24
Übertragungsgeschwindigkeit zwischen Client und Server über VPN
Hallo Zusammen,
folgende Konstellation:
Sophos XGS an Standort 1
Sophos XGS an Standort 2
Tunnel ist ein Site to Site Tunnel über IPSec.
Übertragungsrate von Standort 1 nach Standort 2: Upload vom Client auf den Server: Gemessen mit Iperf: 0 Kbit
Übertragungsrate von Standort 2 nach Standort 1: Upload vom Server auf den Client: Gemessen mit Iperf: 50-80 Megabyte/s
Tunnel wurde komplett neu gemacht. XGS an Standort 1 wurde vollständig resettet und nur der Tunnel erstellt + LAN + WAN konfiguriert. Kein Unterschied.
Zweite XG wurde an Standort 1 angeschlossen und getestet - gleiches Ergebnis.
Standort 1 intern läuft alles sauber.
Internetanbindung an beiden Standorten 600mbit synchron.
Laut Versatel Messung alles sauber. Breitbandmessung am Modem direkt oder über den Switch an Standort 1 schwankend aber, in der Regel kaum mehr als 300mbit/s.
Dennoch sollte ein Upload irgendwie möglich sein vom Standort 2 nach Standort 1.
Weiterhin wurde gemessen: Standort 1 zu Standort X - Funktioniert
Standort X zu Standort 2 - Funktioniert
Any Ideas?
Grüße
folgende Konstellation:
Sophos XGS an Standort 1
Sophos XGS an Standort 2
Tunnel ist ein Site to Site Tunnel über IPSec.
Übertragungsrate von Standort 1 nach Standort 2: Upload vom Client auf den Server: Gemessen mit Iperf: 0 Kbit
Übertragungsrate von Standort 2 nach Standort 1: Upload vom Server auf den Client: Gemessen mit Iperf: 50-80 Megabyte/s
Tunnel wurde komplett neu gemacht. XGS an Standort 1 wurde vollständig resettet und nur der Tunnel erstellt + LAN + WAN konfiguriert. Kein Unterschied.
Zweite XG wurde an Standort 1 angeschlossen und getestet - gleiches Ergebnis.
Standort 1 intern läuft alles sauber.
Internetanbindung an beiden Standorten 600mbit synchron.
Laut Versatel Messung alles sauber. Breitbandmessung am Modem direkt oder über den Switch an Standort 1 schwankend aber, in der Regel kaum mehr als 300mbit/s.
Dennoch sollte ein Upload irgendwie möglich sein vom Standort 2 nach Standort 1.
Weiterhin wurde gemessen: Standort 1 zu Standort X - Funktioniert
Standort X zu Standort 2 - Funktioniert
Any Ideas?
Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 6098747810
Url: https://administrator.de/contentid/6098747810
Printed on: April 28, 2024 at 04:04 o'clock
24 Comments
Latest comment
Moin...
da kann etwas nicht stimmen!
von was für modems reden wir?
Frank
Internetanbindung an beiden Standorten 600mbit synchron.
ok..Laut Versatel Messung alles sauber. Breitbandmessung am Modem direkt oder über den Switch an Standort 1 > schwankend aber, in der Regel kaum mehr als 300mbit/s.
das kann nicht sein, wenn Versatel 600mbit liefern soll, müssen da auch 600 ankommen, in der regel etwas mehr!da kann etwas nicht stimmen!
von was für modems reden wir?
Frank
Hallo,
Fragen:
- Was für Modelle
- Welche Firmware
- Wie sieht die VPN Konfiguration aus (Verschlüsselung, Netzbeziehungen, etc.)
- Wie sehen die Firewall-Regelwerke zu den VPN-Verbindungen aus?
- Wie steht es um App-Control, IPS/IDS, etc.
- Wie sieht es mit MTU-Sizes aus - gibt Versatel da etwas vor?
VG,
Florian
Fragen:
- Was für Modelle
- Welche Firmware
- Wie sieht die VPN Konfiguration aus (Verschlüsselung, Netzbeziehungen, etc.)
- Wie sehen die Firewall-Regelwerke zu den VPN-Verbindungen aus?
- Wie steht es um App-Control, IPS/IDS, etc.
- Wie sieht es mit MTU-Sizes aus - gibt Versatel da etwas vor?
VG,
Florian
Zitat von @Vision2015:
Moin...
da kann etwas nicht stimmen!
von was für modems reden wir?
