33
Site2Site langsam SMB
Guten Morgen zusammen,
Ich komme gerade irgendwie nicht weiter, oder sehe den Wald vor lauter Bäumen nicht. Aber vielleicht hat einer von euch einen Wink mit dem Zaunpfahl.
Ich habe 2 Standorte A ( Haupt ) und B ( Nebenstandort ) . Am Standort B soll eine Kopie der DaSi hinkopiert werden.
Software in Veeam ohne WAN Accelerator. Sprich klassisch per SMB. Vernetzt sind die beiden Standort mit 2 Sophos HA Cluster.
Firewall Regeln sind entsprechend gesetzt. Um erstmal überhaupt einen Ansatz zu bekommen, nutze ich den Nas Performance Tester.
Am Standort B habe ich lediglich eine NAS. Am Standort A halt den Backupserver und ein Test PC. Beide im selben Netz.
Wie zu erwarten, sind die Werte so naja. Okay aber das ist eine andere Baustelle. Wo ich keinen Ansatz für finde ist folgendes:
Schreib/Lesegeschwindigkeit Test PC auf NAS am Standort B: Read/Write 18/16 MB/s ( passt zur Geschwindigkeit der Senderseite )
Schreib/Lesegeschwindigkeit Backupserver auf NAS am Standort B: Read/Write 20/0,5 MB/s
Die Werte sind reproduzierbar. Innerhalb des Netzwerkes am Standort A ist der SMB Kopiervorgang einwandfrei.
Habt ihr Ideen wo ich ansetzen kann, warum der eine Server über das VPN so langsam schreibt ?
Mfg Michael
Ich komme gerade irgendwie nicht weiter, oder sehe den Wald vor lauter Bäumen nicht. Aber vielleicht hat einer von euch einen Wink mit dem Zaunpfahl.
Ich habe 2 Standorte A ( Haupt ) und B ( Nebenstandort ) . Am Standort B soll eine Kopie der DaSi hinkopiert werden.
Software in Veeam ohne WAN Accelerator. Sprich klassisch per SMB. Vernetzt sind die beiden Standort mit 2 Sophos HA Cluster.
Firewall Regeln sind entsprechend gesetzt. Um erstmal überhaupt einen Ansatz zu bekommen, nutze ich den Nas Performance Tester.
Am Standort B habe ich lediglich eine NAS. Am Standort A halt den Backupserver und ein Test PC. Beide im selben Netz.
Wie zu erwarten, sind die Werte so naja. Okay aber das ist eine andere Baustelle. Wo ich keinen Ansatz für finde ist folgendes:
Schreib/Lesegeschwindigkeit Test PC auf NAS am Standort B: Read/Write 18/16 MB/s ( passt zur Geschwindigkeit der Senderseite )
Schreib/Lesegeschwindigkeit Backupserver auf NAS am Standort B: Read/Write 20/0,5 MB/s
Die Werte sind reproduzierbar. Innerhalb des Netzwerkes am Standort A ist der SMB Kopiervorgang einwandfrei.
Habt ihr Ideen wo ich ansetzen kann, warum der eine Server über das VPN so langsam schreibt ?
Mfg Michael
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1574700566
Url: https://administrator.de/contentid/1574700566
Printed on: April 18, 2024 at 00:04 o'clock
33 Comments
Latest comment
Moin...
was hast du den für WAN anbindungen... also Download und Upload Raten?
was ist das für ein VPN... ? also SSL, IPsec.. etc?
was kann deine Sophos für einen VPN Durchsatz?
Frank
was hast du den für WAN anbindungen... also Download und Upload Raten?
was ist das für ein VPN... ? also SSL, IPsec.. etc?
was kann deine Sophos für einen VPN Durchsatz?
Frank
Welche SMB Version?
Moin,
sämtliche relevanten Informationen, welche Sophos, welche VPN-Performance, welche Leitungsanbindungen etc. wurden einfach weggelassen, da stürzt sogar die Glaskugel ab...
sämtliche relevanten Informationen, welche Sophos, welche VPN-Performance, welche Leitungsanbindungen etc. wurden einfach weggelassen, da stürzt sogar die Glaskugel ab...
