Übertragungsgeschwindigkeit zwischen Client und Server über VPN
Hallo Zusammen,
folgende Konstellation:
Sophos XGS an Standort 1
Sophos XGS an Standort 2
Tunnel ist ein Site to Site Tunnel über IPSec.
Übertragungsrate von Standort 1 nach Standort 2: Upload vom Client auf den Server: Gemessen mit Iperf: 0 Kbit
Übertragungsrate von Standort 2 nach Standort 1: Upload vom Server auf den Client: Gemessen mit Iperf: 50-80 Megabyte/s
Tunnel wurde komplett neu gemacht. XGS an Standort 1 wurde vollständig resettet und nur der Tunnel erstellt + LAN + WAN konfiguriert. Kein Unterschied.
Zweite XG wurde an Standort 1 angeschlossen und getestet - gleiches Ergebnis.
Standort 1 intern läuft alles sauber.
Internetanbindung an beiden Standorten 600mbit synchron.
Laut Versatel Messung alles sauber. Breitbandmessung am Modem direkt oder über den Switch an Standort 1 schwankend aber, in der Regel kaum mehr als 300mbit/s.
Dennoch sollte ein Upload irgendwie möglich sein vom Standort 2 nach Standort 1.
Weiterhin wurde gemessen: Standort 1 zu Standort X - Funktioniert
Standort X zu Standort 2 - Funktioniert
Any Ideas?
Grüße
folgende Konstellation:
Sophos XGS an Standort 1
Sophos XGS an Standort 2
Tunnel ist ein Site to Site Tunnel über IPSec.
Übertragungsrate von Standort 1 nach Standort 2: Upload vom Client auf den Server: Gemessen mit Iperf: 0 Kbit
Übertragungsrate von Standort 2 nach Standort 1: Upload vom Server auf den Client: Gemessen mit Iperf: 50-80 Megabyte/s
Tunnel wurde komplett neu gemacht. XGS an Standort 1 wurde vollständig resettet und nur der Tunnel erstellt + LAN + WAN konfiguriert. Kein Unterschied.
Zweite XG wurde an Standort 1 angeschlossen und getestet - gleiches Ergebnis.
Standort 1 intern läuft alles sauber.
Internetanbindung an beiden Standorten 600mbit synchron.
Laut Versatel Messung alles sauber. Breitbandmessung am Modem direkt oder über den Switch an Standort 1 schwankend aber, in der Regel kaum mehr als 300mbit/s.
Dennoch sollte ein Upload irgendwie möglich sein vom Standort 2 nach Standort 1.
Weiterhin wurde gemessen: Standort 1 zu Standort X - Funktioniert
Standort X zu Standort 2 - Funktioniert
Any Ideas?
Grüße
Please also mark the comments that contributed to the solution of the article
Content-ID: 6098747810
Url: https://administrator.de/contentid/6098747810
Printed on: December 12, 2024 at 18:12 o'clock
24 Comments
Latest comment
Moin...
da kann etwas nicht stimmen!
von was für modems reden wir?
Frank
Internetanbindung an beiden Standorten 600mbit synchron.
ok..Laut Versatel Messung alles sauber. Breitbandmessung am Modem direkt oder über den Switch an Standort 1 > schwankend aber, in der Regel kaum mehr als 300mbit/s.
das kann nicht sein, wenn Versatel 600mbit liefern soll, müssen da auch 600 ankommen, in der regel etwas mehr!da kann etwas nicht stimmen!
von was für modems reden wir?
Frank
Hallo,
Fragen:
- Was für Modelle
- Welche Firmware
- Wie sieht die VPN Konfiguration aus (Verschlüsselung, Netzbeziehungen, etc.)
- Wie sehen die Firewall-Regelwerke zu den VPN-Verbindungen aus?
- Wie steht es um App-Control, IPS/IDS, etc.
- Wie sieht es mit MTU-Sizes aus - gibt Versatel da etwas vor?
VG,
Florian
Fragen:
- Was für Modelle
- Welche Firmware
- Wie sieht die VPN Konfiguration aus (Verschlüsselung, Netzbeziehungen, etc.)
- Wie sehen die Firewall-Regelwerke zu den VPN-Verbindungen aus?
- Wie steht es um App-Control, IPS/IDS, etc.
- Wie sieht es mit MTU-Sizes aus - gibt Versatel da etwas vor?
