7
Massive Geschwindigskeitsprobleme Netzübergreifend
Hallo Zusammen,
ich habe hier in meinem Netzwerk/meinen Netzwerken teilweise massive Geschwindigkeitsprobleme. Auf dem nachfolgenden Bild habe ich mal mit Paint das Intranet zusammengekritzelt (Ich hoffe man sieht das Bild). Daran könnt ihr euch orientieren.
Mein Rechner steht im 192.168.0.0'er Netz. Mein Ziel ist eine Remotedesktop Verbindung ins 192.168.98.0'er Netz und zwar auf 192.168.98.5. Zwischen den beiden Firewalls ist ein Branch Office Tunnel (VPN) eingerichtet. Netzlaufwerke, sowie RDP funktionieren vom 0.0'er ins 0.98'er Netz. Die Geschwindigkeit ist aber so langsam, dass man nicht damit arbeiten kann. Will man sich per RDP connecten dauert es mindestens 5 Minuten um zur Anmeldemaske zu kommen weil sich das Bild so langsam aufbaut. ISt man dann endlich angemeldet und will beispielsweise einen Ordner öffnen will dauert es wieder 2-3 Minuten ! Bei Netzlaufwerken das selbe Spiel..Entweder lassen sie sich gar nicht erst connecten wegen eines Timeouts oder es dauert so extrem lange Ordner zu listen, dass man dann schon freiwillig oben rechts auf das X klickt
Ist man lokal auf dem Rechner (192.168.98.5) angemeldet geht alles wunderbar schnell. Also am Rechner liegts nicht.
Von aussen ist der 192.168.98.5 auch erreichbar..Über ein NAT..Ich kann von aussen leider nicht testen da ich nur einen bestimmten Port für eine Anwendung geöffnet habe.
Wirkliche Bottlenecks kann ich bisher im Netz auch nicht erkennen. Das LAN in beiden Netzen hat jeweils eine Gbit Anbindung. In der Firewall bekomme ich auch keine Denies (Verbote) o.ä. !
Meint ihr, es könnte etwas mit dem Routing zu tun haben ?
Falls ihr Ideen habt, bitte alles hier rein.
Achja, bevor ich es vergesse..Vor einigen Tagen lief das Ganze noch bedeutend schneller. Ich habe keine Änderungen gemacht, deshalb kann ich mir nicht erklären woher diese Geschwindigkeitseinbußen herkommen !
Danke
Gruß
exellent
ich habe hier in meinem Netzwerk/meinen Netzwerken teilweise massive Geschwindigkeitsprobleme. Auf dem nachfolgenden Bild habe ich mal mit Paint das Intranet zusammengekritzelt (Ich hoffe man sieht das Bild). Daran könnt ihr euch orientieren.
Mein Rechner steht im 192.168.0.0'er Netz. Mein Ziel ist eine Remotedesktop Verbindung ins 192.168.98.0'er Netz und zwar auf 192.168.98.5. Zwischen den beiden Firewalls ist ein Branch Office Tunnel (VPN) eingerichtet. Netzlaufwerke, sowie RDP funktionieren vom 0.0'er ins 0.98'er Netz. Die Geschwindigkeit ist aber so langsam, dass man nicht damit arbeiten kann. Will man sich per RDP connecten dauert es mindestens 5 Minuten um zur Anmeldemaske zu kommen weil sich das Bild so langsam aufbaut. ISt man dann endlich angemeldet und will beispielsweise einen Ordner öffnen will dauert es wieder 2-3 Minuten ! Bei Netzlaufwerken das selbe Spiel..Entweder lassen sie sich gar nicht erst connecten wegen eines Timeouts oder es dauert so extrem lange Ordner zu listen, dass man dann schon freiwillig oben rechts auf das X klickt
Ist man lokal auf dem Rechner (192.168.98.5) angemeldet geht alles wunderbar schnell. Also am Rechner liegts nicht.
Von aussen ist der 192.168.98.5 auch erreichbar..Über ein NAT..Ich kann von aussen leider nicht testen da ich nur einen bestimmten Port für eine Anwendung geöffnet habe.
Wirkliche Bottlenecks kann ich bisher im Netz auch nicht erkennen. Das LAN in beiden Netzen hat jeweils eine Gbit Anbindung. In der Firewall bekomme ich auch keine Denies (Verbote) o.ä. !
Meint ihr, es könnte etwas mit dem Routing zu tun haben ?
