Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Fortigate VPN - Ping zu langsam

Frage Netzwerke Voice over IP

Mitglied: canguru

canguru (Level 1) - Jetzt verbinden

02.09.2008, aktualisiert 12.09.2008, 9886 Aufrufe, 7 Kommentare

Die Pingzeit durh den VPN mit 2 Fortigate ist zu lang. Warum?

Hallo,

folgende VPN-Situation macht mir intensive Kopfschmerzen (weil die Anwender sich zu Recht ärgern ..):
Zwei Standorte sind über FG ans Internet verbunden, einer mit FG50A, einer mit FG50B.
Beide Standorte haben SDSL 2000, die Pingzeiten ins Internet sind ca 30ms.
Beide Standorte sind mit einem VPN-Tunnel gekoppelt, über welchen zwei Server miteinander arbeiten (ADS, Fileserver, Email).
Außerdem geht über den Tunnel ein LAN-gekoppelte TK-Analge mit 4 Kanälen (ca. 4x 80kBit = 320kBit Bandbreite benötigt).
Die Pingzeiten von einem Server zum anderen liegen bei zu hohen 280ms, so daß die Telefonie zum erliegen kommt.
An der FG50A sind zudem noch 6 VPN eingerichtet, welche sich via FG-VPN-CLient anmelden (RemoteDesktop).

Ist die 2MBit Leitung da schon zu dünn ? Oder ists nicht richtig eingerichtet ?
Schon mal vielen Dank im Voraus !
Mitglied: harald21
02.09.2008 um 10:57 Uhr
Hallo,

eine generelle Aussage läßt sich hierzu nicht treffen, da sind einfach mehr Informationen/Tests notwendig:
1. Welche Firmware verwenden die beiden Fortigates (aktuell ist FortiOS 3.00 MR7 build 726)
2. Welche RAM-Auslastung haben die beiden Fortigates (kritisch auf der FG-50A, dieses Modell hat nur 128 MB RAM, ab ca. 70% Auslastung wird es knapp).
3. Wie sind die VPN-Parameter der Phase2 eingerichtet (Quick Mode Selector Source und Dest. jeweils 0.0.0.0/0)?
4. Wie sind die Policies eingerichtet: Evtl. nur eine Policy für den gesamten Traffic zwischen den Aussenstellen?
5. Ist Traffic Priorisierung eingerichtet? Wenn ja mit welchen Werten?
6. Wird für den Tunnel-Trafic Virenscan/IPS vorgenommen?
7. Wie sind die Ping-Zeiten zum ext. Interface der Remote-Fortigate (evtl. tracert machen)?
8. Eine 2 Mbit/s Leitung (das sind ca. 250 kByte/s) sollte eigentlich ausreichen, bitte mal die Bandbreite überprüfen (z. B. mit http://www.wieistmeineip.de/ ), hierzu allerdings kurzzeitig das Protection Profile deaktivieren, da man ansonsten keine exakten Werte erhält.

mfg
Harald
Bitte warten ..
Mitglied: canguru
02.09.2008 um 12:36 Uhr
Hallo Harald,
danke für die schnellen Tips, werde alles prüfen.

canguru
Bitte warten ..
Mitglied: harald21
02.09.2008 um 13:31 Uhr
Hallo canguru,

hier sind nochmal meine Empfehlungen kurz zusammengefasst:
1. IPSec Phase1: Main Mode mit festen IP-Adressen oder Agressive Mode mit DynDNS-Records auf beiden Seiten
2. IPSec Phase2: Quick Mode Selector Source und Dest. jeweils 0.0.0.0/0
3. Eine ENCRYPT-Policy für den Traffic der TK-Anlagen (kein AV/IPS, Prio: high, garant. Bandbreite 40 kByte/s, max. Bandbreite 60 kByte/s), diese Policy an die erste Stelle der Policy-Liste setzen.
4. Eine ENCRYPT-Policy für den restlichen Traffic zwischen den beiden Standorten (default Prio auf medium setzen)

5. Die RAM-Auslastung der FG-50A prüfen
a) In den neueren Firmwares (MR6 und MR7) wurden Optimierungen eingeführt.
b) Evtl muß IPS/Logging, etc. komplett abgeschalten werden (http://kc.forticare.com/default.asp?id=1076&SID=&Lang=1 ).
c) Wenn alles nichts hilft (RAM-Auslastung ist permanent über 70%) muß die FG-50A ausgetauscht werden.

mfg
Harald
Bitte warten ..
Mitglied: canguru
02.09.2008 um 17:00 Uhr
Hallo Harald,

die Firmware ist Fortigate-50A 3.00,build8468,070504,
die eine Seite hat feste IP, die andre per DynNDS (nicht so glücklich, ich weiß). Von beiden Seiten geht ein VPN Tunnel zur andren. IPSec_1 ist bei beiden im Mainmode. Sollte da von fester zur dynamischen IP aggresive zugriffen werden ?
Die Policy des Tunnels steht bei beiden an oberster Stelle.
TrafficShaping hab ich grad eingerichtet - wie kommst du auf die Bandbreiten ?
Meintest du, einen extra zweiten Tunnel für VoIP aufzusetzen ? Damit könnte man dann die Bandbreitenressourcen verteilen ... aber wie kann ich diesen auf Voip-Pakete begrenzen ?