Also ich kann verstehen das euch die Infos bzgl. Wan Geschwindigkeiten fehlen . Sind in dem Fall aber irrelevant da dort nicht mein Problem liegt. Mein Problem liegt darin, warum der PC seinen Speed erreicht. Der Backupserver nicht. Obwohl sie im selben Netz sind und durch den selben Tunnel auf dieselbe NAS zugreifen.
Aber gerne trage ich diese Nach.
Standort A : 300Mbit/s
Standort B : 1000Mbit/s
Sophos Site2Site IPSec AES-PFS-256Bit
Standort A : 2x SG210
Standort B : 2x SG230
Aber gerne trage ich diese Nach.
Standort A : 300Mbit/s
Standort B : 1000Mbit/s
Sophos Site2Site IPSec AES-PFS-256Bit
Standort A : 2x SG210
Standort B : 2x SG230
Moin,
sind die WAN Anbindungen symmetrisch?
Die Werte sehen doch gut aus für eine Sophos.
Gruß
Spirit
sind die WAN Anbindungen symmetrisch?
Die Werte sehen doch gut aus für eine Sophos.
Gruß
Spirit
Zitat von @Spirit-of-Eli:
Moin,
sind die WAN Anbindungen symmetrisch?
Die Werte sehen doch gut aus für eine Sophos.
Gruß
Spirit
Moin,
sind die WAN Anbindungen symmetrisch?
Die Werte sehen doch gut aus für eine Sophos.
Gruß
Spirit
Moin moin ,
ja das sind symetrische Glasfaseranschlüsse. Beim TEST PC passen die Werte soweit auch.
Nur beim Server bricht die Schreibgeschwindigkeit komplett weg. 0,5MB/s . Und genau da komme ich nicht weiter.
Der Server ist mit 10Gbit ans Coreswitch angeschlossen und innerhalb des Netzes am Standort B passt die Geschwindigkeit auch . Nur eben nicht wenn ich durch den Tunnel auf das Nas Schreibe.
Aktuell läuft auf den beiden Glasleitungen auch nur dieser Tunnel . Sonst nichts.
Gruss
Prüfe mal ob das PMTU Discovery der beteiligten Devices reibungslos funktioniert und nicht durch Firewalls blockiert wird.
https://de.m.wikipedia.org/wiki/Path_MTU_Discovery
Werden hier nämlich die nötigen ICMP Typen durch die Firewall blockiert kommt es zu starker Paket-Fragmentierung durch eine zu groß gewählte MTU resultierend in sehr niedrigen Datenraten.
Kann man dann leicht anhand der diversen Retransmissions in Wireshark sehen ...
https://de.m.wikipedia.org/wiki/Path_MTU_Discovery
Werden hier nämlich die nötigen ICMP Typen durch die Firewall blockiert kommt es zu starker Paket-Fragmentierung durch eine zu groß gewählte MTU resultierend in sehr niedrigen Datenraten.
Kann man dann leicht anhand der diversen Retransmissions in Wireshark sehen ...
...und für verlässliche TCP und UDP Durchsatzraten dann immer besser Protokoll unabhängig mit iPerf3 messen:
https://iperf.fr/iperf-download.php
https://iperf.fr/iperf-download.php
Nochmal, welche SMB Version nutzt dein Zielshare?
SMB2/3
Von Veeam gibt es ein (hardened) Linux Backup Repository auf Ubuntu, da gibt es dann Veeam Dienste auch auf dem Zielgerät und die Kommunikation läuft zwischen den Diensten, nicht als SMB Share. Das könnte auch ohne WAN Accelerator die Geschwindigkeit steigern (Bin allerdings selbst in der Umsetzung noch nicht so weit das ich das schon aus Erfahrung sagen kann).
Was ist denn das für ein OS auf der NAS und ist die exklusiv für Veeam? Dann könnte man das mal testen.
https://vnote42.net/2020/11/23/new-in-veeam-v11-hardened-repository-immu ...
Was ist denn das für ein OS auf der NAS und ist die exklusiv für Veeam? Dann könnte man das mal testen.
https://vnote42.net/2020/11/23/new-in-veeam-v11-hardened-repository-immu ...
