Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Fortigate VPN - Ping zu langsam

Frage Netzwerke Voice over IP

Mitglied: canguru

canguru (Level 1) - Jetzt verbinden

02.09.2008, aktualisiert 12.09.2008, 9606 Aufrufe, 7 Kommentare

Die Pingzeit durh den VPN mit 2 Fortigate ist zu lang. Warum?

Hallo,

folgende VPN-Situation macht mir intensive Kopfschmerzen (weil die Anwender sich zu Recht ärgern ..):
Zwei Standorte sind über FG ans Internet verbunden, einer mit FG50A, einer mit FG50B.
Beide Standorte haben SDSL 2000, die Pingzeiten ins Internet sind ca 30ms.
Beide Standorte sind mit einem VPN-Tunnel gekoppelt, über welchen zwei Server miteinander arbeiten (ADS, Fileserver, Email).
Außerdem geht über den Tunnel ein LAN-gekoppelte TK-Analge mit 4 Kanälen (ca. 4x 80kBit = 320kBit Bandbreite benötigt).
Die Pingzeiten von einem Server zum anderen liegen bei zu hohen 280ms, so daß die Telefonie zum erliegen kommt.
An der FG50A sind zudem noch 6 VPN eingerichtet, welche sich via FG-VPN-CLient anmelden (RemoteDesktop).

Ist die 2MBit Leitung da schon zu dünn ? Oder ists nicht richtig eingerichtet ?
Schon mal vielen Dank im Voraus !
Mitglied: harald21
02.09.2008 um 10:57 Uhr
Hallo,

eine generelle Aussage läßt sich hierzu nicht treffen, da sind einfach mehr Informationen/Tests notwendig:
1. Welche Firmware verwenden die beiden Fortigates (aktuell ist FortiOS 3.00 MR7 build 726)
2. Welche RAM-Auslastung haben die beiden Fortigates (kritisch auf der FG-50A, dieses Modell hat nur 128 MB RAM, ab ca. 70% Auslastung wird es knapp).
3. Wie sind die VPN-Parameter der Phase2 eingerichtet (Quick Mode Selector Source und Dest. jeweils 0.0.0.0/0)?
4. Wie sind die Policies eingerichtet: Evtl. nur eine Policy für den gesamten Traffic zwischen den Aussenstellen?
5. Ist Traffic Priorisierung eingerichtet? Wenn ja mit welchen Werten?
6. Wird für den Tunnel-Trafic Virenscan/IPS vorgenommen?
7. Wie sind die Ping-Zeiten zum ext. Interface der Remote-Fortigate (evtl. tracert machen)?
8. Eine 2 Mbit/s Leitung (das sind ca. 250 kByte/s) sollte eigentlich ausreichen, bitte mal die Bandbreite überprüfen (z. B. mit http://www.wieistmeineip.de/ ), hierzu allerdings kurzzeitig das Protection Profile deaktivieren, da man ansonsten keine exakten Werte erhält.

Mit freundlichen Grüßen
Harald
Bitte warten ..
Mitglied: canguru
02.09.2008 um 12:36 Uhr
Hallo Harald,
danke für die schnellen Tips, werde alles prüfen.

canguru
Bitte warten ..
Mitglied: harald21
02.09.2008 um 13:31 Uhr
Hallo canguru,

hier sind nochmal meine Empfehlungen kurz zusammengefasst:
1. IPSec Phase1: Main Mode mit festen IP-Adressen oder Agressive Mode mit DynDNS-Records auf beiden Seiten
2. IPSec Phase2: Quick Mode Selector Source und Dest. jeweils 0.0.0.0/0
3. Eine ENCRYPT-Policy für den Traffic der TK-Anlagen (kein AV/IPS, Prio: high, garant. Bandbreite 40 kByte/s, max. Bandbreite 60 kByte/s), diese Policy an die erste Stelle der Policy-Liste setzen.
4. Eine ENCRYPT-Policy für den restlichen Traffic zwischen den beiden Standorten (default Prio auf medium setzen)

5. Die RAM-Auslastung der FG-50A prüfen
a) In den neueren Firmwares (MR6 und MR7) wurden Optimierungen eingeführt.
b) Evtl muß IPS/Logging, etc. komplett abgeschalten werden (http://kc.forticare.com/default.asp?id=1076&SID=&Lang=1 ).
c) Wenn alles nichts hilft (RAM-Auslastung ist permanent über 70%) muß die FG-50A ausgetauscht werden.

