142008
Goto Top

VPN-Server zu lahm?

Moin in die Runde!

Laut Aussendienstler ist wohl der Zugriff über VPN auf das Firmen-LAN langsam, was mich jetzt doch verwundert. Er geht einerseits über das Hotspot seines Smartphone oder über das Hotel-WLAN online. Mir ist bewusst, dass im Hotel eine Bandbreitenbegrenzung vorliegen kann, aber wie ist das beim Smartphone mit gutem Empfang? - Wir nutzen einen virtuellen VPN-Server mit 2 vCPUs und 4GB RAM, was theoretisch doch ausreichen sollte.

Was könnte das sein?

THX für die Antwort(en) im Voraus!

Content-ID: 1321088457

Url: https://administrator.de/contentid/1321088457

Ausgedruckt am: 22.11.2024 um 10:11 Uhr

nEmEsIs
nEmEsIs 29.09.2021 um 08:17:52 Uhr
Goto Top
Hi

Was für eine VPN Technik nutzt ihr ? OpenVPN, L2TP, SSTP, Wireguard... ?

Wie schnell ist den der Internetanschluss ?

Wieviel Außendienstler greifen den gleichzeitig zu?

Was macht der Außendienstler? Webinterface aufrufen oder auf ner netzwerkfreigabe browsen ?

Weil mit deinen Angaben ist es etwas dünn ...

Mit freundlichen Grüßen Nemesis
Mika909
Mika909 29.09.2021 um 08:22:15 Uhr
Goto Top
Moin,

wenn das Smartphone in deren WLAN angemeldet ist, dann kann das Ding auch nicht schneller, als ein Rechner, der in deren WLAN ist (WLAN geht bei Smartphone standardmäßig vor Funk). Welche VPN benutzt ihr und wieviele arbeiten parallel mit VPN? Was für Geschwindigkeiten bekommt man überlicherweise bei einer (ordentlichen) VPN Verbindung?
StefanKittel
StefanKittel 29.09.2021 um 08:25:46 Uhr
Goto Top
Moin,

wenn VPN bei allen schnell ist und nur bei diesem Mitarbeiter, dann liegt es wohl an ihm oder seiner Technik.
Selbst ein 1 GBit Kabel-Anschluss oder LTE mit 50 MBit bringen Dir nix wenn das Netzwerk stark ausgelastet ist.

Auch das Internet kann bei den Übergabeknoten von Provider A zu B mal ausgelastet sein.

Also erstmal die Quelle der Störung identifizieren und schauen ob es überhaupt eine Störung ist.

Wenn Jemand am Terminalserver unbedingt YouTube in 4K sehen möchte oder über das VPN eine Kopie aller Präsentationen mit vielen GByte kopiert wird es halt langsam.

Stefan
Lochkartenstanzer
Lochkartenstanzer 29.09.2021 um 08:25:57 Uhr
Goto Top
Zitat von @Mika909:

Moin,

wenn das Smartphone in deren WLAN angemeldet ist, dann kann das Ding auch nicht schneller, als ein Rechner, der in deren WLAN ist (WLAN geht bei Smartphone standardmäßig vor Funk). Welche VPN benutzt ihr und wieviele arbeiten parallel mit VPN? Was für Geschwindigkeiten bekommt man überlicherweise bei einer (ordentlichen) VPN Verbindung?

Wenn ein Smartphone Hotspot spielt, benutzt es i.d.R. nur Funk und kein WLAN für die Internetanbindung!

lks
142008
142008 29.09.2021 aktualisiert um 13:21:59 Uhr
Goto Top
Der Aussendienstler geht entweder im Auto unterwegs per Smartphone online oder abends im Hotel über WLAN. Genutzt wird OpenVPN als VPN-Technik, und es greifen maximal zwei gleichzeitig zu. Von Firmenseite aus haben wir eine 100MBit/s und eine 50MBit/s-Leitung, angebunden ist es an letztere. Und nein, nix YouTube oder dergleichen, sondern es erfolgt ein Zugriff auf das WaWi und den Netzwerkfreigaben. Die Daten, die dabei übertragen werden, sind wenige MB groß.