1Zitat von @aqui:
...und für verlässliche TCP und UDP Durchsatzraten dann immer besser Protokoll unabhängig mit iPerf3 messen:
https://iperf.fr/iperf-download.php
...und für verlässliche TCP und UDP Durchsatzraten dann immer besser Protokoll unabhängig mit iPerf3 messen:
https://iperf.fr/iperf-download.php
Hallo Aqui,
ich weiss. Vom Handling her war es halt einfacher als erstmal n Docker Container auf der NAS zu erstellen.
Hab es aber mal gemacht.
Test PC > NAS = 0.0- 5.0 sec 108 MBytes 21.5 MBytes/sec
Server > NAS = 0.0- 5.0 sec 4.81 MBytes 0.96 MBytes/sec
Das muss irgend etwas mit dem Server zu tun haben. Ich weiss nur nicht wo ich anfangen soll.
Gruss
Zitat von @149569:
Prüfe mal ob das PMTU Discovery der beteiligten Devices reibungslos funktioniert und nicht durch Firewalls blockiert wird.
https://de.m.wikipedia.org/wiki/Path_MTU_Discovery
Werden hier nämlich die nötigen ICMP Typen durch die Firewall blockiert kommt es zu starker Paket-Fragmentierung durch eine zu groß gewählte MTU resultierend in sehr niedrigen Datenraten.
Kann man dann leicht anhand der diversen Retransmissions in Wireshark sehen ...
Prüfe mal ob das PMTU Discovery der beteiligten Devices reibungslos funktioniert und nicht durch Firewalls blockiert wird.
https://de.m.wikipedia.org/wiki/Path_MTU_Discovery
Werden hier nämlich die nötigen ICMP Typen durch die Firewall blockiert kommt es zu starker Paket-Fragmentierung durch eine zu groß gewählte MTU resultierend in sehr niedrigen Datenraten.
Kann man dann leicht anhand der diversen Retransmissions in Wireshark sehen ...
Firewalls sind Testweise deaktiviert.
Das hier habe ich auch mal geschaut:
https://support.microsoft.com/de-de/topic/empfohlene-tcp-ip-einstellunge ...
Ist der Firewall ist auch : Support path MTU discovery aktiviert.
Habe den "Fehler" in sofern eingrenzen können , das es an den 10Gbit Netzwerkschnittstellen des Servers liegt.
Habe mal eine 1Gbit Netzwerkkarte angeschlossen und erreiche dann auch dieselben Werte wie mein Test PC.
Was habe ich gemacht:
- Link Aggregation ( LACP ) aufgelöst
- Treiber der Netzwerkkarte aktualisiert ( Intel X550-T2 )
Habe mal eine 1Gbit Netzwerkkarte angeschlossen und erreiche dann auch dieselben Werte wie mein Test PC.
Was habe ich gemacht:
- Link Aggregation ( LACP ) aufgelöst
- Treiber der Netzwerkkarte aktualisiert ( Intel X550-T2 )
Hi,
welches VPN hast Du da? IPsec oder SSL-VPN? Wenn SSL, dann über TCP oder UDP? Kannst Du hier in der Sophos sehen:
Site2Site-VPN -> SSL -> Settings -> Protocol
Erstmal sollte das auf UDP stehen, da TCP eine grottige Performance hat.
Und hast Du dann unter
Network Protection -> Intrusion Prevention -> Anti-DDos/Flood Protection
TCP Flood Protection und/oder
UDP Flood Protection
eingeschaltet? Je nachdem, welches Protokoll Du oben ausgewählt hast. Wenn ja, schalte hier die Flood Protection aus.
cu,
ipzipzap
welches VPN hast Du da? IPsec oder SSL-VPN? Wenn SSL, dann über TCP oder UDP? Kannst Du hier in der Sophos sehen:
Site2Site-VPN -> SSL -> Settings -> Protocol
Erstmal sollte das auf UDP stehen, da TCP eine grottige Performance hat.
