Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

IPSec VPN in eine Richtung sehr langsam

Frage Netzwerke Router & Routing

Mitglied: homtg1

homtg1 (Level 1) - Jetzt verbinden

02.06.2012 um 17:47 Uhr, 6560 Aufrufe, 4 Kommentare

Hallo,

ich habe einen IPSec VPN Tunnel zischen zwei Standorten aufgebaut und jetzt das Problem, dass Datenübertragungen in eine "Richtung" sehr langsam sind. Dabei scheint es aber nicht nur auf die Richtung sondern auch auf den Initiator an zu kommen.

Das Setup:

Station1:
- DSL 16.000er Anbindung
- Upload ca. 100 KB/s
- Linksys RV042 VPN Router
- Router: 192.168.0.1
- Lokales Subnetz: 192.168.0.x

Station2:
- Unitymedia 64.000er Anbindung über Kabelnetz
- Upload ca. 500 KB/s
- Cisco RV220W VPN Router/Firewall
- Router: 192.168.5.1
- Lokales Subnetz: 192.168.5.x

IPSec Tunnel:
- 3DES Encryption (Auch mit AES128 versucht, kein Performanceunterschied)
- Dynamische IP's werden auf beiden Seiten über DDNS Service aufgelöst


Der VPN Tunnel funktioniert, die jeweils entfernten Subnetze sind an beiden Standorten verfügbar.

Alle Datenübertragungen, die ich von Station2 aus starte, sind so schnell wie die maximalen Uploads, also völlig in Ordnung. Wenn ich mich an einem Rechner an Station2 befinde kann ich also mit "voller" Geschwindigkeit in das entfernte Netz hochladen und auch daraus herunterladen.

Wenn ich mich aber an Station1 befinde, dann sind alle Datenübertragungen die ich von hier aus starte extrem langsam, die Verbindung ist aber prinzipiell da. (unbenutzbar langsam, ca. 10KB/Minute) Es spielt keine Rolle ob es HTTP, FTP oder Windows File Transfer ist. Lediglich auf den entfernten Router (also 192.168.5.1 in diesem Fall) scheine ich mit der Gescheindigkeit zugreifen zu können die per Natzanbieter möglich ist. Alle IP's "hinter" dem Gateway sind unbenutzbar.

PING's funktionieren dagegen in alle Richtungen ohne Probleme mit ca. 20ms, was denke ich auch in Ordnung ist. Nur Datenübertragungen sind problematisch.

Was ich als Problemquelle ausschließen kann sind denke ich:
- Beschränkungen der Provider, denn in eine Richtung können diese je wie erwartet voll ausgenutzt werden
- Protokoll (HTTP/FTP/File Transfer macht wie gesagt keinen Unterschied)
- Lastprobleme wegen Encryption oder Einstellung des IPSec Tunnels an einem der Router, denn prinzipiell zeigt sich ja bei Übertragungen von Station2 aus, dass beide Router in der Lage sind die erwartete Geschwindigkeit zu gehen
- Irgendwelche Probleme der zum Testen verwendeten Clients, ich habe es mit diversen Maschinen versucht per WLAN und LAN mit und ohne Firewalls und auf Windows und Unix Betriebssystemen

Mein einziger Anhaltspunkt ist, dass auch von Station1 aus auf den entfernten Gateway/Router scheinbar mit voller Geschwindigkeit zugreifen kann, auf alles "dahinter" aber nicht. Und das in Kombination mit der Info das dieses Problem nur auftritt wenn die Verbindungen von Station1 auf initiiert werden.

Ich vermute das Problem in den LAN-Einstellungen bei einem der Router, habe schon versucht die internen Firewalls testweise aus zu schalten, mit den MTU's herum zu spielen und manuell Routen zu konfigurieren aber nichts half bisher.

