Feb 14, 2024

1030

Site to Site - VPN extrem langsam

Guten Tag zusammen,

seit einigen Monaten haben wir das Problem das einer unser IPSec Tunnel langsamer geworden ist. Nun ist es aber seit ein paar Wochen dermaßen langsam geworden das wir etwas unternehmen müssen. Der IPSec Tunnel geht von Fortigate A in Deutschland and Fortigate B in Tschechien, ich habe den Ausbau mal grob abgebildet mit aktuellen Internetgeschwindigkeiten.

Von Fileserver A zu Fileserver B bekomme ich per iperf folgenden output:
Deutschland -> Tschechien
TCP:

[  5]   0.00-1.01   sec  1.00 MBytes  8.33 Mbits/sec                  
[  5]   1.01-2.01   sec   896 KBytes  7.34 Mbits/sec                  
[  5]   2.01-3.01   sec   896 KBytes  7.34 Mbits/sec                  
[  5]   3.01-4.01   sec   896 KBytes  7.34 Mbits/sec  

UDP:

[  5]   0.00-1.01   sec   128 KBytes  1.04 Mbits/sec  16  
[  5]   1.01-2.01   sec   128 KBytes  1.05 Mbits/sec  16  
[  5]   2.01-3.01   sec   128 KBytes  1.05 Mbits/sec  16  
[  5]   3.01-4.01   sec   128 KBytes  1.05 Mbits/sec  16  

Tschechien -> Deutschland
TCP:

[  5]   0.00-1.00   sec   640 KBytes  5.24 Mbits/sec                  
[  5]   1.00-2.00   sec   896 KBytes  7.34 Mbits/sec                  
[  5]   2.00-3.00   sec   896 KBytes  7.34 Mbits/sec                  
[  5]   3.00-4.00   sec   896 KBytes  7.34 Mbits/sec 

UDP:

[  5]   0.00-1.00   sec   144 KBytes  1.18 Mbits/sec  18  
[  5]   1.00-2.00   sec   144 KBytes  1.18 Mbits/sec  18  
[  5]   2.00-3.00   sec   112 KBytes   919 Kbits/sec  14  
[  5]   3.00-4.00   sec   128 KBytes  1.05 Mbits/sec  16  

Ich habe mich dann mit dem Fileserver B von Fileserver A aus mit TeamViewer verbunden und eine Dateiübertragung gestartet, die Übertragung ist leider genauso grottig.. an Standort A / Deutschland ist kabeltechnisch bei uns alles in Ordnung, Kabel wurden schon mehrfach gewechselt. Auf der anderen Seite kann ich das momentan noch nicht sagen.

Mir ist allerdings auch aufgefallen das die UDP Übertragung wesentlich langsamer ist als die TCP Übertragung, ich hätte normalerweise damit gerechnet das andersrum wäre.

Gibt es noch andere Tests die man machen könnte um festzustellen ab welchem Punkt die Verbindung langsamer wird? z.B. Geschwindigkeiten zwischen den einzelnen Hops zu Firewall B?

Viele Grüße

Please also mark the comments that contributed to the solution of the article

Content-Key: 33304132736

Url: https://administrator.de/contentid/33304132736

Printed on: April 27, 2024 at 13:04 o'clock

10 Comments

Latest comment

Was sagen pingwerte, traceroutewerte innerhalb des Tunnels und ins Internet?

So was ähnliches habe ich mit den Fortigates zwischen DE und PL. Alle 2-3 Wochen muss ich die VPN-Leitung wechseln. Sehr kurios.

Tschechien -> Deutschland

Tracing route to 10.0.127.254 over a maximum of 30 hops

  1    <1 ms    <1 ms    <1 ms  10.0.150.1
  2    25 ms    24 ms    24 ms  10.0.127.254

Trace complete.

Pinging 10.0.127.254 with 32 bytes of data:
Reply from 10.0.127.254: bytes=32 time=23ms TTL=254
Reply from 10.0.127.254: bytes=32 time=25ms TTL=254
Reply from 10.0.127.254: bytes=32 time=28ms TTL=254
Reply from 10.0.127.254: bytes=32 time=23ms TTL=254

Ping statistics for 10.0.127.254:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 23ms, Maximum = 28ms, Average = 24ms

Tschechien -> dns.Google

Tracing route to dns.google [8.8.8.8]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  10.0.150.1
  2     1 ms    <1 ms    <1 ms  172.16.1.1
  3     5 ms     4 ms     4 ms  194.108.59.68
  4     4 ms     4 ms     4 ms  192.178.68.76
  5     4 ms     4 ms     4 ms  192.178.98.175
  6     5 ms     4 ms     4 ms  142.251.224.127
  7     4 ms     4 ms     4 ms  dns.google [8.8.8.8]

Trace complete.

Pinging 8.8.8.8 with 32 bytes of data:
Reply from 8.8.8.8: bytes=32 time=5ms TTL=118
Reply from 8.8.8.8: bytes=32 time=4ms TTL=118
Reply from 8.8.8.8: bytes=32 time=4ms TTL=118
Reply from 8.8.8.8: bytes=32 time=4ms TTL=118

Ping statistics for 8.8.8.8:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 4ms, Maximum = 5ms, Average = 4ms

Grüße

Moin,

was genau meinst Du mit VPN-Leitung wechseln?

Grüße

Tracing route to 10.0.127.254

Die internen IPs zu tracen macht nicht viel Sinn, da musst du schon den externen VPN Endpunkt angeben.

Was sagt ein Wireshark Trace? Viele Retransmissions sichtbar?
MTU?

Nimm mal ein Smartphone, geh über LTE/5G und checke damit den Durchsatz zum Remotestandort (andere Route). Ebenso stetig niedriger Durchsatz?

Moin,

MTU?

Würde ich auch mal testen.
Ping -f -l 1456 [IP]
Wobei du die 1456 mal nach oben/ unten in 10er Schritten justieren solltest.

Und bei IP mal eure öffentliche IP der Gegenseite bzw. eine Interne (der Gegenseite) bzw. Mal 8.8.8.8 oder so was nutzen…

https://linksys-sh.com/determining-and-setting-up-the-correct-mtu-size/

Die internen IPs zu tracen macht nicht viel Sinn, da musst du schon den externen VPN Endpunkt angeben.

Tschechien -> Deutschland

Zitat von @em-pie:

Moin,

Moin,

Und bei IP mal eure öffentliche IP der Gegenseite bzw. eine Interne (der Gegenseite) bzw. Mal 8.8.8.8 oder so was nutzen…

Also jeweils von Deutschland -> Tschechien als auch Tschechien -> Deutschland:
Interne IP von Site a zu Site b MTU: 1392
Öffentliche IP von Site a zu b MTU :1472

Zitat von @DarkZoneSD:

Moin,

was genau meinst Du mit VPN-Leitung wechseln?

Grüße

Ich habe zwei Leitungen bei unterschiedlichen ISPs in Polen, beide machen den selben Zirkus. Ich wechsle dann immer die VPN Leitung. Das ist aber auch kein Fortinet Problem, hatten wir auch mit der Sophos...

Zitat von @11078840001:

Was sagt ein Wireshark Trace? Viele Retransmissions sichtbar?

Bei Tracert der internen IP sieht der Traffic in wireshark gut aus, pro Hop werden 3 Pakete gesendet und jeweils auch Antworten empfangen..

Bei Tracert mit der öffentlichen Adresse ist mir jedoch aufgefallen, dass wie im Bild zu sehen ist z.B. bei Hop 9 kriegen die ping Requests nie eine Antwort

German Question VPN