Und hast Du dann unter
Network Protection -> Intrusion Prevention -> Anti-DDos/Flood Protection
TCP Flood Protection und/oder
UDP Flood Protection
eingeschaltet? Je nachdem, welches Protokoll Du oben ausgewählt hast. Wenn ja, schalte hier die Flood Protection aus.
cu,
ipzipzap
Das muss irgend etwas mit dem Server zu tun haben.
Da hast du Recht, das ist dann nicht das Netzwerk. 103 MByte/s ist ja ca. 800 Mbit/s. 21 dann ca. 170 Mbit. Leider weiss man ja nicht welcher der o.a. zahllosen Werte nun gültig ist bzw. wirklich gemessen wirde. 
Zitat von @aqui:
Das muss irgend etwas mit dem Server zu tun haben.
Da hast du Recht, das ist dann nicht das Netzwerk. 103 MByte/s ist ja ca. 800 Mbit/s. 21 dann ca. 170 Mbit. Leider weiss man ja nicht welcher der o.a. zahllosen Werte nun gültig ist bzw. wirklich gemessen wirde. Diese hier mit iPerf. Hab mir doch noch die Mühe gemacht auf das NAS ein iPerf3 Docker zu installieren.
Test PC > NAS = 0.0- 5.0 sec 108 MBytes 21.5 MBytes/sec
Server > NAS = 0.0- 5.0 sec 4.81 MBytes 0.96 MBytes/sec
Gruss
Moin
welches VPN hast Du da? IPsec oder SSL-VPN? Wenn SSL, dann über TCP oder UDP? Kannst Du hier in der Sophos sehen:
IPSec
Site2Site-VPN -> SSL -> Settings -> Protocol
Erstmal sollte das auf UDP stehen, da TCP eine grottige Performance hat.
Und hast Du dann unter
Network Protection -> Intrusion Prevention -> Anti-DDos/Flood Protection
TCP Flood Protection und/oder
UDP Flood Protection
eingeschaltet? Je nachdem, welches Protokoll Du oben ausgewählt hast. Wenn ja, schalte hier die Flood Protection aus.
Erstmal sollte das auf UDP stehen, da TCP eine grottige Performance hat.
Und hast Du dann unter
Network Protection -> Intrusion Prevention -> Anti-DDos/Flood Protection
TCP Flood Protection und/oder
UDP Flood Protection
eingeschaltet? Je nachdem, welches Protokoll Du oben ausgewählt hast. Wenn ja, schalte hier die Flood Protection aus.
Hatte Testweise das komplette IPS aus auf beiden Seiten. Aber ist wie schon geschrieben auch nicht mein Primärproblem
cu,
ipzipzap
ipzipzap
Gruss
Hatte Testweise das komplette IPS aus auf beiden Seiten. Aber ist wie schon geschrieben auch nicht mein Primärproblem
IPS ist nicht Flood Protection, d.h. die bleibt aktiv, wenn du IPS abschaltest. Flood Protection mußt du separat abschalten.
cu,
ipzipzap
Hab mir doch noch die Mühe gemacht auf das NAS ein iPerf3 Docker zu installieren
Ist eigentlich überflüssig, denn das hätte man auch direkt im Linux Unterbau laufen lassen können. Docker usw. verfälscht durch seinen Software Überbau wieder diese Netto Durchsatzwerte. Aber egal gibt je jetzt wenigstens einen verlässlichen Wert was mehr oder minder netto möglich ist.Unklar ist allerdings WAS diese beiden Werte aussagen sollen. RX oder TX oder was soll das sein ?
Auf der anderen Seite sind diese Wert recht armselig abgesehen von den 108 MB was ca. 850 Mbit ist. Das wäre der einzig realistische Wert für ein Gigabit LAN.
Alle anderen sind mehr als mickrig und deuten auf massive Fehler in der Infrastruktur oder auf den Endgeräten hin.
Zitat von @itisnapanto:
Habe den "Fehler" in sofern eingrenzen können , das es an den 10Gbit Netzwerkschnittstellen des Servers liegt.
Habe mal eine 1Gbit Netzwerkkarte angeschlossen und erreiche dann auch dieselben Werte wie mein Test PC.