Hat Jemand eine Idee? Ich bin für alle hilfreichen Tipps dankbar. ;)
Mitglied: aqui
02.06.2012, aktualisiert um 21:56 Uhr
Mit den MTUs sollst du auch nicht "rumspielen" sondern die max. MTU pro Location richtig ermitteln. Spielen tut man im Kindergarten aber nicht in der IT
Wie das geht steht hier:
http://www.gschwarz.de/mtu-wert-ermitteln
Du musst davon noch den VPN Header abziehen, und was dann übrigbleibt ist deine MTU die du auf den Routern einstellen musst. Andernfalls kommt es zur Fragementierung mit dem Ergebnis was du siehst.
Klar sollte dir sein das an Station 1 ADSL also eine asymetrische Leitung ist die max. im best case 1024 kBit/s im Upload schafft also ~100 kB. Das wird also immer physisches Limit bleiben.
Deine Äußerung auf "die Router zuzugreifen" ist irgendwie unverständlich, denn mit deiner Anwendung greifst du ja niemals auf die Router selber zu, die leiten nur durch bzw. enkapsulieren in den bestehenden ESP Tunnel. Was du letztlich damit meist ist also etwas unverständlich.
Einzig zählt die Paket Forwarding Rate in dem Modus am Router also das was der Router über seinen CPU an Paketen durchschieben kann. Das ist ein Wert der vollkommen unabhängig von der physischen Connectrate ist. Die bestimmt eh das Modem davor denn beide Router sind Breitbandrouter ohne Modem die immer mit 100 Mbit/s am Modem connected sind.
100 Mbit Paket Durchsatzrate ist aber utopisch für diese Plattformen.
So oder so unsinnig, denn die max. Geschwindigkeit bestimmt der DSL oder Kabelanschluss am Modem. Station 1 wird also erwartungsgemäß immer langsame sein weil der Upload nicht mehr hergbt. Allerdings nicht mit einem 10 kB Wert das ist klar.
Wenn kein anderer Traffic den DSL Link an Station 1 behindert sollten realsitisch zw. 70 und 90 kB möglich sein.
Der RV042 ist schon altes Eisen, also soviel Paket Forwarding Rate darfst du im NAT und PPPoE Betrieb nicht erwarten von ihm. Kommt noch die IPsec VPN Encapsulation dazu gehts eher noch weiter nach unten. 10 kB ist aber weit unter dem was er bringen sollte.
Manuell zu routen ist ja auch völliger Unsinn, denn du hast ja gar keine IP Netze die routebar wären in der simplen VPN Verbindung.
Sehr wahrscheinlich ist das wirklich ein Fragmentierungsproblem auf den Routern selber durch falsche MTU Settings.
Interessant wäre auch mal ein MTU Ping wie oben beschrieben zw. 2 Endgeräten über den aktiven VPN Link was da an max. MTU überhaupt übertragen werden kann.
Leider hast du das vermutlich auch nicht gemacht
Bitte warten ..
Mitglied: homtg1
03.06.2012 um 02:41 Uhr
"rumgespielt" = ich habe die MTU per Ping ermittelt, entsprechend der Beschreibung im Link eingestellt, das hat aber keine Verbesserung gebracht.

MTU Ping durch den VPN Tunnel habe ich noch nicht gemacht, richtig, wie genau muss ich denn mit den Ergebnissem umstellen bzw. wie dann die MTU Einstellungen anpassen?

Der RV042 ist wirklich nicht der neuste, schafft aber problemlos 100 KB/s über den IPSec Tunnel, wenn ich die Datenübertragung von der Seite der Station2 aus starte dann sehe ich ja das es technisch möglich ist.

Zur Erklärung als Beispiel:
192.168.0.100 ist ein Rechner an Station1, nennen wir ihn "Rechner1"
192.168.5.100 ist ein Rechner an Station2, nennen wir ihn "Rechner2"

Wenn ich vom Rechner2 aus auf Rechner1 zugreife (\\192.168.0.100\c$) und eine Datei herunterlade oder hochlade, dann habe ich volle Geschwindigkeit, also die maximale vom Provider ermöglichte.

