xaero1982
Goto Top

Übertragungsgeschwindigkeit zwischen Client und Server über VPN

Hallo Zusammen,

folgende Konstellation:

Sophos XGS an Standort 1
Sophos XGS an Standort 2

Tunnel ist ein Site to Site Tunnel über IPSec.

Übertragungsrate von Standort 1 nach Standort 2: Upload vom Client auf den Server: Gemessen mit Iperf: 0 Kbit
Übertragungsrate von Standort 2 nach Standort 1: Upload vom Server auf den Client: Gemessen mit Iperf: 50-80 Megabyte/s

Tunnel wurde komplett neu gemacht. XGS an Standort 1 wurde vollständig resettet und nur der Tunnel erstellt + LAN + WAN konfiguriert. Kein Unterschied.

Zweite XG wurde an Standort 1 angeschlossen und getestet - gleiches Ergebnis.

Standort 1 intern läuft alles sauber.

Internetanbindung an beiden Standorten 600mbit synchron.

Laut Versatel Messung alles sauber. Breitbandmessung am Modem direkt oder über den Switch an Standort 1 schwankend aber, in der Regel kaum mehr als 300mbit/s.

Dennoch sollte ein Upload irgendwie möglich sein vom Standort 2 nach Standort 1.

Weiterhin wurde gemessen: Standort 1 zu Standort X - Funktioniert
Standort X zu Standort 2 - Funktioniert

Any Ideas?

Grüße

Content-ID: 6098747810

Url: https://administrator.de/contentid/6098747810

Ausgedruckt am: 19.12.2024 um 04:12 Uhr

Vision2015
Vision2015 23.02.2023 um 13:20:43 Uhr
Goto Top
Moin...

Internetanbindung an beiden Standorten 600mbit synchron.
ok..

Laut Versatel Messung alles sauber. Breitbandmessung am Modem direkt oder über den Switch an Standort 1 > schwankend aber, in der Regel kaum mehr als 300mbit/s.
das kann nicht sein, wenn Versatel 600mbit liefern soll, müssen da auch 600 ankommen, in der regel etwas mehr!
da kann etwas nicht stimmen!
von was für modems reden wir?

Frank
110135
110135 23.02.2023 um 13:41:02 Uhr
Goto Top
Hallo,

Fragen:
- Was für Modelle
- Welche Firmware
- Wie sieht die VPN Konfiguration aus (Verschlüsselung, Netzbeziehungen, etc.)
- Wie sehen die Firewall-Regelwerke zu den VPN-Verbindungen aus?
- Wie steht es um App-Control, IPS/IDS, etc.
- Wie sieht es mit MTU-Sizes aus - gibt Versatel da etwas vor?

VG,
Florian
Xaero1982
Xaero1982 23.02.2023 um 13:50:21 Uhr
Goto Top
Zitat von @Vision2015:

Moin...

Internetanbindung an beiden Standorten 600mbit synchron.
ok..

Laut Versatel Messung alles sauber. Breitbandmessung am Modem direkt oder über den Switch an Standort 1 > schwankend aber, in der Regel kaum mehr als 300mbit/s.
das kann nicht sein, wenn Versatel 600mbit liefern soll, müssen da auch 600 ankommen, in der regel etwas mehr!
da kann etwas nicht stimmen!
von was für modems reden wir?

Frank

Also laut Versateltechniker der hier gerade ist, ist alles ok. Iperf zu deren Servern und auch über speedtest.net und fast.com ist alles ok. Nur über Breitbandmessung.de ist es halbiert.

Ist ein Cisco 3650 und ein etx-203ax

Grüße
DerMaddin
DerMaddin 23.02.2023 um 14:45:51 Uhr
Goto Top
Wie sind die FW-Regeln auf beiden Seiten? Inbound und Outbound muss gleichermaßen über das VPN-Interface erlaubt sein. Was sagen die Live-Logs dazu?
Visucius
Visucius 23.02.2023 um 14:53:09 Uhr
Goto Top
Iperf zu deren Servern und auch über speedtest.net und fast.com ist alles ok. Nur über Breitbandmessung.de ist es halbiert.

