berggg
22.01.2021
view4769
view11
0
Goto Top

VPN RDP Performance

gelöstFrageSicherheitFirewall
Hey,

wir haben eine Sophos XG (1GBit sync), über welche sich unsere User ins Netzwerk einwählen SSL VPN (zwischen 30 und 120 Benutzer).
Nach dem Einwählen, gehen diese über:
1. RDP auf ihre Clients z.b. mstsc auf CL-001
2. RDP auf Terminalserver
3. Haben Firmennotebooks, welche in der Domäne sind und alle Programme installiert haben.

Bei 1. haben wir das Problem, dass es immer wieder Performance Probleme gibt.
Mir ist klar, dass dies keine Saubere Lösung ist, für RDP-CALs und Notebooks sieht das Budget aber gerade schlecht aus...

Ich kann auf Firewall und Switchen keine zu große Auslastung feststellen.

Habt ihr mir einen Tipp?

Gruß Johannes
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 643471

Url: https://administrator.de/contentid/643471

Ausgedruckt am: 19.11.2024 um 09:11 Uhr

11 Kommentare
Neuester Kommentar
Goto Top
NordicMike
NordicMike 22.01.2021 um 15:01:34 Uhr
Goto Top
Das kann an allem liegen. Da du es nicht näher beschrieben hast, würde ich jetzt einfach mal festpinnen: DSL Leitung zu klein für 120 Benutzer :c)
psannz
psannz 22.01.2021 um 15:14:02 Uhr
Goto Top
Sers,

Fragen vorneweg:
  1. Verwendet ihr für das SSL VPN eurer Sophos XG TCP oder UDP?
  2. Habt ihr für RDP wenigstens die Nutzung von UDP auf den Hosts (Terminalserver, Clients) erlaubt?

Warum? RDP funktioniert über WAN erst dann richtig flüssig, wenn es UDP nutzen darf. Ist einfach eine Latenzfrage. Wenn du jetzt doch ein TCP basiertes SSL VPN oben drauf packst, dann hast du vereinfacht die 3-4fache Latenz im Vergleich zu einer UDP-UDP Lösung.
Berggg
Berggg 22.01.2021 aktualisiert um 15:29:13 Uhr
Goto Top
@NordicMike

Teilweise verlieren User die RDP Verbindung, VPN Verbindung steht aber noch.
Teilweise ist die RDP Session etwas ruckelig.
Inf1d3l
Inf1d3l 22.01.2021 um 15:37:05 Uhr
Goto Top
Die Frage ist, welche Leitung habt ihr und welche XG... kann ja sein, dass der VPN-Durchsatz der Firewall nicht reicht.
Berggg
Berggg 22.01.2021 um 15:37:07 Uhr
Goto Top
Zitat von @psannz:

Sers,

Fragen vorneweg:
  1. Verwendet ihr für das SSL VPN eurer Sophos XG TCP oder UDP?
  2. Habt ihr für RDP wenigstens die Nutzung von UDP auf den Hosts (Terminalserver, Clients) erlaubt?

Warum? RDP funktioniert über WAN erst dann richtig flüssig, wenn es UDP nutzen darf. Ist einfach eine Latenzfrage. Wenn du jetzt doch ein TCP basiertes SSL VPN oben drauf packst, dann hast du vereinfacht die 3-4fache Latenz im Vergleich zu einer UDP-UDP Lösung.


Aktuell TCP. Ich hatte es am Wochenende als Test umgestellt und keine großartige Änderung der Performance erkennen können.
RDP ist UDP und TCP erlaubt.
Berggg
Berggg 22.01.2021 um 15:38:20 Uhr
Goto Top
Zitat von @Inf1d3l:

Die Frage ist, welche Leitung habt ihr und welche XG... kann ja sein, dass der VPN-Durchsatz der Firewall nicht reicht.

Wir haben die XG310.
Gibt es einen Standardwert pro User für Office Tätigkeiten?
Inf1d3l
Inf1d3l 22.01.2021 aktualisiert um 16:01:12 Uhr
Goto Top
Guck dir mal auch die CPU-Auslastung der Firewall an (nicht nur die Netzwerkauslastung). Man kann die RDP-Performance auch verbessern, indem man an den Qualitätseinstellungen herumschraubt.
em-pie
em-pie 22.01.2021 aktualisiert um 18:48:30 Uhr
Goto Top
Moin,
Zitat von @Berggg:
Hey,
wir haben eine Sophos XG (1GBit sync), über welche sich unsere User ins Netzwerk einwählen SSL VPN (zwischen 30 und 120 Benutzer).
Na dann ist die Leitung zumindest stabil. Habt ihr denn auch 1Gbit/s am WAN im Upload verfügbar, sprich, sind die 1GBit/s symmetrisch?