Falls ihr Ideen habt, bitte alles hier rein.
Achja, bevor ich es vergesse..Vor einigen Tagen lief das Ganze noch bedeutend schneller. Ich habe keine Änderungen gemacht, deshalb kann ich mir nicht erklären woher diese Geschwindigkeitseinbußen herkommen !
Danke
Gruß
exellent
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 64839
Url: https://administrator.de/contentid/64839
Printed on: April 25, 2024 at 10:04 o'clock
7 Comments
Latest comment
Mmmhhh das ist schwierig, denn mögliche Fehler sind sehr vielfältig. Das Argument Gestern gings noch und wir haben nichts verändert... ist klassisch und stimmt meist nie, das weisst du selber.... Es gibt immer den Kollegen der z.B. unterm Schreibtisch den geheimen NetGear oder Longshine betreibt sofern du das nicht mit Port Security unterbindest....
Dieser Branch Office Tunnel... was ist das ??? Eine VPN Verbindung der beiden FWs über das Internet ?? Oder sind beide FWs am gleichen Standort und lokal über diesen Link verbunden ??? Benutzt deser Tunnel irgendeine Art von Encapsulation ??? Arbeiten die beiden Firewalls in einem Hot Standby oder in einem Active-Active Szenario ???
Zu diesen Fragen sagst du leider nichts
Du kannst erstmal nur strategisch Step für Step vorgehen:
Wichtig ist wie gesagt erstmal zu klären, das alle lokalen Segmente in sich fehlerfrei arbeiten und dort keine Probleme wie Collisions, STP Loops, Link Negotiation Probleme, Broadcast Stürme o.ä. auftreten. Zusätzlich kann man das mit einem Sniffer wie dem www.wireshark.org oder dem Mircrosoft Net-Monitor sehen was dort generell in den Segmenten los ist.
So musst du dich dort rantasten. Einen goldenen Rat kann es wegen der vielen Fehlermöglichkeiten nicht geben...leider !
Dieser Branch Office Tunnel... was ist das ??? Eine VPN Verbindung der beiden FWs über das Internet ?? Oder sind beide FWs am gleichen Standort und lokal über diesen Link verbunden ??? Benutzt deser Tunnel irgendeine Art von Encapsulation ??? Arbeiten die beiden Firewalls in einem Hot Standby oder in einem Active-Active Szenario ???
Zu diesen Fragen sagst du leider nichts
Du kannst erstmal nur strategisch Step für Step vorgehen:
- In den jeweiligen lokalen Segmenten mit NetIO die lokale Performance testen um auszuschliessen, das hier Probleme mit Spanning Tree (zusätzlichen Workgroup Switches unterm Schreibtisch..etc.) bestehen und lokale die Segmente fehlerfrei sind.
- Hast du das verifiziert solltest du mal mit NetIO über die FW testen sofern das Porttechnisch möglich ist um die Layer 3 Performance/ Forwarding der FWs zu testen für die unterschiedlichen Packetgrößen.
Wichtig ist wie gesagt erstmal zu klären, das alle lokalen Segmente in sich fehlerfrei arbeiten und dort keine Probleme wie Collisions, STP Loops, Link Negotiation Probleme, Broadcast Stürme o.ä. auftreten. Zusätzlich kann man das mit einem Sniffer wie dem www.wireshark.org oder dem Mircrosoft Net-Monitor sehen was dort generell in den Segmenten los ist.
So musst du dich dort rantasten. Einen goldenen Rat kann es wegen der vielen Fehlermöglichkeiten nicht geben...leider !
Danke für die schnelle Antwort !
mh sorry war wohl vorhin etwas zu schnell beim Beitrag erstellen und hab einige Informationen vergessen
Branch Office Tunnel scheint eine proprietäre Bezeichnung zu sein..Ist eigentlich nichts anderes als ein stinknormaler VPN Tunnel..Nur eben zwischen 2 Firewalls. Die beiden Firewalls sind über die externe IP vom ISP per VPN verbunden.
Weder Hot-Standby noch Active-Active ! Es ist kein Firewall-Cluster. Ich hatte vorhin vergessen zu erwähnen, dass ich 2 komplett voneinander getrennte IP-Netze bzw. Ranges vom ISP habe.