Achte da mal drauf, ob man ggfs. auf "Multithreading" umschalten muss. fast.com macht das automatisch, bei Anbietern wie testmy.net muss man das manuell aktivieren.
aqui
aqui 23.02.2023 aktualisiert um 15:55:39 Uhr
Goto Top
Gemessen mit Iperf: 0 Kbit
Aber generelle IP Connectivity übers VPN (Ping, Traceroute etc.) ist vorhanden?
Tunnel MTU und auch MSS entsprechend gesetzt um Fragmentierung zu verhindern?
Internetanbindung an beiden Standorten 600mbit synchron.
Du meinst sicher "symetrisch", oder? Synchron gibts da irgendwie nicht. face-wink
an Standort 1 schwankend aber, in der Regel kaum mehr als 300mbit/s.
Wenn 600 Mbit/s vertraglich zugesichert sind wie erklärt sich das der Techniker vor Ort das nur 50% ankommt?
DerMaddin
DerMaddin 23.02.2023 um 16:08:05 Uhr
Goto Top
Tunnel MTU, MSS???

Wo soll das denn sein? Habe auch eine XGS und Site-2-Site VPN über IPSec aber dort gibt es das nicht.
Man erstellt eine IPsec Verbindung, gibt beide GWs, IDs und Subnetze ein und weist eine Policy zu für die Verschlüsselung. Dann eine Firewall-Regel damit der Traffic auch raus/rein darf.
Xaero1982
Xaero1982 23.02.2023 um 16:14:37 Uhr
Goto Top
So, sorry. Hat etwas gedauert:


Zitat von @110135:

Hallo,

Fragen:
- Was für Modelle
Standort 1: XGS 116 Standort 2: XG310
- Welche Firmware
Standort 1: SFOS 19.5.0 GA-Build197 Standort 2: SFOS 19.0.1 MR-1-Build365
- Wie sieht die VPN Konfiguration aus (Verschlüsselung, Netzbeziehungen, etc.)
IKEv2, AES 256, DH 14, Netze sind nur jeweils die Netze von Standort 1 und Standort 2 drin
- Wie sehen die Firewall-Regelwerke zu den VPN-Verbindungen aus?
Wurden automatisch angelegt beim erstellen des Tunnels also any any any
- Wie steht es um App-Control, IPS/IDS, etc.
Haben wir testweise schon vollkommen deaktiviert.
- Wie sieht es mit MTU-Sizes aus - gibt Versatel da etwas vor?
Nein, so weit ich weiß alles Standartwerte.

VG,
Florian
Xaero1982
Xaero1982 23.02.2023 um 16:15:13 Uhr
Goto Top
Zitat von @DerMaddin:

Wie sind die FW-Regeln auf beiden Seiten? Inbound und Outbound muss gleichermaßen über das VPN-Interface erlaubt sein. Was sagen die Live-Logs dazu?

ist erlaubt. Laut der Logs ist alles toll. Wird nichts geblockt face-sad
Xaero1982
Xaero1982 23.02.2023 um 16:18:18 Uhr
Goto Top
Zitat von @aqui:

Gemessen mit Iperf: 0 Kbit
Aber generelle IP Connectivity übers VPN (Ping, Traceroute etc.) ist vorhanden?
Ja, ich kann pingen und ich kann auch zugreifen, aber selbst das Verbindungsfenster wegen Benutzerdaten braucht sehr lange von Standort 1 zu Standort 2. Umgekehrt geht es wesentlich schneller. Aber spätestens, wenn ich versuche auf den Server zuzugreifen oder gar versuche dort etwas hinzukopieren geht gar nichts. Andersrum komme ich immerhin auf 12-20 Megabyte/s.
Tunnel MTU und auch MSS entsprechend gesetzt um Fragmentierung zu verhindern?
Habe ich nichts dran geändert. Sind also alles Standardwerte.
Internetanbindung an beiden Standorten 600mbit synchron.
Du meinst sicher "symetrisch", oder? Synchron gibts da irgendwie nicht. face-wink
Ja, meine ich ... ich hab echt die Backen voll - sorry. Zwei Tage und kein Ergebnis.
an Standort 1 schwankend aber, in der Regel kaum mehr als 300mbit/s.
Wenn 600 Mbit/s vertraglich zugesichert sind wie erklärt sich das der Techniker vor Ort das nur 50% ankommt?
Er sagt es liegt an Breitbandmessung.de. Speedtest.net, Fast.com hat die 600Mbit. Iperf zu den Servern von denen ist ebenfalls bei ~ 600 Mbit.
DerMaddin
DerMaddin 23.02.2023 um 16:20:58 Uhr
Goto Top
Ich würde da am Standort 2 erstmal die Firmware auch auf 19.5.0 bringen, nicht das der Wurm genau dort steckt. Wir haben unsere XGS auch erst in den produktiven Betrieb genommen nachdem einige Bugs aus 19.0.1-MR1 gefixt wurden.
Razer1
Razer1 23.02.2023 um 16:23:30 Uhr
Goto Top
Zitat von @DerMaddin:

Ich würde da am Standort 2 erstmal die Firmware auch auf 19.5.0 bringen, nicht das der Wurm genau dort steckt. Wir haben unsere XGS auch erst in den produktiven Betrieb genommen nachdem einige Bugs aus 19.0.1-MR1 gefixt wurden.

Würde ich auch empfehlen. Hatte mit der 19.0.1-MR1 genau das selbe Phänomen nur in Verbindung mit einem MikroTik. Update auf 19.5.0 und es lief sofort.
aqui
aqui 23.02.2023 aktualisiert um 16:32:58 Uhr
Goto Top
Wo soll das denn sein?
Möglich das der Hersteller das automatisch setzt. Das ist dann aber schlecht weil die MTU schwankt je nachdem welche WAN Anschlusstechnik genutzt wird. (PPPoE, GRE Overhead etc.) All das hat Einfluss auf den korrekten Tunnel MTU Wert. Bzw. MSS Wert im lokalen LAN.
Passt man das nicht an droht immer Fragmentierung was dann die Tunnelperformance negativ beeinflusst. Die Symptome sehen dann ebenfalls genau so aus wie oben geschildert.
https://www.cisco.com/c/de_de/support/docs/ip/generic-routing-encapsulat ...
Der MTU Wert lässt sich berechnen: https://baturin.org/tools/encapcalc/
Wäre schon sehr verwunderlich wenn das nicht customizebar wäre in der Sophos?!
Xaero1982
Xaero1982 23.02.2023 um 16:37:06 Uhr
Goto Top
Zitat von @Razer1:

Zitat von @DerMaddin:

Ich würde da am Standort 2 erstmal die Firmware auch auf 19.5.0 bringen, nicht das der Wurm genau dort steckt. Wir haben unsere XGS auch erst in den produktiven Betrieb genommen nachdem einige Bugs aus 19.0.1-MR1 gefixt wurden.

Würde ich auch empfehlen. Hatte mit der 19.0.1-MR1 genau das selbe Phänomen nur in Verbindung mit einem MikroTik. Update auf 19.5.0 und es lief sofort.

Kannst du das näher erläutern bitte? Welches Phänomen genau? Mit der Übertragungsgeschwindigkeit?
DerMaddin
DerMaddin 23.02.2023 um 16:37:25 Uhr
Goto Top
@aqui MTU und MSS kann man bei einem Interface konfigurieren aber nicht an einer IPsec-Verbindung. Wenn nicht gerade eine DSL-Leitung verwendet wird, wovon ich ausgehe bei 600 Mbit, dann ist Standard mit 1500 schon passend.
Xaero1982
Xaero1982 23.02.2023 um 16:38:37 Uhr
Goto Top
Zitat von @DerMaddin:

Ich würde da am Standort 2 erstmal die Firmware auch auf 19.5.0 bringen, nicht das der Wurm genau dort steckt. Wir haben unsere XGS auch erst in den produktiven Betrieb genommen nachdem einige Bugs aus 19.0.1-MR1 gefixt wurden.

