45455
Jul 02, 2012, updated at 12:52:53 (UTC)
5256
4
0
VPN übern Teich - wie verbessern?
Hallo,
wir betreiben seit einiger Zeit eine VPN-Verbindung zwischen einem Hauptstandort und einer Filiale in USA.
Auf beiden Seiten steht ein Draytek Vigor 2950.
Es werden unterschiedliche IP-Bereiche LAN2LAN geroutet.
In Deutschland steht der W2K3-Domänen-Server, in USA nur eine Storage.
Die VPN-Verbindung als solches funktioniert erstmal.
Auf deutscher Seite liegt technisch ein SDSL mit 4MBit an (Vodafone), auf US-Seite ein Warner-ADSL mit 100/5 MBit.
Doch der Durchsatz lässt zu wünschen übrig. Da würde ich gern was dran verbessern.
MTU wurde schon geprüft und angepasst.
Ping-Zeiten sind grundsätzlich OK für die Entfernung(100-135 ms)
In Deutschland bekomme ich von einem schnellen Zugang aus mit einem VPN-Client die 4 MBit fast vollständig.
Aus USA schaffe ich maximal etwa 900 KBit.
Kann soviel Verlust sein?
Wir hatten vor dem Warner-Anschluss in USA einen langsameren Anschluss, der war letztendlich deutlich stabiler.
Denn derzeit reißt auch öfter mal die Datenübertragung ab (VPN-Verbindung bleibt aber bestehen).
In der Durchsatzdiagnose der Router ist dementsprechend ein starkes Auf und Ab bei laufender Übertragung zu sehen.
Gemessen wurde mit Iperf sowie realer Übertragung sowohl einzelner großer Dateien als auch vieler kleiner Dateien und mit der Diagnose der Router.
Oder hat jemand Vorschläge für eine "vernünftige" VPN-Verbindung? An den Routern sollte es IMHO ja nicht liegen.
Gruß
Kai
wir betreiben seit einiger Zeit eine VPN-Verbindung zwischen einem Hauptstandort und einer Filiale in USA.
Auf beiden Seiten steht ein Draytek Vigor 2950.
Es werden unterschiedliche IP-Bereiche LAN2LAN geroutet.
In Deutschland steht der W2K3-Domänen-Server, in USA nur eine Storage.
Die VPN-Verbindung als solches funktioniert erstmal.
Auf deutscher Seite liegt technisch ein SDSL mit 4MBit an (Vodafone), auf US-Seite ein Warner-ADSL mit 100/5 MBit.
Doch der Durchsatz lässt zu wünschen übrig. Da würde ich gern was dran verbessern.
MTU wurde schon geprüft und angepasst.
Ping-Zeiten sind grundsätzlich OK für die Entfernung(100-135 ms)
In Deutschland bekomme ich von einem schnellen Zugang aus mit einem VPN-Client die 4 MBit fast vollständig.
Aus USA schaffe ich maximal etwa 900 KBit.
Kann soviel Verlust sein?
Wir hatten vor dem Warner-Anschluss in USA einen langsameren Anschluss, der war letztendlich deutlich stabiler.
Denn derzeit reißt auch öfter mal die Datenübertragung ab (VPN-Verbindung bleibt aber bestehen).
In der Durchsatzdiagnose der Router ist dementsprechend ein starkes Auf und Ab bei laufender Übertragung zu sehen.
Gemessen wurde mit Iperf sowie realer Übertragung sowohl einzelner großer Dateien als auch vieler kleiner Dateien und mit der Diagnose der Router.
Oder hat jemand Vorschläge für eine "vernünftige" VPN-Verbindung? An den Routern sollte es IMHO ja nicht liegen.
Gruß
Kai
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 187342
Url: https://administrator.de/contentid/187342
Printed on: April 23, 2024 at 16:04 o'clock
4 Comments
Latest comment
Hallo,
wegen des Satzes
würde ich das Problem erstmal nicht im VPN suchen.
Die Storage Unit.
Was ist das ?
brammer
wegen des Satzes
Denn derzeit reißt auch öfter mal die Datenübertragung ab (VPN-Verbindung bleibt aber bestehen).
würde ich das Problem erstmal nicht im VPN suchen.
Die Storage Unit.
Was ist das ?
brammer
Die Storage ist lediglich eine terastation (TS-XL/R5). Ist an die AD angemeldet und funktioniert soweit.
In USA für die Client-Rechner reagiert sie wie erwartet, ebenso die Rechner untereinander.
Etwa 70-80% der Netzwerkleistung.
Der Durchsatz im VPN ist aber auch an die Clients so schlecht und das Abreißen der Datenverbindung tritt auch dort auf (zB beim Remote-Desktop).
Mit der Storage hat das dann ja eigentlich nichts zu tun, da die ja auch nur ein Client ist.
Die Client-Rechner sind ebenfalls in der Domäne, legen ihre Profile auf der Storage ab und authentifizieren nur durch das VPN. Auch das funktioniert (Erster DNS ist der Server in Deutschland, zweiter der Router in USA).
Die Routen sind laut pathping alle OK, also immer Client - routerUSA - RouterD - Client und umgekehrt. Und außerhalb des VPNs eben korrekt auf beiden Seiten direkt raus.
Nur Datenaustausch im VPN ist recht lahm, eben unter 1MBit.
Mit der alten Verbindung kamen die Abbrüche nicht vor.
Diese Verbindung war wie gesagt langsamer (2 MBit down), schaffte aber im Upload immerhin 80% der angegebenen Uploadleistung und hatte keine Störungen (war halt nur zu langsam im Upload).
