6
Richtige MTU Werte für IPsec VPN (VPN Server hinter Router)
Hallo,
Ich habe Zuhause einen Funkwerk R1200 Router als Internet Gateway, daran hängt ein Bintec VPN Acces 25 als IPsec VPN Server.
Dieser baut eine Verbindung zu einem Netgear FWG114p auf (3DES/MD5 28800/3600 DH-2 (1024) ). Der Tunnel läuft sehr stabil, nur der Datendurchsatz ist etwas schlecht. Vom Vpn Access zum Netgear komme ich grad mal auf 40 kb/s obwohl auf der Vpn Access 25 Seite eine 16000 DSL mit ca 90 kb/s Upload zur Verfügung steht. (Arcor)
Auf der Netgear Seite steht eine DSL light mit ca 120 kb/s down und 12 kb/s Up zur Verfügung. (Telekom)
Ich möchte jetzt erstmal wissen, ob die MTU Werte richtig sind, und ob ich das mit dem MTU richtig verstanden habe
Im Netgear kann man nur den MTU für das PPPoE Interface ändern. Bei der Telekom soll man 1492 einstellen.
Beim R1200 hab ich für das PPPoE Interface auch 1492 eingestellt.
Beim VPN Access kann man im SMNP Manager unter IPSEC -> IKEPROFILETABLE -> MAXMTU den MTU Wert für den Tunnel ändern. Der steht standardmässig auf 1418.
Ist diese MTU Einstellung so richtig, oder muss ich bei den WAN MTU Werten noch den Overhead von ca 50 bytes abziehen.
Oder ist der MTU Wert für das IPsec Profil zu niedrig ?
Evtl kann mir ja jemand da weiterhelfen,
langsam komme ich mit den ganzen MTUs ganz schön durcheinander
Evtl liegt der schlechte Datenduchsatz an was anderem.
Vom Vpn Access 25 zum Netgear sollten ja locker 70-80 drin sein. (Maximaler Upload Speed bei mir 90kb/s --> Maximaler Downloadspeed am Netgear Anschluss ca 120 kb/s)
Lg
chris
Ich habe Zuhause einen Funkwerk R1200 Router als Internet Gateway, daran hängt ein Bintec VPN Acces 25 als IPsec VPN Server.
Dieser baut eine Verbindung zu einem Netgear FWG114p auf (3DES/MD5 28800/3600 DH-2 (1024) ). Der Tunnel läuft sehr stabil, nur der Datendurchsatz ist etwas schlecht. Vom Vpn Access zum Netgear komme ich grad mal auf 40 kb/s obwohl auf der Vpn Access 25 Seite eine 16000 DSL mit ca 90 kb/s Upload zur Verfügung steht. (Arcor)
Auf der Netgear Seite steht eine DSL light mit ca 120 kb/s down und 12 kb/s Up zur Verfügung. (Telekom)
Ich möchte jetzt erstmal wissen, ob die MTU Werte richtig sind, und ob ich das mit dem MTU richtig verstanden habe
Im Netgear kann man nur den MTU für das PPPoE Interface ändern. Bei der Telekom soll man 1492 einstellen.
Beim R1200 hab ich für das PPPoE Interface auch 1492 eingestellt.
Beim VPN Access kann man im SMNP Manager unter IPSEC -> IKEPROFILETABLE -> MAXMTU den MTU Wert für den Tunnel ändern. Der steht standardmässig auf 1418.
Ist diese MTU Einstellung so richtig, oder muss ich bei den WAN MTU Werten noch den Overhead von ca 50 bytes abziehen.
Oder ist der MTU Wert für das IPsec Profil zu niedrig ?
Evtl kann mir ja jemand da weiterhelfen,
langsam komme ich mit den ganzen MTUs ganz schön durcheinander
Evtl liegt der schlechte Datenduchsatz an was anderem.
Vom Vpn Access 25 zum Netgear sollten ja locker 70-80 drin sein. (Maximaler Upload Speed bei mir 90kb/s --> Maximaler Downloadspeed am Netgear Anschluss ca 120 kb/s)
Lg
chris
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 162107
Url: https://administrator.de/contentid/162107
Printed on: April 24, 2024 at 01:04 o'clock
6 Comments
Latest comment
Relevant ist erstmal das du ermittelst welcher MTU Wert generell auf deinem Internet Anschluss wirklich möglich ist. 1492 ist nur der theoretische Wert.
Hier steht wie du diesen Basiswert erstmal ermitteln kannst:
http://www.gschwarz.de/mtu-wert-ermitteln
Davon ist dann abhängig wie der VPN Tunnel MTU Wert eingestellt werden muss !
