN
Guten Tag zusammen,

seit einigen Monaten haben wir das Problem das einer unser IPSec Tunnel langsamer geworden ist. Nun ist es aber seit ein paar Wochen dermaßen langsam geworden das wir etwas unternehmen müssen. Der IPSec Tunnel geht von Fortigate A in Deutschland and Fortigate B in Tschechien, ich habe den Ausbau mal grob abgebildet mit aktuellen Internetgeschwindigkeiten.
unbenanntes diagramm.drawio
Von Fileserver A zu Fileserver B bekomme ich per iperf folgenden output:
Deutschland -> Tschechien
TCP:
[  5]   0.00-1.01   sec  1.00 MBytes  8.33 Mbits/sec                  
[  5]   1.01-2.01   sec   896 KBytes  7.34 Mbits/sec                  
[  5]   2.01-3.01   sec   896 KBytes  7.34 Mbits/sec                  
[  5]   3.01-4.01   sec   896 KBytes  7.34 Mbits/sec

UDP:
[  5]   0.00-1.01   sec   128 KBytes  1.04 Mbits/sec  16  
[  5]   1.01-2.01   sec   128 KBytes  1.05 Mbits/sec  16  
[  5]   2.01-3.01   sec   128 KBytes  1.05 Mbits/sec  16  
[  5]   3.01-4.01   sec   128 KBytes  1.05 Mbits/sec  16
Tschechien -> Deutschland
TCP:
[  5]   0.00-1.00   sec   640 KBytes  5.24 Mbits/sec                  
[  5]   1.00-2.00   sec   896 KBytes  7.34 Mbits/sec                  
[  5]   2.00-3.00   sec   896 KBytes  7.34 Mbits/sec                  
[  5]   3.00-4.00   sec   896 KBytes  7.34 Mbits/sec

UDP:
[  5]   0.00-1.00   sec   144 KBytes  1.18 Mbits/sec  18  
[  5]   1.00-2.00   sec   144 KBytes  1.18 Mbits/sec  18  
[  5]   2.00-3.00   sec   112 KBytes   919 Kbits/sec  14  
[  5]   3.00-4.00   sec   128 KBytes  1.05 Mbits/sec  16

Ich habe mich dann mit dem Fileserver B von Fileserver A aus mit TeamViewer verbunden und eine Dateiübertragung gestartet, die Übertragung ist leider genauso grottig.. an Standort A / Deutschland ist kabeltechnisch bei uns alles in Ordnung, Kabel wurden schon mehrfach gewechselt. Auf der anderen Seite kann ich das momentan noch nicht sagen.

Mir ist allerdings auch aufgefallen das die UDP Übertragung wesentlich langsamer ist als die TCP Übertragung, ich hätte normalerweise damit gerechnet das andersrum wäre.

Gibt es noch andere Tests die man machen könnte um festzustellen ab welchem Punkt die Verbindung langsamer wird? z.B. Geschwindigkeiten zwischen den einzelnen Hops zu Firewall B?

Viele Grüße
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 33304132736

Url: https://administrator.de/contentid/33304132736

Ausgedruckt am: 21.11.2024 um 16:11 Uhr

10 Kommentare
Neuester Kommentar
Goto Top
bastian23
bastian23 14.02.2024 um 09:39:56 Uhr
Goto Top
Was sagen pingwerte, traceroutewerte innerhalb des Tunnels und ins Internet?
elix2k
elix2k 14.02.2024 um 10:00:16 Uhr
Goto Top
So was ähnliches habe ich mit den Fortigates zwischen DE und PL. Alle 2-3 Wochen muss ich die VPN-Leitung wechseln. Sehr kurios.
DarkZoneSD
DarkZoneSD 14.02.2024 aktualisiert um 10:19:41 Uhr
Goto Top
Tschechien -> Deutschland
Tracing route to 10.0.127.254 over a maximum of 30 hops

  1    <1 ms    <1 ms    <1 ms  10.0.150.1
  2    25 ms    24 ms    24 ms  10.0.127.254

Trace complete.

Pinging 10.0.127.254 with 32 bytes of data:
Reply from 10.0.127.254: bytes=32 time=23ms TTL=254
Reply from 10.0.127.254: bytes=32 time=25ms TTL=254
Reply from 10.0.127.254: bytes=32 time=28ms TTL=254
Reply from 10.0.127.254: bytes=32 time=23ms TTL=254

Ping statistics for 10.0.127.254:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 23ms, Maximum = 28ms, Average = 24ms
Tschechien -> dns.Google
Tracing route to dns.google [8.8.8.8]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  10.0.150.1
  2     1 ms    <1 ms    <1 ms  172.16.1.1
  3     5 ms     4 ms     4 ms  194.108.59.68
  4     4 ms     4 ms     4 ms  192.178.68.76
  5     4 ms     4 ms     4 ms  192.178.98.175
  6     5 ms     4 ms     4 ms  142.251.224.127
  7     4 ms     4 ms     4 ms  dns.google [8.8.8.8]

Trace complete.