Der andere Kollege meinte auf Nachfrage, dass es bei ihm zu minimalen Verzögerungen bei der Eingabe im WaWi kommt.
Visucius
Visucius 29.09.2021 aktualisiert um 08:55:00 Uhr
Goto Top
Der andere Kollege meinte auf Nachfrage, dass es bei ihm zu minimalen Verzögerungen bei der Eingabe im WaWi kommt.
Was heißt?! Genügt (ihm) das oder beschwert er sich auch?! Und hat es eine Verschlechterung gegeben oder war das schon immer so?!

Das die Latenz (etwas) über Wifi und VPN zunimmt ist ja prinzipbedingt.
142008
142008 29.09.2021 um 09:08:19 Uhr
Goto Top
Nein, er beschwert sich nicht, sondern ist wohl schon immer so gewesen (Latenz).

Ich merke auch selber, wenn ich von zuhause per VPN (über Lancom) auf das Firmen-LAN zugreife und bspw. mit dem Email-Client (David) arbeite, dass die Eingabe etwas verzögert ist.
Visucius
Visucius 29.09.2021 aktualisiert um 09:49:14 Uhr
Goto Top
Ok, Du hast ne 50/10 DSL-Leitung über die "alle" VPNs laufen. D.h. die teilen sich die 10 Mbit/Upload. Und mehr muss das Hotel-Wifi des Vertrieblers auch nicht schaffen. Die LTE dürfte eigentlich deutlich besser sein.

Selbst ne Fritze schafft diese Bandbreite halbwegs im VPN auszunutzen. Wäre überrascht, wenn die von Dir erwähnte HW da ein Limit darstellen sollte.

a) Welches VPN-Protokoll (wurde schon mal gefragt)
b) RDP-Zugriff oder "Realzugriff" von lokaler Software auf Server-HW im Unternehmen?

RDP benötigt dabei eigentlich kaum Bandbreite und Du kannst da auch noch in gpedit.msc rumspielen. Schlechtere Erfahrung habe ich mit VNC gemacht. Alternativ könntest Du natürlich auch die Leitung mit "dem dickeren Upload" fürs VPN einsetzen. Macht ja irgendwie auch mehr Sinn.

Du könntest natürlich auch einfach mal "testen": Latenz, Bandbreite, Auslastung der VPN-HW, usw.

VG
142008
142008 29.09.2021 aktualisiert um 10:17:51 Uhr
Goto Top
Das VPN wurde vom IT-Systemhaus eingerichtet, von daher kann ich nicht beantworten, welches Protokoll beim OpenVPN genutzt wird. Ich nehme mal an, dass es das SSL3/TLS Protokoll sein wird.

Wenn die Aussendienstler zugreifen, erfolgt dies über einen Terminalserver.

Es kann doch nicht sein, dass die paar MBs, die durch die Leitung geschaufelt werden, zu solchen Geschwindigkeitseinbußen führen. Zumal der VPN-Zugriff zu 99% nicht einmal parallel erfolgt.
Vision2015
Vision2015 29.09.2021 um 10:33:52 Uhr
Goto Top
moin...
Zitat von @142008:

Das VPN wurde vom IT-Systemhaus eingerichtet, von daher kann ich nicht beantworten, welches Protokoll beim OpenVPN genutzt wird. Ich nehme mal an, dass es das SSL3/TLS Protokoll sein wird.

Wenn die Aussendienstler zugreifen, erfolgt dies über einen Terminalserver.
du meinst:
Wir nutzen einen virtuellen VPN-Server mit 2 vCPUs und 4GB RAM, was theoretisch doch ausreichen sollte.
das reicht für einen terminal Server nicht mal ansatzweise....
und was theoretisch doch ausreichen sollte, kann uns nicht klar sein, da wir nicht wissen, was da alles läuft!
bei 2 vCPUs und 4GB RAM gehe ich mal von einer Windows 10 VM aus...
die nächste frage wäre, 2 vCPUs von was? E5-2643 oder dergleichen, ist die Vhost überbucht?