Was habe ich gemacht:
- Link Aggregation ( LACP ) aufgelöst
- Treiber der Netzwerkkarte aktualisiert ( Intel X550-T2 )
Habe den "Fehler" in sofern eingrenzen können , das es an den 10Gbit Netzwerkschnittstellen des Servers liegt.
Habe mal eine 1Gbit Netzwerkkarte angeschlossen und erreiche dann auch dieselben Werte wie mein Test PC.
Was habe ich gemacht:
- Link Aggregation ( LACP ) aufgelöst
- Treiber der Netzwerkkarte aktualisiert ( Intel X550-T2 )
Liegt also nicht am VPN, sondern deiner Hardware/Treiber/LAG-Switchconfig
Zitat von @aqui:
Unklar ist allerdings WAS diese beiden Werte aussagen sollen. RX oder TX oder was soll das sein ?
Auf der anderen Seite sind diese Wert recht armselig abgesehen von den 108 MB was ca. 850 Mbit ist. Das wäre der einzig realistische Wert für ein Gigabit LAN.
Alle anderen sind mehr als mickrig und deuten auf massive Fehler in der Infrastruktur oder auf den Endgeräten hin.
Hab mir doch noch die Mühe gemacht auf das NAS ein iPerf3 Docker zu installieren
Ist eigentlich überflüssig, denn das hätte man auch direkt im Linux Unterbau laufen lassen können. Docker usw. verfälscht durch seinen Software Überbau wieder diese Netto Durchsatzwerte. Aber egal gibt je jetzt wenigstens einen verlässlichen Wert was mehr oder minder netto möglich ist.Unklar ist allerdings WAS diese beiden Werte aussagen sollen. RX oder TX oder was soll das sein ?
Auf der anderen Seite sind diese Wert recht armselig abgesehen von den 108 MB was ca. 850 Mbit ist. Das wäre der einzig realistische Wert für ein Gigabit LAN.
Alle anderen sind mehr als mickrig und deuten auf massive Fehler in der Infrastruktur oder auf den Endgeräten hin.
Ja das ist mir soweit bewusst und bestrebt den Fehler zu finden. Messwerte sind reproduzierbar. Ob mit iPerf oder sonst ein Programm.
De facto ist es wie folgt. Läuft der Server mit der 10G Karte an einem 1G SFP Gbic am Switch > soweit alles i.O.
Läuft der Server mit der 10G Karte an einem 10G SFP am Switch > Übertragungsrate mist. MTU Size habe ich auch schon gecheckt und soweit testweise gesenkt , das dort auch nicht mehr das DF Flag auftaucht beim Ping.
Test PC > NAS = 0.0- 5.0 sec 10,8 MBytes 21.5 MBytes/sec
Server > NAS = 0.0- 5.0 sec 4.81 MBytes 0.96 MBytes/sec
Messwerte mal um ein Komma erweitert... Sorry .
Zitat von @149569:
Liegt also nicht am VPN, sondern deiner Hardware/Treiber/LAG-Switchconfig
Zitat von @itisnapanto:
Habe den "Fehler" in sofern eingrenzen können , das es an den 10Gbit Netzwerkschnittstellen des Servers liegt.
Habe mal eine 1Gbit Netzwerkkarte angeschlossen und erreiche dann auch dieselben Werte wie mein Test PC.
Was habe ich gemacht:
- Link Aggregation ( LACP ) aufgelöst
- Treiber der Netzwerkkarte aktualisiert ( Intel X550-T2 )
Habe den "Fehler" in sofern eingrenzen können , das es an den 10Gbit Netzwerkschnittstellen des Servers liegt.
Habe mal eine 1Gbit Netzwerkkarte angeschlossen und erreiche dann auch dieselben Werte wie mein Test PC.
Was habe ich gemacht:
- Link Aggregation ( LACP ) aufgelöst
- Treiber der Netzwerkkarte aktualisiert ( Intel X550-T2 )
Liegt also nicht am VPN, sondern deiner Hardware/Treiber/LAG-Switchconfig
Richtig.
Treiber hab ich natürlich aktuelle von Intel . LAG komplett deaktiviert und im Moment läuft der Server nur an 1 Port vom Switch.