Pinging 8.8.8.8 with 32 bytes of data:
Reply from 8.8.8.8: bytes=32 time=5ms TTL=118
Reply from 8.8.8.8: bytes=32 time=4ms TTL=118
Reply from 8.8.8.8: bytes=32 time=4ms TTL=118
Reply from 8.8.8.8: bytes=32 time=4ms TTL=118

Ping statistics for 8.8.8.8:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 4ms, Maximum = 5ms, Average = 4ms

Grüße
DarkZoneSD
DarkZoneSD 14.02.2024 um 10:19:31 Uhr
Goto Top
Moin,

was genau meinst Du mit VPN-Leitung wechseln?

Grüße
11078840001
11078840001 14.02.2024 aktualisiert um 10:41:05 Uhr
Goto Top
Tracing route to 10.0.127.254
Die internen IPs zu tracen macht nicht viel Sinn, da musst du schon den externen VPN Endpunkt angeben.
  • Was sagt ein Wireshark Trace? Viele Retransmissions sichtbar?
  • MTU?

Nimm mal ein Smartphone, geh über LTE/5G und checke damit den Durchsatz zum Remotestandort (andere Route). Ebenso stetig niedriger Durchsatz?
heart1
em-pie
em-pie 14.02.2024 aktualisiert um 10:40:46 Uhr
Goto Top
Moin,


  • MTU?
Würde ich auch mal testen.
Ping -f -l 1456 [IP]
Wobei du die 1456 mal nach oben/ unten in 10er Schritten justieren solltest.

Und bei IP mal eure öffentliche IP der Gegenseite bzw. eine Interne (der Gegenseite) bzw. Mal 8.8.8.8 oder so was nutzen…

https://linksys-sh.com/determining-and-setting-up-the-correct-mtu-size/
heart1
DarkZoneSD
DarkZoneSD 14.02.2024 aktualisiert um 12:49:18 Uhr
Goto Top
Die internen IPs zu tracen macht nicht viel Sinn, da musst du schon den externen VPN Endpunkt angeben.
Tschechien -> Deutschland
tracert-vpnendpunkt
DarkZoneSD
DarkZoneSD 14.02.2024 aktualisiert um 12:55:25 Uhr
Goto Top
Zitat von @em-pie:

Moin,
Moin,
Und bei IP mal eure öffentliche IP der Gegenseite bzw. eine Interne (der Gegenseite) bzw. Mal 8.8.8.8 oder so was nutzen…
Also jeweils von Deutschland -> Tschechien als auch Tschechien -> Deutschland:
Interne IP von Site a zu Site b MTU: 1392
Öffentliche IP von Site a zu b MTU :1472
elix2k
elix2k 14.02.2024 um 13:05:40 Uhr
Goto Top
Zitat von @DarkZoneSD:

Moin,

was genau meinst Du mit VPN-Leitung wechseln?

Grüße

Ich habe zwei Leitungen bei unterschiedlichen ISPs in Polen, beide machen den selben Zirkus. Ich wechsle dann immer die VPN Leitung. Das ist aber auch kein Fortinet Problem, hatten wir auch mit der Sophos...
DarkZoneSD
DarkZoneSD 14.02.2024 um 13:45:19 Uhr
Goto Top
Zitat von @11078840001:
  • Was sagt ein Wireshark Trace? Viele Retransmissions sichtbar?
Bei Tracert der internen IP sieht der Traffic in wireshark gut aus, pro Hop werden 3 Pakete gesendet und jeweils auch Antworten empfangen..

Bei Tracert mit der öffentlichen Adresse ist mir jedoch aufgefallen, dass wie im Bild zu sehen ist z.B. bei Hop 9 kriegen die ping Requests nie eine Antwort
FrageVPN
Mehr von DarkZoneSDDarkZoneSDAdminfreigabe nach DomainwechselDarkZoneSD - 6 KommentareDarkZoneSDDruckerzuweisung über GebäudepläneDarkZoneSD - 17 KommentareDarkZoneSDSynchronisierte Datenübertragen aus verschiedenen SchnittstellenDarkZoneSD - 12 KommentareDarkZoneSDM365 oder Schleswig-Holstein?DarkZoneSD - 27 Kommentare
Heiß diskutiert
user217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 23 KommentarecseLaufwege erfassen in großer Hallecse - 20 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareYan2021Nachricht an mehrere PCs im Netzwerk sendenYan2021 - 17 KommentareaufdemmarsHP Z620 USB hat kein Strom beim Startenaufdemmars - 15 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 14 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 13 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareadmtechEntwicklertagebuch: Release 6.4 - Filteradmtech - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 12 KommentareZZaaiiggaaDigitales Archiv - wie?ZZaaiiggaa - 11 Kommentare