Hier steht wie du diesen Basiswert erstmal ermitteln kannst:
http://www.gschwarz.de/mtu-wert-ermitteln
Davon ist dann abhängig wie der VPN Tunnel MTU Wert eingestellt werden muss !
Den WAN MTU hab ich bereits ermittelt. Der ist für beide Anschlüsse (T-Online und Arcor) 1492.
Hab den Wert mit dem Ping Befehl Byte für Byte erhöht und bei 1464 war Schluss. Ab 1465 zeigte mir Omnipeek IP Fragmente, wenn ich das F Flag weg lasse.
Der WAN MTU ist jetzt auf beiden Seiten 1492, habe es auf beiden Seiten mit Omnipeek überprüft.
Hab den Wert mit dem Ping Befehl Byte für Byte erhöht und bei 1464 war Schluss. Ab 1465 zeigte mir Omnipeek IP Fragmente, wenn ich das F Flag weg lasse.
Der WAN MTU ist jetzt auf beiden Seiten 1492, habe es auf beiden Seiten mit Omnipeek überprüft.
Das ist schon mal gut, denn das ist das maximal mögliche. Leider ist der Tunneloverhead bei IPsec im ESP Modus variabel, da er abhängig ist von mehreren Werten wie Payload, Padding usw. usw.
Generell sollte man die IPsec Tunnel MTU im ESP Modus nie größer als 1418 setzen, das ist ein günstiger Wert um ein Dropping von großen IPsec Frames sicher zu verhindern.
In der Regel funktionieren alle IPsec VPN Verbindungen damit völlig problemlos !
Detailierte Infos dazu findest du hier:
http://www.iphelp.ru/doc/3/Cisco.Press.Comparing.Designing.and.Deployin ...
Generell sollte man die IPsec Tunnel MTU im ESP Modus nie größer als 1418 setzen, das ist ein günstiger Wert um ein Dropping von großen IPsec Frames sicher zu verhindern.
In der Regel funktionieren alle IPsec VPN Verbindungen damit völlig problemlos !
Detailierte Infos dazu findest du hier:
http://www.iphelp.ru/doc/3/Cisco.Press.Comparing.Designing.and.Deployin ...
Danke für die Tips, der Tunnel MTU ist bei mir bereits auf 1418. Jetzt weis ich jedenfalls schonmal, dass die MTU Werte richtig sind, dann wird der schlechte Datendurchsatz wohl an einem anderen Problem liegen. Ich habe den Verdacht, dass der FWG114P das Problem ist, der ist schon über 8 Jahre alt und ist schon ewig in Betrieb. Ich hab den meinem Freund damals gegeben, um den "Home" Router von der Telekom zu ersetzen. Ich probiere es mal mit 2 R1200, wenn ich den 2. im Ebay erwische
Na ja... NetGear und VPN...eigentlich ein Trauerspiel wie Insider wissen. Man lese die zahllosen Leidensthreads hier. Als Router für Sofasurfer OK aber für VPNs unbrauchbar. Zumals sie auch nur ein Protokoll supporten.
Draytek und andere können das erheblich besser. Vielleicht ist dann ein Tausch wohl die beste Lösung ?!
Draytek und andere können das erheblich besser. Vielleicht ist dann ein Tausch wohl die beste Lösung ?!
Ich bin mit dem FWG114P relativ zufieden. Das ist einer aus der ProSafe Serie. Die kleinen ovalen Plastik Design Dinger für den Heim Gebrauch hab ich nicht getestet. Der Router ist zwar schon etwas betagt, macht aber seinen Job ganz gut. Nur leider spinnt der Router manchmal, wenn er nach 24 Stunden getrennt wird. Dann löst er die Adresse vom Dyndns Update Server nicht mehr auf. Ich mach einfach regelmässig nen Reboot über Remote Admin.
Der Tunnel Speed ist jetzt auch ideal, der FWG114p musste einfach nur mal komplett resettet und neu konfiguriert werden.
Mit Draytek war ich immer zufrieden. Hab meinen aber dann gegen den R1200 getauscht.
Der Netgear wird die nächsten Monate auch gegen nen R1200 getauscht.
Der Tunnel Speed ist jetzt auch ideal, der FWG114p musste einfach nur mal komplett resettet und neu konfiguriert werden.
Mit Draytek war ich immer zufrieden. Hab meinen aber dann gegen den R1200 getauscht.
Der Netgear wird die nächsten Monate auch gegen nen R1200 getauscht.