Es kann doch nicht sein, dass die paar MBs, die durch die Leitung geschaufelt werden, zu solchen Geschwindigkeitseinbußen führen. Zumal der VPN-Zugriff zu 99% nicht einmal parallel erfolgt.

hast du schon mal mit den RDP optionen gespielt, im Reiter Leistung?
alles abschalten was keine Miete zahlt... und Bandbreite einstellen!


Frank
Visucius
Visucius 29.09.2021 um 10:37:32 Uhr
Goto Top
das reicht für einen terminal Server nicht mal ansatzweise....
Aber das ist doch nur der "VPN-Server" und nicht der "Ziel-RDP-Host"?! Oder verstehe ich das falsch? Wobei es doch bei OpenVPN auch irgendne Beschränkung bei den Prozessoren gab.
142008
142008 29.09.2021 aktualisiert um 12:33:31 Uhr
Goto Top
Die genannten Specs betreffen nur den VPN-Server an sich. Der Terminalserver verfügt über 2vCPUs mit 8GB RAM.
Bei uns haben nur der SQL-Server, der DATEV-Server sowie zwei weitere Server jeweils 4vCPUs mit 16GB RAM.

Und nein, der VHost ist nicht überbucht.

pic

Zitat von @Vision2015:

hast du schon mal mit den RDP optionen gespielt, im Reiter Leistung?
alles abschalten was keine Miete zahlt... und Bandbreite einstellen!

Sollte/müsste ich mal nachschauen.
Visucius
Visucius 29.09.2021 um 13:14:34 Uhr
Goto Top
Du könntest natürlich mal nen Wireguard-Tunnel "daneben" legen und schauen ob es damit besser wird. Damit könnte man zumindest VPN und entsprechende HW ausschließen und die Leute könnten im Bestands-Setup problemlos weiterarbeiten.
Vision2015
Vision2015 29.09.2021 um 13:47:20 Uhr
Goto Top
Zitat von @142008:

Die genannten Specs betreffen nur den VPN-Server an sich. Der Terminalserver verfügt über 2vCPUs mit 8GB RAM.
Bei uns haben nur der SQL-Server, der DATEV-Server sowie zwei weitere Server jeweils 4vCPUs mit 16GB RAM.

Und nein, der VHost ist nicht überbucht.

pic

Zitat von @Vision2015:

hast du schon mal mit den RDP optionen gespielt, im Reiter Leistung?
alles abschalten was keine Miete zahlt... und Bandbreite einstellen!

Sollte/müsste ich mal nachschauen.

also dein ethernet ist mit 955 Mbit/s in in senderichtung schon gut ausgelastet.. ist das immer so?
was ist das für eine NIC 1Gbit oder 10 Gbit?

Frank
142008
142008 29.09.2021 aktualisiert um 14:54:43 Uhr
Goto Top
Nein, zum Zeitpunkt des Screenies wurden wohl gerade Daten hin- und hergeschaufelt. Im Schnitt dümpelt es zw. 500kbit/s und 1 MBit/s, und es sind zwei NICs vom Typ Intel I210AT. Wir betreiben nichts, was eine hohe Bandbreite benötigt.
ichi1232
ichi1232 30.09.2021 um 07:58:31 Uhr
Goto Top
Schau' doch mal in eine Clientconfig und überprüfe ob die Verbindung via TCP oder UDP hergestellt wird.

TCP Meltdown kommt mir da in den Sinn.

https://openvpn.net/faq/what-is-tcp-meltdown/
142008
142008 30.09.2021 aktualisiert um 10:30:20 Uhr
Goto Top
Die Verbindung wird wohl über TCP hergestellt.