VG,
Florian
Gemessen mit Iperf: 0 Kbit
Aber generelle IP Connectivity übers VPN (Ping, Traceroute etc.) ist vorhanden?Tunnel MTU und auch MSS entsprechend gesetzt um Fragmentierung zu verhindern?
Internetanbindung an beiden Standorten 600mbit synchron.
Du meinst sicher "symetrisch", oder? Synchron gibts da irgendwie nicht. an Standort 1 schwankend aber, in der Regel kaum mehr als 300mbit/s.
Wenn 600 Mbit/s vertraglich zugesichert sind wie erklärt sich das der Techniker vor Ort das nur 50% ankommt?
Tunnel MTU, MSS???
Wo soll das denn sein? Habe auch eine XGS und Site-2-Site VPN über IPSec aber dort gibt es das nicht.
Man erstellt eine IPsec Verbindung, gibt beide GWs, IDs und Subnetze ein und weist eine Policy zu für die Verschlüsselung. Dann eine Firewall-Regel damit der Traffic auch raus/rein darf.
Wo soll das denn sein? Habe auch eine XGS und Site-2-Site VPN über IPSec aber dort gibt es das nicht.
Man erstellt eine IPsec Verbindung, gibt beide GWs, IDs und Subnetze ein und weist eine Policy zu für die Verschlüsselung. Dann eine Firewall-Regel damit der Traffic auch raus/rein darf.
Zitat von @DerMaddin:
Ich würde da am Standort 2 erstmal die Firmware auch auf 19.5.0 bringen, nicht das der Wurm genau dort steckt. Wir haben unsere XGS auch erst in den produktiven Betrieb genommen nachdem einige Bugs aus 19.0.1-MR1 gefixt wurden.
Ich würde da am Standort 2 erstmal die Firmware auch auf 19.5.0 bringen, nicht das der Wurm genau dort steckt. Wir haben unsere XGS auch erst in den produktiven Betrieb genommen nachdem einige Bugs aus 19.0.1-MR1 gefixt wurden.
Würde ich auch empfehlen. Hatte mit der 19.0.1-MR1 genau das selbe Phänomen nur in Verbindung mit einem MikroTik. Update auf 19.5.0 und es lief sofort.
Wo soll das denn sein?
Möglich das der Hersteller das automatisch setzt. Das ist dann aber schlecht weil die MTU schwankt je nachdem welche WAN Anschlusstechnik genutzt wird. (PPPoE, GRE Overhead etc.) All das hat Einfluss auf den korrekten Tunnel MTU Wert. Bzw. MSS Wert im lokalen LAN.Passt man das nicht an droht immer Fragmentierung was dann die Tunnelperformance negativ beeinflusst. Die Symptome sehen dann ebenfalls genau so aus wie oben geschildert.
https://www.cisco.com/c/de_de/support/docs/ip/generic-routing-encapsulat ...
Der MTU Wert lässt sich berechnen: https://baturin.org/tools/encapcalc/
Wäre schon sehr verwunderlich wenn das nicht customizebar wäre in der Sophos?!
@aqui MTU und MSS kann man bei einem Interface konfigurieren aber nicht an einer IPsec-Verbindung. Wenn nicht gerade eine DSL-Leitung verwendet wird, wovon ich ausgehe bei 600 Mbit, dann ist Standard mit 1500 schon passend.
dann ist Standard mit 1500 schon passend.
Oha...wenn dem wirklich so wäre, müsste es nach deiner Meinung immer zu einer Fragmentierung kommen. Das ist natürlich Unsinn und deshalb auch keineswegs Praxis bei solchen Interfaces. Die Tunnel MTU darf keinesfalls so groß sein!Richtige MTU Werte für IPsec VPN (VPN Server hinter Router)
https://www.networkworld.com/article/2224654/mtu-size-issues.html
Allein der ESP Header im Tunnel Mode kappt 73 Bytes. Bei PPPoE plus 8 Bytes plus nochmal 4 Bytes bei VDSL Anschlüssen mit VLAN Tag. Die Grundrechenarten kannst du selber und dir dann ausrechnen das eine WAN oder Tunnel MTU von 1500 direkt ins (Fragmentierungs) Verderben führt.
Das sind aber allgemein bekannte Binsenweisheiten. Allein bei PPPoE wären 1500 Byte MTU schon unsinnig.