Das Problem ist, dass die alsbald ausgetauscht werden soll und Standort 2 eher der Hauptstandort ist und dort insgesamt 4 weitere Standorte angebunden sind. Wenn da was schief geht, gibt es Prügel face-smile
DerMaddin
DerMaddin 23.02.2023 um 16:39:46 Uhr
Goto Top
Unsere "Probleme" waren sie miese SSLVPN Geschwindigkeit der Homeoffice User. Wir nutzen Sophos Connect als Client. Teilweise waren da maximal 5-10 MB/s drin trotz 1Gb-Glasfaser. Erst mit neuer Firmware wurde das verbessert, so dass multiple Verbindungen genutzt werden.
DerMaddin
DerMaddin 23.02.2023 um 16:40:55 Uhr
Goto Top
Daher vor dem Update die Konfiguration sichern und ein USB-Stick mit dem Recovery zur Hand haben. Das war unsere Vorgehensweise face-wink
aqui
aqui 23.02.2023, aktualisiert am 24.02.2023 um 10:44:20 Uhr
Goto Top
dann ist Standard mit 1500 schon passend.
Oha...wenn dem wirklich so wäre, müsste es nach deiner Meinung immer zu einer Fragmentierung kommen. Das ist natürlich Unsinn und deshalb auch keineswegs Praxis bei solchen Interfaces. Die Tunnel MTU darf keinesfalls so groß sein!
Richtige MTU Werte für IPsec VPN (VPN Server hinter Router)
https://www.networkworld.com/article/2224654/mtu-size-issues.html
Allein der ESP Header im Tunnel Mode kappt 73 Bytes. Bei PPPoE plus 8 Bytes plus nochmal 4 Bytes bei VDSL Anschlüssen mit VLAN Tag. Die Grundrechenarten kannst du selber und dir dann ausrechnen das eine WAN oder Tunnel MTU von 1500 direkt ins (Fragmentierungs) Verderben führt.
Das sind aber allgemein bekannte Binsenweisheiten. Allein bei PPPoE wären 1500 Byte MTU schon unsinnig.
Xaero1982
Xaero1982 23.02.2023 um 19:44:58 Uhr
Goto Top
Wir werden morgen Abend einen Neustart durchführen und nochmal besprechen, ob wir das Update gleich mit machen. Mal sehen, ob es dann klappt.
Razer1
Razer1 24.02.2023 um 12:10:17 Uhr
Goto Top
Problem gelöst?
Xaero1982
Xaero1982 24.02.2023 um 13:56:49 Uhr
Goto Top
Zitat von @Xaero1982:

Wir werden morgen Abend einen Neustart durchführen und nochmal besprechen, ob wir das Update gleich mit machen. Mal sehen, ob es dann klappt.


Zitat von @Razer1:

Problem gelöst?

face-smile
Xaero1982
Xaero1982 24.02.2023 aktualisiert um 21:53:48 Uhr
Goto Top
Zur Info:
Firmwareupdate ist drauf. Neustart wurde durchgeführt.

Externer vom Support hat sich das angesehen und ebenfalls keine Lösung. Geht nun an Sophos direkt.

Wir haben noch einen TCP Dump gemacht. Da gibt es fast nur TCP Retransmission und TCP Out-Of-Order Nachrichten.
Xaero1982
Lösung Xaero1982 24.02.2023 um 23:44:30 Uhr
Goto Top
Zur Info:

Wir haben nun bei dem IPSec-Tunnel an Standort 2 die Ziel-IP angepasst auf eine andere öffentliche IP dort und es läuft.

Datendurchsatz ist für die Leitung zwar zu mager, aber mal sehen wie es dann mit den neuen XGS ist. Aber grds. kann man nun wieder arbeiten.

Danke fürs Mitdenken face-smile

Grüße