Sowohl die alte als auch die neue Verbindung wurde mit einem Bridge-Modem an DSL realisiert (anscheinend Standard in den USA). Daher kann ich leider kein VPN eines Clients direkt auf den USA-Router testen.
Wenn ich die Internetverbindung in USA teste (Speedtest.net o.ä.), bekomme ich allerdings auch Werte, die OK sind.
Dort kann man ja den Server zum Testen wählen, daher: In USA 4,8 MBit Up, gegen einen deutschen Server immerhin noch 4 MBit up.
Gruß
Kai
In USA für die Client-Rechner reagiert sie wie erwartet, ebenso die Rechner untereinander.
Etwa 70-80% der Netzwerkleistung.
Der Durchsatz im VPN ist aber auch an die Clients so schlecht und das Abreißen der Datenverbindung tritt auch dort auf (zB beim Remote-Desktop).
Mit der Storage hat das dann ja eigentlich nichts zu tun, da die ja auch nur ein Client ist.
Die Client-Rechner sind ebenfalls in der Domäne, legen ihre Profile auf der Storage ab und authentifizieren nur durch das VPN. Auch das funktioniert (Erster DNS ist der Server in Deutschland, zweiter der Router in USA).
Die Routen sind laut pathping alle OK, also immer Client - routerUSA - RouterD - Client und umgekehrt. Und außerhalb des VPNs eben korrekt auf beiden Seiten direkt raus.
Nur Datenaustausch im VPN ist recht lahm, eben unter 1MBit.
Mit der alten Verbindung kamen die Abbrüche nicht vor.
Diese Verbindung war wie gesagt langsamer (2 MBit down), schaffte aber im Upload immerhin 80% der angegebenen Uploadleistung und hatte keine Störungen (war halt nur zu langsam im Upload).
Sowohl die alte als auch die neue Verbindung wurde mit einem Bridge-Modem an DSL realisiert (anscheinend Standard in den USA). Daher kann ich leider kein VPN eines Clients direkt auf den USA-Router testen.
Wenn ich die Internetverbindung in USA teste (Speedtest.net o.ä.), bekomme ich allerdings auch Werte, die OK sind.
Dort kann man ja den Server zum Testen wählen, daher: In USA 4,8 MBit Up, gegen einen deutschen Server immerhin noch 4 MBit up.
Gruß
Kai
Hi Kai,
Da muss man zurück ans TCP-Protokoll denken. Man kann nicht an beliebigen Stellschrauben drehen.
Der VPN muss ja transparent sein, somit hat das Endgerät ein eigenes TCP-Window, dass nicht beliebig vergrößert werden kann. Dieses Fenster und die Laufzeit geben eine maximal nutzbare Bandbreite vor. Die reale Bandbreite könnte, kann größer sein, wird aber nicht genutzt. Teste mal mit parallelen Verbindungen ... wie bei den üblichen Speedtests gegen lokale Server.
Der VPN-Tunnel hat seine eigenen Regeln. Je nach Protokoll kann man auf Antworten warten (TCP), nicht warten (UDP) oder Sonderregeln nutzen (WAN-Beschleunigung mit Spezialprotokollen und Appliances an beiden Enden des WAN).
Die MTU-Size zu ändern erhöht nur die Nutzlast des lokalen Routers, da er die Pakete eventuell teilen und stückeln muss.
Gruß
Netman
Da muss man zurück ans TCP-Protokoll denken. Man kann nicht an beliebigen Stellschrauben drehen.
Der VPN muss ja transparent sein, somit hat das Endgerät ein eigenes TCP-Window, dass nicht beliebig vergrößert werden kann. Dieses Fenster und die Laufzeit geben eine maximal nutzbare Bandbreite vor. Die reale Bandbreite könnte, kann größer sein, wird aber nicht genutzt. Teste mal mit parallelen Verbindungen ... wie bei den üblichen Speedtests gegen lokale Server.
Der VPN-Tunnel hat seine eigenen Regeln. Je nach Protokoll kann man auf Antworten warten (TCP), nicht warten (UDP) oder Sonderregeln nutzen (WAN-Beschleunigung mit Spezialprotokollen und Appliances an beiden Enden des WAN).
Die MTU-Size zu ändern erhöht nur die Nutzlast des lokalen Routers, da er die Pakete eventuell teilen und stückeln muss.
Gruß
Netman
Hmm, grundsätzlich klar. Wenn mehrere Clients am Router über VPN hängen addiert sich die jeweilige Bandbreite fast bis zu etwa 80-90% der realen Bandbreite.
Nur: Ein einzelner Client mit schnellem Internetzugang kann per VPN ja auch diese 80-90% der Bandbreite nutzen.
Der Router scheint also nicht der Flaschenhals zu sein.
Die baugleichen Router untereinander müssten das dann doch auch können?
Nebenbei: Die Stabilität der Verbindung konnte ich wiederherstellen:
Statt L2TP hab ich nun wieder auf PPTP gestellt.
Am Durchsatz ändert das aber nix.
DAS Problem bleibt.
Nur: Ein einzelner Client mit schnellem Internetzugang kann per VPN ja auch diese 80-90% der Bandbreite nutzen.
Der Router scheint also nicht der Flaschenhals zu sein.
Die baugleichen Router untereinander müssten das dann doch auch können?
Nebenbei: Die Stabilität der Verbindung konnte ich wiederherstellen:
Statt L2TP hab ich nun wieder auf PPTP gestellt.
Am Durchsatz ändert das aber nix.
DAS Problem bleibt.