Zitat von @itisnapanto:
Treiber hab ich natürlich aktuelle von Intel . LAG komplett deaktiviert und im Moment läuft der Server nur an 1 Port vom Switch.
Zeichne doch als erstes mal einen kurzen Wireshark Trace auf während du so einen Transfer durchführst. Daraus sollte man hier bestimmt weitere Schlüsse ziehen können.Treiber hab ich natürlich aktuelle von Intel . LAG komplett deaktiviert und im Moment läuft der Server nur an 1 Port vom Switch.
Ach ja und in den erweiterten Treiber-Einstellungen der NIC mal die Large Send Offload-Features temporär deaktivieren.
Guckst du dazu mal hier rein: VPN - Upload langsam
Guckst du dazu mal hier rein: VPN - Upload langsam
Zitat von @149569:
Zitat von @itisnapanto:
Treiber hab ich natürlich aktuelle von Intel . LAG komplett deaktiviert und im Moment läuft der Server nur an 1 Port vom Switch.
Zeichne doch als erstes mal einen kurzen Wireshark Trace auf während du so einen Transfer durchführst. Daraus sollte man hier bestimmt weitere Schlüsse ziehen können.Treiber hab ich natürlich aktuelle von Intel . LAG komplett deaktiviert und im Moment läuft der Server nur an 1 Port vom Switch.
Werde ich am We mal machen.
Zitat von @149569:
Ach ja und in den erweiterten Treiber-Einstellungen der NIC mal die Large Send Offload-Features temporär deaktivieren.
Guckst du dazu mal hier rein: VPN - Upload langsam
Ach ja und in den erweiterten Treiber-Einstellungen der NIC mal die Large Send Offload-Features temporär deaktivieren.
Guckst du dazu mal hier rein: VPN - Upload langsam
Leider unverändert.
Reboot nach solchen Umstellungen tut meistens gut.
Läuft der Server mit der 10G Karte an einem 10G SFP am Switch
Hast du Jumbo Framing auf dem Switch UND Server NIC aktiviert ?! Wenn nicht, unbedingt machen. (Manche Switches erfordern dafür einen Reboot !)Messwerte mal um ein Komma erweitert...
WO ist denn das Komma und vor allem: WAS bedeuten diese 2 Werte ?? Einmal mit Sonnenschein und einmal bei Regen ?Zitat von @149569:
Reboot nach solchen Umstellungen tut meistens gut.
Reboot nach solchen Umstellungen tut meistens gut.
Leider unverändert.
Zitat von @aqui:
Läuft der Server mit der 10G Karte an einem 10G SFP am Switch
Hast du Jumbo Framing auf dem Switch UND Server NIC aktiviert ?! Wenn nicht, unbedingt machen. (Manche Switches erfordern dafür einen Reboot !)Messwerte mal um ein Komma erweitert...
WO ist denn das Komma und vor allem: WAS bedeuten diese 2 Werte ?? Einmal mit Sonnenschein und einmal bei Regen ?Guten Morgen,
Jumboframes sind nicht aktiviert. Werde ich die Tage Abends mal testen. Dennoch komisch, das die Werte beim PC soweit passen, beim Server nicht.
Hier nochmal aktuelle richtige Werte mit iPerf. War ein wenig stressig letzte Woche:
Server > VPN > NAS = 0.73 MBytes/sec
PC > VPN > NAS = 25.4 MBytes/sec
Gruss
Jumboframes sind nicht aktiviert.
Ein Fehler ! Solte auf Gig Switches und ganz besonders auf N-Base T bzw. 10G oder 40G Switches immer aktiviert werden.Denk dran das Jumbo Support immer beideitig ist. Es muss also auch auf NIC Seite aktiviert sein.
beim PC soweit passen, beim Server nicht.
Zeigt das an dess NIC etwas faul ist. Meist ist es der Treiber oder das Customizing. Treiber sollten immer vom Chipsatz Hersteller der NIC direkt kommen ! Niemals sollt eman die embeddeten nehmen.
Wenns das denn nun war bitte dann auch den Thread als erledigt schliessen !
How can I mark a post as solved?
How can I mark a post as solved?
