homtg1
Goto Top

IPSec VPN in eine Richtung sehr langsam

Hallo,

ich habe einen IPSec VPN Tunnel zischen zwei Standorten aufgebaut und jetzt das Problem, dass Datenübertragungen in eine "Richtung" sehr langsam sind. Dabei scheint es aber nicht nur auf die Richtung sondern auch auf den Initiator an zu kommen.

Das Setup:

Station1:
- DSL 16.000er Anbindung
- Upload ca. 100 KB/s
- Linksys RV042 VPN Router
- Router: 192.168.0.1
- Lokales Subnetz: 192.168.0.x

Station2:
- Unitymedia 64.000er Anbindung über Kabelnetz
- Upload ca. 500 KB/s
- Cisco RV220W VPN Router/Firewall
- Router: 192.168.5.1
- Lokales Subnetz: 192.168.5.x

IPSec Tunnel:
- 3DES Encryption (Auch mit AES128 versucht, kein Performanceunterschied)
- Dynamische IP's werden auf beiden Seiten über DDNS Service aufgelöst


Der VPN Tunnel funktioniert, die jeweils entfernten Subnetze sind an beiden Standorten verfügbar.

Alle Datenübertragungen, die ich von Station2 aus starte, sind so schnell wie die maximalen Uploads, also völlig in Ordnung. Wenn ich mich an einem Rechner an Station2 befinde kann ich also mit "voller" Geschwindigkeit in das entfernte Netz hochladen und auch daraus herunterladen.

Wenn ich mich aber an Station1 befinde, dann sind alle Datenübertragungen die ich von hier aus starte extrem langsam, die Verbindung ist aber prinzipiell da. (unbenutzbar langsam, ca. 10KB/Minute) Es spielt keine Rolle ob es HTTP, FTP oder Windows File Transfer ist. Lediglich auf den entfernten Router (also 192.168.5.1 in diesem Fall) scheine ich mit der Gescheindigkeit zugreifen zu können die per Natzanbieter möglich ist. Alle IP's "hinter" dem Gateway sind unbenutzbar.

PING's funktionieren dagegen in alle Richtungen ohne Probleme mit ca. 20ms, was denke ich auch in Ordnung ist. Nur Datenübertragungen sind problematisch.

Was ich als Problemquelle ausschließen kann sind denke ich:
- Beschränkungen der Provider, denn in eine Richtung können diese je wie erwartet voll ausgenutzt werden
- Protokoll (HTTP/FTP/File Transfer macht wie gesagt keinen Unterschied)
- Lastprobleme wegen Encryption oder Einstellung des IPSec Tunnels an einem der Router, denn prinzipiell zeigt sich ja bei Übertragungen von Station2 aus, dass beide Router in der Lage sind die erwartete Geschwindigkeit zu gehen
- Irgendwelche Probleme der zum Testen verwendeten Clients, ich habe es mit diversen Maschinen versucht per WLAN und LAN mit und ohne Firewalls und auf Windows und Unix Betriebssystemen

Mein einziger Anhaltspunkt ist, dass auch von Station1 aus auf den entfernten Gateway/Router scheinbar mit voller Geschwindigkeit zugreifen kann, auf alles "dahinter" aber nicht. Und das in Kombination mit der Info das dieses Problem nur auftritt wenn die Verbindungen von Station1 auf initiiert werden.

Ich vermute das Problem in den LAN-Einstellungen bei einem der Router, habe schon versucht die internen Firewalls testweise aus zu schalten, mit den MTU's herum zu spielen und manuell Routen zu konfigurieren aber nichts half bisher.

Hat Jemand eine Idee? Ich bin für alle hilfreichen Tipps dankbar. ;)

Content-Key: 185829

Url: https://administrator.de/contentid/185829

Ausgedruckt am: 28.03.2024 um 15:03 Uhr

Mitglied: aqui
aqui 02.06.2012 aktualisiert um 21:56:32 Uhr
Goto Top
Mit den MTUs sollst du auch nicht "rumspielen" sondern die max. MTU pro Location richtig ermitteln. Spielen tut man im Kindergarten aber nicht in der IT face-wink
Wie das geht steht hier:
http://www.gschwarz.de/mtu-wert-ermitteln
Du musst davon noch den VPN Header abziehen, und was dann übrigbleibt ist deine MTU die du auf den Routern einstellen musst. Andernfalls kommt es zur Fragementierung mit dem Ergebnis was du siehst.
Klar sollte dir sein das an Station 1 ADSL also eine asymetrische Leitung ist die max. im best case 1024 kBit/s im Upload schafft also ~100 kB. Das wird also immer physisches Limit bleiben.
Deine Äußerung auf "die Router zuzugreifen" ist irgendwie unverständlich, denn mit deiner Anwendung greifst du ja niemals auf die Router selber zu, die leiten nur durch bzw. enkapsulieren in den bestehenden ESP Tunnel. Was du letztlich damit meist ist also etwas unverständlich.
Einzig zählt die Paket Forwarding Rate in dem Modus am Router also das was der Router über seinen CPU an Paketen durchschieben kann. Das ist ein Wert der vollkommen unabhängig von der physischen Connectrate ist. Die bestimmt eh das Modem davor denn beide Router sind Breitbandrouter ohne Modem die immer mit 100 Mbit/s am Modem connected sind.
100 Mbit Paket Durchsatzrate ist aber utopisch für diese Plattformen.
So oder so unsinnig, denn die max. Geschwindigkeit bestimmt der DSL oder Kabelanschluss am Modem. Station 1 wird also erwartungsgemäß immer langsame sein weil der Upload nicht mehr hergbt. Allerdings nicht mit einem 10 kB Wert das ist klar.
Wenn kein anderer Traffic den DSL Link an Station 1 behindert sollten realsitisch zw. 70 und 90 kB möglich sein.
Der RV042 ist schon altes Eisen, also soviel Paket Forwarding Rate darfst du im NAT und PPPoE Betrieb nicht erwarten von ihm. Kommt noch die IPsec VPN Encapsulation dazu gehts eher noch weiter nach unten. 10 kB ist aber weit unter dem was er bringen sollte.
Manuell zu routen ist ja auch völliger Unsinn, denn du hast ja gar keine IP Netze die routebar wären in der simplen VPN Verbindung.
Sehr wahrscheinlich ist das wirklich ein Fragmentierungsproblem auf den Routern selber durch falsche MTU Settings.
Interessant wäre auch mal ein MTU Ping wie oben beschrieben zw. 2 Endgeräten über den aktiven VPN Link was da an max. MTU überhaupt übertragen werden kann.
Leider hast du das vermutlich auch nicht gemacht face-sad
Mitglied: homtg1
homtg1 03.06.2012 um 02:41:06 Uhr
Goto Top
"rumgespielt" = ich habe die MTU per Ping ermittelt, entsprechend der Beschreibung im Link eingestellt, das hat aber keine Verbesserung gebracht.