Mit freundlichen Grüßen
Harald
Bitte warten ..
Mitglied: canguru
02.09.2008 um 17:00 Uhr
Hallo Harald,

die Firmware ist Fortigate-50A 3.00,build8468,070504,
die eine Seite hat feste IP, die andre per DynNDS (nicht so glücklich, ich weiß). Von beiden Seiten geht ein VPN Tunnel zur andren. IPSec_1 ist bei beiden im Mainmode. Sollte da von fester zur dynamischen IP aggresive zugriffen werden ?
Die Policy des Tunnels steht bei beiden an oberster Stelle.
TrafficShaping hab ich grad eingerichtet - wie kommst du auf die Bandbreiten ?
Meintest du, einen extra zweiten Tunnel für VoIP aufzusetzen ? Damit könnte man dann die Bandbreitenressourcen verteilen ... aber wie kann ich diesen auf Voip-Pakete begrenzen ?

Grüße, canguru
Bitte warten ..
Mitglied: harald21
03.09.2008 um 07:43 Uhr
Hallo,

ich bin mir nicht sicher, was das für eine Build-Nummer ist, allerdings schon eine ziemlich alte (2007-05-04).
Bitte auf eine aktuelle Firmware updaten.
Wenn eine Seite nur einen DynDNS-Record hat, so müssen beide Seiten in den Aggressive Mode geschaltet werden. Der Mode muß immer auf beiden Seiten identisch sein --> Main Mode geht also nur, wenn auch beide Seiten statische IP's haben.
Wegen der Priorisierung bitte den Traffic der TK-Anlagen (Source: TK-Ankage Standort1 / Dest: TK-Anlage Standort2 ) und den restlichen Traffic trennen --> 2 separaten Policies einrichten, dabei TK-Anlage an oberster Stelle. Nur für die TK-Policy Trafic Shaping einrichten, für die anderen Policies nicht --> hier wird dann einfach die default Prio verwendet.
Wenn du das nicht trennst, so wird die Priorisierung auf sämtlichen Traffic zwischen den beiden Standorten angewendet und nicht nur auf den TK-Traffic. Damit wäre der Sinn einer Priorisierung dann nicht erreicht.
Achtung: Die Default Prio der Fortigates steht auf "high", damit das wirklich funktioniert muß die default Prio auf "medium" geändert werden und deiner TK-Traffic-Policy explizit die Prio "high" gegeben werden.

Auf der Konsole:
conf sys glo
set tos-based-priority medium
end


Zur Bandbreitenberechnung: Du hast oben geschrieben "4 Kanälen (ca. 4x 80kBit = 320kBit)"
320 kbit/s sind nun mal 40 kByte/s (in den Fortigates wird das in kByte/s angegeben!), die 60 kBytes/s sind dann noch mal 50% (von 40 kBytes/s) Reserve dazugerechnet.

Wie sieht die RAM-Auslastung aus?

Mit freundlichen Grüßen
Harald
Bitte warten ..
Mitglied: canguru
10.09.2008 um 19:27 Uhr
Hallo Harald,

danke für die Hilfen, ich hab jetzt das Shaping eingerichtet, die Pings sind ganz in Ordnung. Werde es morgen nochmal unter Last testen.
Die RAM-Auslastung liegt bei 44% (FG50B) und 69% (FG50A).

Am Rande: Was ich nur nicht verstehe, warum funktioniert ein IPSec zu Dyndns-Anbindungen nur mim Aggressive Mode ? Hab keine Info sazu finden können...

viele Grüße,
canguru
Bitte warten ..
Mitglied: harald21
12.09.2008 um 09:46 Uhr
Hallo,

das ist die Standard-Konfig entsprechend der Empfehlungen von Fortigate. Nach meinen eigenen Erfahrungen kann es auch im Main-Mode funktionieren (auch hier sollten wieder beide Seiten den gleichen Mode verwenden), für Troubleshooting-Zwecke greife ich allerdings auf die Fortinet-Empfehlungen zurück.

Eine RAM-Auslastung <70% auf der FG-50A ist im grünen Bereich.

Mit freundlichen Grüßen
Harald
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...

Microsoft Office
Keine Updates für Office 2016 (11)

Frage von Motte990 zum Thema Microsoft Office ...