Grüße, canguru
Bitte warten ..
Mitglied: harald21
03.09.2008 um 07:43 Uhr
Hallo,

ich bin mir nicht sicher, was das für eine Build-Nummer ist, allerdings schon eine ziemlich alte (2007-05-04).
Bitte auf eine aktuelle Firmware updaten.
Wenn eine Seite nur einen DynDNS-Record hat, so müssen beide Seiten in den Aggressive Mode geschaltet werden. Der Mode muß immer auf beiden Seiten identisch sein --> Main Mode geht also nur, wenn auch beide Seiten statische IP's haben.
Wegen der Priorisierung bitte den Traffic der TK-Anlagen (Source: TK-Ankage Standort1 / Dest: TK-Anlage Standort2 ) und den restlichen Traffic trennen --> 2 separaten Policies einrichten, dabei TK-Anlage an oberster Stelle. Nur für die TK-Policy Trafic Shaping einrichten, für die anderen Policies nicht --> hier wird dann einfach die default Prio verwendet.
Wenn du das nicht trennst, so wird die Priorisierung auf sämtlichen Traffic zwischen den beiden Standorten angewendet und nicht nur auf den TK-Traffic. Damit wäre der Sinn einer Priorisierung dann nicht erreicht.
Achtung: Die Default Prio der Fortigates steht auf "high", damit das wirklich funktioniert muß die default Prio auf "medium" geändert werden und deiner TK-Traffic-Policy explizit die Prio "high" gegeben werden.

Auf der Konsole:
conf sys glo
set tos-based-priority medium
end


Zur Bandbreitenberechnung: Du hast oben geschrieben "4 Kanälen (ca. 4x 80kBit = 320kBit)"
320 kbit/s sind nun mal 40 kByte/s (in den Fortigates wird das in kByte/s angegeben!), die 60 kBytes/s sind dann noch mal 50% (von 40 kBytes/s) Reserve dazugerechnet.

Wie sieht die RAM-Auslastung aus?

mfg
Harald
Bitte warten ..
Mitglied: canguru
10.09.2008 um 19:27 Uhr
Hallo Harald,

danke für die Hilfen, ich hab jetzt das Shaping eingerichtet, die Pings sind ganz in Ordnung. Werde es morgen nochmal unter Last testen.
Die RAM-Auslastung liegt bei 44% (FG50B) und 69% (FG50A).

Am Rande: Was ich nur nicht verstehe, warum funktioniert ein IPSec zu Dyndns-Anbindungen nur mim Aggressive Mode ? Hab keine Info sazu finden können...

viele Grüße,
canguru
Bitte warten ..
Mitglied: harald21
12.09.2008 um 09:46 Uhr
Hallo,

das ist die Standard-Konfig entsprechend der Empfehlungen von Fortigate. Nach meinen eigenen Erfahrungen kann es auch im Main-Mode funktionieren (auch hier sollten wieder beide Seiten den gleichen Mode verwenden), für Troubleshooting-Zwecke greife ich allerdings auf die Fortinet-Empfehlungen zurück.

Eine RAM-Auslastung <70% auf der FG-50A ist im grünen Bereich.

mfg
Harald
Bitte warten ..
Ähnliche Inhalte
Router & Routing
SSL-VPN FortiGate 90D von Fortinet
Frage von luklukRouter & Routing1 Kommentar

Hallo zusammen, wir nutzen in unserem Netzwerk Firewalls von Fortinet, Modell FortiGate 90D und deren SSL-VPN-Funktion. Vereinfacht sieht das ...

Router & Routing
VPN Client zu VPN Client - Kein ping
gelöst Frage von neueradmuserRouter & Routing5 Kommentare

Hallo, ich habe 2 vpn Client user die sich gegenseitig anpingen wollen sprich von Stuttgart nach Frankfurt per vpn ...

Netzwerkmanagement
Kein Ping aus VPN möglich
gelöst Frage von Babu64Netzwerkmanagement7 Kommentare

Hallo, ich habe folgende Frage: Ich verbinde mich über meinen Mac (Tunnelblick) in mein Firmennetzwerk. Das VPN hat bisher ...

Router & Routing
Mikrotik VPN - kein Ping, keine Verbindung
Frage von BirdyBRouter & Routing5 Kommentare

Hallo zusammen, ich habe hier einen Mikrotik-Router, den ich gerne dazu verwenden würde, den Traffic in das 10.10.20.0/24-Netz über ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 13 StundenWindows 102 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 15 StundenSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 1 TagInternet3 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 1 TagDSL, VDSL2 Kommentare

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
TK-Netze & Geräte
VPN-fähige IP-Telefone
Frage von the-buccaneerTK-Netze & Geräte16 Kommentare

Hi! Weiss noch jemand ein VPN-fähiges IP-Telefon mit dem man z.B. einen Heimarbeitsplatz gesichert anbinden könnte? Habe nur einen ...

Windows Server
GPO nur für bestimmte Computer
Frage von Leo-leWindows Server13 Kommentare

Hallo Forum, gern würde ich ein Robocopy script per Bat an eine GPO hängen. Wichtig wäre aber dort der ...

Windows Server
KMS Facts for Client configuration
Frage von winlinWindows Server13 Kommentare

Hey Leute, wir haben in unserem Netz nun einen neuen KMS Server. Haben Bestands-VMs die noch nicht aktiviert sind. ...

Windows Tools
Software-Tool zum Entfernen von bösartigem Windows
Frage von emeriksWindows Tools11 Kommentare

Hi, siehe Betreff hat das jemals irgendjemand schonmal sinnvoll eingesetzt? (MRT) E.