MTU Ping durch den VPN Tunnel habe ich noch nicht gemacht, richtig, wie genau muss ich denn mit den Ergebnissem umstellen bzw. wie dann die MTU Einstellungen anpassen?

Der RV042 ist wirklich nicht der neuste, schafft aber problemlos 100 KB/s über den IPSec Tunnel, wenn ich die Datenübertragung von der Seite der Station2 aus starte dann sehe ich ja das es technisch möglich ist.

Zur Erklärung als Beispiel:
192.168.0.100 ist ein Rechner an Station1, nennen wir ihn "Rechner1"
192.168.5.100 ist ein Rechner an Station2, nennen wir ihn "Rechner2"

Wenn ich vom Rechner2 aus auf Rechner1 zugreife (\\192.168.0.100\c$) und eine Datei herunterlade oder hochlade, dann habe ich volle Geschwindigkeit, also die maximale vom Provider ermöglichte.

Wenn ich aber vom Rechner1 aus auf Rechner2 zugreife (\\192.168.5.100\c$) dann kann ich weder hoch- noch herunterladen.

Weiteres Beispiel um mein "auf den Router zugreifen" näher zu erklären:
Wenn ich von Rechner1 über VPN Tunnel auf Rechner2 (192.168.5.100) zugreife ist die Geschwindigkeit miserabel. Auf Rechner2 läuft ein Apache und wenn ich per URL ein 11KB Bild öffnen möchte dann bricht der Bildaufbau irgendwann ab weil es so extremst langsam ist. Wenn ich aber von Rechner1 durch den VPN Tunnel auf den entfernten Roter zugreife, also auf die Konfigurationsseite des entfernten Routers, dann müssen ca. 100KB geladen werden wie ich im Firebug sehen kann, diese 100KB werden problemlos geladen und ich kann auf der Konfigurationsseite problemlos navigieren. Die Geschwindigkeit zum Entfernten gateway ist also gut aber wie gesagt alles was dahinter ist dann nicht mehr, das kann ja nicht an den MTU Einstellungen liegen oder würde es dann Sinn machen das der Durchsatz nur schlecht ist wenn ich Übertragungen von Station1 aus initiiere?

Vielen Dank nochmals. face-smile
Mitglied: aqui
aqui 04.06.2012 um 10:55:43 Uhr
Goto Top
Das hört sich dann aber eher danach an als ob du ein problem zwischen den Endgeräten hast NICHT aber mit den Routern selber.
Wenn der Verbindungsaufbau von 2 auf 1 immer und in jeder Richtung (beidseitiger Filetransfer) sauber und schnell funktioniert abhängig von der max. möglichen physischen Uload Geschwindigkeit ist es ja generell KEIN Problem der Verbindung selber ! Wäre es das würdes du entweder im Upload oder Download irgendetwas bemerken.
Interessant ist die tatsache das diese Fehler nur einzig dann auftreten wenn du die Session von 1 nach 2 initiierst. Entweder schlägt die MTU Path Discovery fehl oder es passiert gar nicht erst eine.
Das sieht eher so aus also ob generell am IP Stack der beteiligenten OS ein Fehler passiert ?!
Ist dort irgendwie Windows XP im Spiel ?
Du solltest in der Tat einmal einen max. MTU Test zwischen diesen beiden Endgeräten direkt machen und zwar einmal von 1 nach 2 und auch von 2 nach 1.
Mitglied: homtg1
homtg1 12.06.2012 um 01:04:50 Uhr
Goto Top
Hi,

also ich habe nun einen MTU-Ping zwischen den beiden Routern gemacht (MTU an beiden Routern steht aktuell auf 1500 falls das wichtig ist):

Von Station2 zu Station1 maximal möglich:
ping -f -l 1404 192.168.0.1

Von Station1 zu Station2 reiche ich nach. ;)

Ich weiß nur nicht wie ich dann mit dem Ergebnis umgehen muss wenn ich es habe, was sagt mir das und wie muss ich die MTU's der Router dann anpassen.

Zudem habe ich festgestellt das der Internetzugang an Station2 nicht mehr zu funktionieren scheint wenn ich die MTU auf z.B. 1400 einstelle.

Danke für die Hilfe nochmals ;)