Frank
Moin...
Internetanbindung an beiden Standorten 600mbit synchron.
ok..Laut Versatel Messung alles sauber. Breitbandmessung am Modem direkt oder über den Switch an Standort 1 > schwankend aber, in der Regel kaum mehr als 300mbit/s.
das kann nicht sein, wenn Versatel 600mbit liefern soll, müssen da auch 600 ankommen, in der regel etwas mehr!da kann etwas nicht stimmen!
von was für modems reden wir?
Frank
Also laut Versateltechniker der hier gerade ist, ist alles ok. Iperf zu deren Servern und auch über speedtest.net und fast.com ist alles ok. Nur über Breitbandmessung.de ist es halbiert.
Ist ein Cisco 3650 und ein etx-203ax
Grüße
Wie sind die FW-Regeln auf beiden Seiten? Inbound und Outbound muss gleichermaßen über das VPN-Interface erlaubt sein. Was sagen die Live-Logs dazu?
Iperf zu deren Servern und auch über speedtest.net und fast.com ist alles ok. Nur über Breitbandmessung.de ist es halbiert.
Achte da mal drauf, ob man ggfs. auf "Multithreading" umschalten muss. fast.com macht das automatisch, bei Anbietern wie testmy.net muss man das manuell aktivieren.
1
Gemessen mit Iperf: 0 Kbit
Aber generelle IP Connectivity übers VPN (Ping, Traceroute etc.) ist vorhanden?Tunnel MTU und auch MSS entsprechend gesetzt um Fragmentierung zu verhindern?
Internetanbindung an beiden Standorten 600mbit synchron.
Du meinst sicher "symetrisch", oder? Synchron gibts da irgendwie nicht. 
an Standort 1 schwankend aber, in der Regel kaum mehr als 300mbit/s.
Wenn 600 Mbit/s vertraglich zugesichert sind wie erklärt sich das der Techniker vor Ort das nur 50% ankommt?
Tunnel MTU, MSS???
Wo soll das denn sein? Habe auch eine XGS und Site-2-Site VPN über IPSec aber dort gibt es das nicht.
Man erstellt eine IPsec Verbindung, gibt beide GWs, IDs und Subnetze ein und weist eine Policy zu für die Verschlüsselung. Dann eine Firewall-Regel damit der Traffic auch raus/rein darf.
Wo soll das denn sein? Habe auch eine XGS und Site-2-Site VPN über IPSec aber dort gibt es das nicht.
Man erstellt eine IPsec Verbindung, gibt beide GWs, IDs und Subnetze ein und weist eine Policy zu für die Verschlüsselung. Dann eine Firewall-Regel damit der Traffic auch raus/rein darf.
So, sorry. Hat etwas gedauert:
VG,
Florian
Zitat von @110135:
Hallo,
Fragen:
- Was für Modelle
Standort 1: XGS 116 Standort 2: XG310Hallo,
Fragen:
- Was für Modelle
- Welche Firmware
Standort 1: SFOS 19.5.0 GA-Build197 Standort 2: SFOS 19.0.1 MR-1-Build365- Wie sieht die VPN Konfiguration aus (Verschlüsselung, Netzbeziehungen, etc.)
IKEv2, AES 256, DH 14, Netze sind nur jeweils die Netze von Standort 1 und Standort 2 drin- Wie sehen die Firewall-Regelwerke zu den VPN-Verbindungen aus?
Wurden automatisch angelegt beim erstellen des Tunnels also any any any- Wie steht es um App-Control, IPS/IDS, etc.
Haben wir testweise schon vollkommen deaktiviert.- Wie sieht es mit MTU-Sizes aus - gibt Versatel da etwas vor?
Nein, so weit ich weiß alles Standartwerte.VG,
Florian
Zitat von @DerMaddin:
Wie sind die FW-Regeln auf beiden Seiten? Inbound und Outbound muss gleichermaßen über das VPN-Interface erlaubt sein. Was sagen die Live-Logs dazu?