pic


Aber wie schaut's mit den Specs für den Terminalserver aus? Zwei vCPUs mit 8GB RAM sollten ausreichend sein, oder?
IT-heilt-NIE
IT-heilt-NIE 30.09.2021 um 13:18:59 Uhr
Goto Top
Wenn auf UDP umgestellt wird (was sicher schneller sein wird) dann aber nicht vergessen die MTU-Size anzupassen, damit hatte ich schon häufig richtig lustige Probleme beim VPN. Mit etwas reduzierter MTU-Size und UDP bisher keine Probleme mehr.
142008
142008 30.09.2021 aktualisiert um 13:45:21 Uhr
Goto Top
Wie bereits geschrieben, OpenVPN wurde von einem IT-Systemhaus eingerichtet. Ich hatte die config-Datei testweise von TCP auf UDP abgeändert, konnte dann aber keine Verbindung mehr aufbauen, geschweige denn die MTU-Size reduzieren.
ichi1232
ichi1232 30.09.2021 um 13:58:24 Uhr
Goto Top
Zitat von @142008:

Die Verbindung wird wohl über TCP hergestellt.

pic


Aber wie schaut's mit den Specs für den Terminalserver aus? Zwei vCPUs mit 8GB RAM sollten ausreichend sein, oder?

OpenVPN über TCP kann man machen - sollte man aber nur tun, wenn es technisch notwendig ist.
Auf 443/tcp geht ihr wahrscheinlich um fremde Firewalls zu 'umgehen' ?
Wenn es sich technisch umsetzen lässt: Ganz klar die Empfehlung zu UDP.

Ob die Konfiguration deines Terminalservers passt, kann Dir pauschal keiner beantworten.
Wenn jetzt 20 Leute mit Blender auf Basis von Windows Server 2022 arbeiten, dann wahrscheinlich eher nicht so.
Wenn allerdings 2 Leute gleichzeitig MineSweeper auf Basis von Windows 2000 spielen, dann ist das System schon recht ordentlich ausgestattet.

Aus dem Bauch heraus sage ich jetzt trotzdem, dass ich es für "zu wenig" für einen Terminalserver halte.
ichi1232
ichi1232 30.09.2021 um 14:01:09 Uhr
Goto Top
Zitat von @142008:

Wie bereits geschrieben, OpenVPN wurde von einem IT-Systemhaus eingerichtet. Ich hatte die config-Datei testweise von TCP auf UDP abgeändert, konnte dann aber keine Verbindung mehr aufbauen, geschweige denn die MTU-Size reduzieren.

Kannst du auch nicht, wenn der Server nicht auch auf 443/udp hört oder eine Firewall dazwischen sitzt, die das nicht zulässt.

Frag' bei deinem """Systemhaus""" nach, ob eine Umstellung dahingehend möglich ist.
Visucius
Visucius 30.09.2021 aktualisiert um 14:25:02 Uhr
Goto Top
Frag' bei deinem """Systemhaus""" nach, ob eine Umstellung dahingehend möglich ist.

Was ja im Prinzip sowieso eine der ersten Optionen sein sollte.

a) weil die (hoffentlich) wissen, was (und idealerweise warum) sie konfiguriert haben

b) weil Du offenbar nicht auf alles Zugriff hast

Stell Dich doch einfach doof und erkläre denen, dass ein MA Performance-Probleme meldet. Sollen die doch gucken, woran das liegt.
142008
142008 30.09.2021 aktualisiert um 14:27:29 Uhr
Goto Top
Zitat von @ichi1232:

Ob die Konfiguration deines Terminalservers passt, kann Dir pauschal keiner beantworten.
Wenn jetzt 20 Leute mit Blender auf Basis von Windows Server 2022 arbeiten, dann wahrscheinlich eher nicht so.
Wenn allerdings 2 Leute gleichzeitig MineSweeper auf Basis von Windows 2000 spielen, dann ist das System schon recht ordentlich ausgestattet.

Aus dem Bauch heraus sage ich jetzt trotzdem, dass ich es für "zu wenig" für einen Terminalserver halte.


Ursprünglich hatte der Terminalserver nur eine vCPU mit 4GB RAM, da es unseren Anforderungen wohl genügen würde. Würdest Du sagen, dass es mehr CPU und/oder mehr RAM sein sollte?


Zitat von @ichi1232:

Frag' bei deinem """Systemhaus""" nach, ob eine Umstellung dahingehend möglich ist.


Das werde ich machen!