Wenn ich aber vom Rechner1 aus auf Rechner2 zugreife (\\192.168.5.100\c$) dann kann ich weder hoch- noch herunterladen.

Weiteres Beispiel um mein "auf den Router zugreifen" näher zu erklären:
Wenn ich von Rechner1 über VPN Tunnel auf Rechner2 (192.168.5.100) zugreife ist die Geschwindigkeit miserabel. Auf Rechner2 läuft ein Apache und wenn ich per URL ein 11KB Bild öffnen möchte dann bricht der Bildaufbau irgendwann ab weil es so extremst langsam ist. Wenn ich aber von Rechner1 durch den VPN Tunnel auf den entfernten Roter zugreife, also auf die Konfigurationsseite des entfernten Routers, dann müssen ca. 100KB geladen werden wie ich im Firebug sehen kann, diese 100KB werden problemlos geladen und ich kann auf der Konfigurationsseite problemlos navigieren. Die Geschwindigkeit zum Entfernten gateway ist also gut aber wie gesagt alles was dahinter ist dann nicht mehr, das kann ja nicht an den MTU Einstellungen liegen oder würde es dann Sinn machen das der Durchsatz nur schlecht ist wenn ich Übertragungen von Station1 aus initiiere?

Vielen Dank nochmals.
Bitte warten ..
Mitglied: aqui
04.06.2012 um 10:55 Uhr
Das hört sich dann aber eher danach an als ob du ein problem zwischen den Endgeräten hast NICHT aber mit den Routern selber.
Wenn der Verbindungsaufbau von 2 auf 1 immer und in jeder Richtung (beidseitiger Filetransfer) sauber und schnell funktioniert abhängig von der max. möglichen physischen Uload Geschwindigkeit ist es ja generell KEIN Problem der Verbindung selber ! Wäre es das würdes du entweder im Upload oder Download irgendetwas bemerken.
Interessant ist die tatsache das diese Fehler nur einzig dann auftreten wenn du die Session von 1 nach 2 initiierst. Entweder schlägt die MTU Path Discovery fehl oder es passiert gar nicht erst eine.
Das sieht eher so aus also ob generell am IP Stack der beteiligenten OS ein Fehler passiert ?!
Ist dort irgendwie Windows XP im Spiel ?
Du solltest in der Tat einmal einen max. MTU Test zwischen diesen beiden Endgeräten direkt machen und zwar einmal von 1 nach 2 und auch von 2 nach 1.
Bitte warten ..
Mitglied: homtg1
12.06.2012 um 01:04 Uhr
Hi,

also ich habe nun einen MTU-Ping zwischen den beiden Routern gemacht (MTU an beiden Routern steht aktuell auf 1500 falls das wichtig ist):

Von Station2 zu Station1 maximal möglich:
ping -f -l 1404 192.168.0.1

Von Station1 zu Station2 reiche ich nach. ;)

Ich weiß nur nicht wie ich dann mit dem Ergebnis umgehen muss wenn ich es habe, was sagt mir das und wie muss ich die MTU's der Router dann anpassen.

Zudem habe ich festgestellt das der Internetzugang an Station2 nicht mehr zu funktionieren scheint wenn ich die MTU auf z.B. 1400 einstelle.

Danke für die Hilfe nochmals ;)
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Router & Routing
gelöst 18 Standorte via IPSEC VPN verbinden (26)

Frage von Nichtsnutz zum Thema Router & Routing ...

LAN, WAN, Wireless
gelöst L2TP-IPsec VPN pfSense 2.3 (6)

Frage von maddig zum Thema LAN, WAN, Wireless ...

Router & Routing
Cisco IPSEC VPN - Magic Packet (WOL) - ip helper-address (4)

Frage von Bernhard-B zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...