Wie sind die FW-Regeln auf beiden Seiten? Inbound und Outbound muss gleichermaßen über das VPN-Interface erlaubt sein. Was sagen die Live-Logs dazu?
ist erlaubt. Laut der Logs ist alles toll. Wird nichts geblockt
Zitat von @aqui:
Ja, ich kann pingen und ich kann auch zugreifen, aber selbst das Verbindungsfenster wegen Benutzerdaten braucht sehr lange von Standort 1 zu Standort 2. Umgekehrt geht es wesentlich schneller. Aber spätestens, wenn ich versuche auf den Server zuzugreifen oder gar versuche dort etwas hinzukopieren geht gar nichts. Andersrum komme ich immerhin auf 12-20 Megabyte/s.Gemessen mit Iperf: 0 Kbit
Aber generelle IP Connectivity übers VPN (Ping, Traceroute etc.) ist vorhanden?Tunnel MTU und auch MSS entsprechend gesetzt um Fragmentierung zu verhindern?
Habe ich nichts dran geändert. Sind also alles Standardwerte.Internetanbindung an beiden Standorten 600mbit synchron.
Du meinst sicher "symetrisch", oder? Synchron gibts da irgendwie nicht. an Standort 1 schwankend aber, in der Regel kaum mehr als 300mbit/s.
Wenn 600 Mbit/s vertraglich zugesichert sind wie erklärt sich das der Techniker vor Ort das nur 50% ankommt?
Ich würde da am Standort 2 erstmal die Firmware auch auf 19.5.0 bringen, nicht das der Wurm genau dort steckt. Wir haben unsere XGS auch erst in den produktiven Betrieb genommen nachdem einige Bugs aus 19.0.1-MR1 gefixt wurden.
Zitat von @DerMaddin:
Ich würde da am Standort 2 erstmal die Firmware auch auf 19.5.0 bringen, nicht das der Wurm genau dort steckt. Wir haben unsere XGS auch erst in den produktiven Betrieb genommen nachdem einige Bugs aus 19.0.1-MR1 gefixt wurden.
Ich würde da am Standort 2 erstmal die Firmware auch auf 19.5.0 bringen, nicht das der Wurm genau dort steckt. Wir haben unsere XGS auch erst in den produktiven Betrieb genommen nachdem einige Bugs aus 19.0.1-MR1 gefixt wurden.
Würde ich auch empfehlen. Hatte mit der 19.0.1-MR1 genau das selbe Phänomen nur in Verbindung mit einem MikroTik. Update auf 19.5.0 und es lief sofort.
Wo soll das denn sein?
Möglich das der Hersteller das automatisch setzt. Das ist dann aber schlecht weil die MTU schwankt je nachdem welche WAN Anschlusstechnik genutzt wird. (PPPoE, GRE Overhead etc.) All das hat Einfluss auf den korrekten Tunnel MTU Wert. Bzw. MSS Wert im lokalen LAN.Passt man das nicht an droht immer Fragmentierung was dann die Tunnelperformance negativ beeinflusst. Die Symptome sehen dann ebenfalls genau so aus wie oben geschildert.
https://www.cisco.com/c/de_de/support/docs/ip/generic-routing-encapsulat ...
Der MTU Wert lässt sich berechnen: https://baturin.org/tools/encapcalc/
Wäre schon sehr verwunderlich wenn das nicht customizebar wäre in der Sophos?!
Zitat von @Razer1:
Würde ich auch empfehlen. Hatte mit der 19.0.1-MR1 genau das selbe Phänomen nur in Verbindung mit einem MikroTik. Update auf 19.5.0 und es lief sofort.
Zitat von @DerMaddin:
Ich würde da am Standort 2 erstmal die Firmware auch auf 19.5.0 bringen, nicht das der Wurm genau dort steckt. Wir haben unsere XGS auch erst in den produktiven Betrieb genommen nachdem einige Bugs aus 19.0.1-MR1 gefixt wurden.
Ich würde da am Standort 2 erstmal die Firmware auch auf 19.5.0 bringen, nicht das der Wurm genau dort steckt. Wir haben unsere XGS auch erst in den produktiven Betrieb genommen nachdem einige Bugs aus 19.0.1-MR1 gefixt wurden.
Würde ich auch empfehlen. Hatte mit der 19.0.1-MR1 genau das selbe Phänomen nur in Verbindung mit einem MikroTik. Update auf 19.5.0 und es lief sofort.
Kannst du das näher erläutern bitte? Welches Phänomen genau? Mit der Übertragungsgeschwindigkeit?
@aqui MTU und MSS kann man bei einem Interface konfigurieren aber nicht an einer IPsec-Verbindung. Wenn nicht gerade eine DSL-Leitung verwendet wird, wovon ich ausgehe bei 600 Mbit, dann ist Standard mit 1500 schon passend.