Falls ja: ist meine Rechnung folgende
1GBit/s = 1024MBit/s
1024MBit/ s : 120User (Maximum) = 8,53MBit/s pro User - Brutto
Da steckt noch Overhead für die ganzen Protokolle drin (ETHERNET, IP, TCP/ UDP, VPN, RDP) Da purzelt am Ende irgend etwas zwischen 800 und 900 KByte/s heraus
Ob das für RDP ausreicht, kann ich gerade nicht sagen, das habe ich in solchen Massen noch nicht getestet. Selbst wenn RDP komprimiert könnte das knapp werden. Ich hoffe, die Leute telefonieren nicht auch noch über die Strecken!?

Nach dem Einwählen, gehen diese über:
1. RDP auf ihre Clients z.b. mstsc auf CL-001
2. RDP auf Terminalserver
3. Haben Firmennotebooks, welche in der Domäne sind und alle Programme installiert haben.
Heißt was? Die arbeiten per VPN direkt vom Laptop zuhause und ziehen Dateien etc. über die Leitung?

Bei 1. haben wir das Problem, dass es immer wieder Performance Probleme gibt.
Mir ist klar, dass dies keine Saubere Lösung ist, für RDP-CALs und Notebooks sieht das Budget aber gerade schlecht aus...
Ich kann auf Firewall und Switchen keine zu große Auslastung feststellen.
Wo hast du dir die Firewall angeschaut? RAM, CPU, Up- bzw. Download der WAN-Leitung?

Habt ihr mir einen Tipp?
Gruß Johannes


Gruß
em-pie
IT-Spezi
Lösung IT-Spezi 24.01.2021 um 12:36:36 Uhr
Goto Top
Zitat von @Berggg:
wir haben eine Sophos XG (1GBit sync), über welche sich unsere User ins Netzwerk einwählen SSL VPN (zwischen 30 und 120 Benutzer).
Nach dem Einwählen, gehen diese über:
1. RDP auf ihre Clients z.b. mstsc auf CL-001
Was meinst Du damit? Arbeiten die Clients per RDP auf CL(ient)-001, usw. ?
2. RDP auf Terminalserver
Der normale Weg.

Bei 1. haben wir das Problem, dass es immer wieder Performance Probleme gibt.

Wenn Du bei 1. Clients im Netzwerk per RDP fernsteuerst und diese Performance-Probleme haben, dann liegt das gleiche Problem vor, wie bei Server 2019.
RDP auf Win10 1903 - XDDM vs. WDDM
https://www.borncity.com/blog/2019/07/12/windows-10-v1903-remote-desktop ...
Gilt leider auch für neuere Win10-Versionen, wenn der zugreifende RDP-Client veraltete Grafik-Treiber installiert hat.
Entweder auf dem externen Client den Treiber aktualisieren oder den älteren RDP-Anzeigemodus erzwingen.
REG ADD “HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services” /v “fEnableWddmDriver” /t REG_DWORD /d 0 /f

Gruß

its
Berggg
Berggg 25.01.2021 um 08:39:02 Uhr
Goto Top
Zitat von @IT-Spezi:

Zitat von @Berggg:
wir haben eine Sophos XG (1GBit sync), über welche sich unsere User ins Netzwerk einwählen SSL VPN (zwischen 30 und 120 Benutzer).
Nach dem Einwählen, gehen diese über:
1. RDP auf ihre Clients z.b. mstsc auf CL-001
Was meinst Du damit? Arbeiten die Clients per RDP auf CL(ient)-001, usw. ?

Ja.


Danke, werde es mal testen.
Berggg
Berggg 26.01.2021 um 16:06:38 Uhr
Goto Top
Der PC war tatsächlich noch auf 1903.
Mit einem Upgrade auf H2 war das Problem verschwunden.
gelöstFrageSicherheitFirewall
Mehr von BergggBergggZwei Internetleitungen kombinierenBerggg - 6 KommentareBergggSwitchempfehlung HeimnetzwerkBerggg - 5 KommentareBergggIT Kenntnisse im LebenslaufBerggg - 4 KommentareBergggRemotesteuerungssoftware HelpdeskBerggg - 10 Kommentare
Heiß diskutiert
FohnbitNetzwerkgerät im Netzwerk verschwindet nach NeustartFohnbit - 34 Kommentareseppo1Switche KMUseppo1 - 28 KommentarecseLaufwege erfassen in großer Hallecse - 20 KommentaredenfinHeimnetzwerk Probleme und Fragen (VPN, IPv6, Telekom Speed Port)denfin - 18 Kommentaresuperfun2k24SSL VPN an Sophos UTM sehr langsamsuperfun2k24 - 16 KommentareFrontierAbsicherung eines privaten GastnetzesFrontier - 14 KommentareadmtechEntwicklertagebuch: Release 6.4 - Filteradmtech - 13 KommentareDSchmolkePasswort ändern in der Domäne geht nichtDSchmolke - 12 KommentarelucarusAdminrechte eines Servers auf VM in Domänelucarus - 12 KommentareaufdemmarsHP Z620 USB hat kein Strom beim Startenaufdemmars - 12 KommentareYan2021Nachricht an mehrere PCs im Netzwerk sendenYan2021 - 12 KommentareManuManu2021Verpasster Anruf von +49-030-123456 mit einer Mobilfunk Prepaid SIMManuManu2021 - 11 Kommentare