Zitat von @DerMaddin:
Ich würde da am Standort 2 erstmal die Firmware auch auf 19.5.0 bringen, nicht das der Wurm genau dort steckt. Wir haben unsere XGS auch erst in den produktiven Betrieb genommen nachdem einige Bugs aus 19.0.1-MR1 gefixt wurden.
Ich würde da am Standort 2 erstmal die Firmware auch auf 19.5.0 bringen, nicht das der Wurm genau dort steckt. Wir haben unsere XGS auch erst in den produktiven Betrieb genommen nachdem einige Bugs aus 19.0.1-MR1 gefixt wurden.
Das Problem ist, dass die alsbald ausgetauscht werden soll und Standort 2 eher der Hauptstandort ist und dort insgesamt 4 weitere Standorte angebunden sind. Wenn da was schief geht, gibt es Prügel
Unsere "Probleme" waren sie miese SSLVPN Geschwindigkeit der Homeoffice User. Wir nutzen Sophos Connect als Client. Teilweise waren da maximal 5-10 MB/s drin trotz 1Gb-Glasfaser. Erst mit neuer Firmware wurde das verbessert, so dass multiple Verbindungen genutzt werden.
Daher vor dem Update die Konfiguration sichern und ein USB-Stick mit dem Recovery zur Hand haben. Das war unsere Vorgehensweise
dann ist Standard mit 1500 schon passend.
Oha...wenn dem wirklich so wäre, müsste es nach deiner Meinung immer zu einer Fragmentierung kommen. Das ist natürlich Unsinn und deshalb auch keineswegs Praxis bei solchen Interfaces. Die Tunnel MTU darf keinesfalls so groß sein!Richtige MTU Werte für IPsec VPN (VPN Server hinter Router)
https://www.networkworld.com/article/2224654/mtu-size-issues.html
Allein der ESP Header im Tunnel Mode kappt 73 Bytes. Bei PPPoE plus 8 Bytes plus nochmal 4 Bytes bei VDSL Anschlüssen mit VLAN Tag. Die Grundrechenarten kannst du selber und dir dann ausrechnen das eine WAN oder Tunnel MTU von 1500 direkt ins (Fragmentierungs) Verderben führt.
Das sind aber allgemein bekannte Binsenweisheiten. Allein bei PPPoE wären 1500 Byte MTU schon unsinnig.
Wir werden morgen Abend einen Neustart durchführen und nochmal besprechen, ob wir das Update gleich mit machen. Mal sehen, ob es dann klappt.
1
Problem gelöst?
Zitat von @Xaero1982:
Wir werden morgen Abend einen Neustart durchführen und nochmal besprechen, ob wir das Update gleich mit machen. Mal sehen, ob es dann klappt.
Wir werden morgen Abend einen Neustart durchführen und nochmal besprechen, ob wir das Update gleich mit machen. Mal sehen, ob es dann klappt.
Zur Info:
Firmwareupdate ist drauf. Neustart wurde durchgeführt.
Externer vom Support hat sich das angesehen und ebenfalls keine Lösung. Geht nun an Sophos direkt.
Wir haben noch einen TCP Dump gemacht. Da gibt es fast nur TCP Retransmission und TCP Out-Of-Order Nachrichten.
Firmwareupdate ist drauf. Neustart wurde durchgeführt.
Externer vom Support hat sich das angesehen und ebenfalls keine Lösung. Geht nun an Sophos direkt.
Wir haben noch einen TCP Dump gemacht. Da gibt es fast nur TCP Retransmission und TCP Out-Of-Order Nachrichten.
Zur Info:
Wir haben nun bei dem IPSec-Tunnel an Standort 2 die Ziel-IP angepasst auf eine andere öffentliche IP dort und es läuft.
Datendurchsatz ist für die Leitung zwar zu mager, aber mal sehen wie es dann mit den neuen XGS ist. Aber grds. kann man nun wieder arbeiten.
Danke fürs Mitdenken
Grüße
Wir haben nun bei dem IPSec-Tunnel an Standort 2 die Ziel-IP angepasst auf eine andere öffentliche IP dort und es läuft.
Datendurchsatz ist für die Leitung zwar zu mager, aber mal sehen wie es dann mit den neuen XGS ist. Aber grds. kann man nun wieder arbeiten.
Danke fürs Mitdenken
Grüße