(xx.159.xx.xx und xx.153.xx.xx) Jedes Netz hat also seine eigene Firewall. Firewall 1 ist für das xx.153.xx.xx Netz zuständig und Firewall 2 für das xx.159.xx.xx Netz..Ich hoffe das ist verständlich..Ich wüsste nicht wie ich es anders erklären kann. Sorry, muss dazu sagen, dass ich gerade noch in der Ausbildung stecke und noch nicht so viel Ahnung von der Materie habe
xx.159.xx.xx ist intern = 192.168.0.0
xx. 153.xx.xx ist intern = 192.168.98.0
Die internen Netze 192.168.0.0 und 192.168.98.0 können untereinander kommunizieren. Es gibt 2 Domänen. Aber ich denke das sollte keine große Rolle spielen oder ?
Wenn ich die Performace intern teste ist alles ok..Manche Server laufen im anderen Netz schnell, andere wiederrum extrem langsam (vom 0.0er ins 0.98er Netz) !
Die Performance über die Firewall werde ich mit NetIO nun mal testen.
Danke !
EDIT : Der Log von den beiden Tests mit NetIO kommt gleich
SC1 :
http://img162.imageshack.us/img162/5338/internhy9.jpg
...Das war der interne Test von 192.168.0.5 auf 192.168.0.10
Die Geschwindigkeit hat sich bei jedem Test geändert da hier noch Exchange Server, Domänencontroller, SQL Server, usw. im Netz arbeiten
SC2 :
http://img162.imageshack.us/img162/5098/externws5.jpg
..Das war der Test vom 192.168.0.0er Netz auf das 192.168.98.0er Netz
Ich habe 10Minuten gewartet und trotzdem keine Antwort bekommen ! Mhh was ist denn da los
mh sorry war wohl vorhin etwas zu schnell beim Beitrag erstellen und hab einige Informationen vergessen
Branch Office Tunnel scheint eine proprietäre Bezeichnung zu sein..Ist eigentlich nichts anderes als ein stinknormaler VPN Tunnel..Nur eben zwischen 2 Firewalls. Die beiden Firewalls sind über die externe IP vom ISP per VPN verbunden.
Weder Hot-Standby noch Active-Active ! Es ist kein Firewall-Cluster. Ich hatte vorhin vergessen zu erwähnen, dass ich 2 komplett voneinander getrennte IP-Netze bzw. Ranges vom ISP habe.
(xx.159.xx.xx und xx.153.xx.xx) Jedes Netz hat also seine eigene Firewall. Firewall 1 ist für das xx.153.xx.xx Netz zuständig und Firewall 2 für das xx.159.xx.xx Netz..Ich hoffe das ist verständlich..Ich wüsste nicht wie ich es anders erklären kann. Sorry, muss dazu sagen, dass ich gerade noch in der Ausbildung stecke und noch nicht so viel Ahnung von der Materie habe
xx.159.xx.xx ist intern = 192.168.0.0
xx. 153.xx.xx ist intern = 192.168.98.0
Die internen Netze 192.168.0.0 und 192.168.98.0 können untereinander kommunizieren. Es gibt 2 Domänen. Aber ich denke das sollte keine große Rolle spielen oder ?
Wenn ich die Performace intern teste ist alles ok..Manche Server laufen im anderen Netz schnell, andere wiederrum extrem langsam (vom 0.0er ins 0.98er Netz) !
Die Performance über die Firewall werde ich mit NetIO nun mal testen.
Danke !
EDIT : Der Log von den beiden Tests mit NetIO kommt gleich
SC1 :
http://img162.imageshack.us/img162/5338/internhy9.jpg
...Das war der interne Test von 192.168.0.5 auf 192.168.0.10
Die Geschwindigkeit hat sich bei jedem Test geändert da hier noch Exchange Server, Domänencontroller, SQL Server, usw. im Netz arbeiten
SC2 :
http://img162.imageshack.us/img162/5098/externws5.jpg
..Das war der Test vom 192.168.0.0er Netz auf das 192.168.98.0er Netz
Ich habe 10Minuten gewartet und trotzdem keine Antwort bekommen ! Mhh was ist denn da los
Hast du NetIO mit der Option -t gestartet ??? Das ist wichtig denn dann nutzt er TCP Packete. Ohne die -t Option macht er nur L2 Netbui.
Was auffällt ist das die TX Rate OK ist. Ca. 80 Mbit, was ein guter Wert bei 100 Mbit Link ist. Die RX Rate ist allerdings sehr schlecht und liegt weit unter 50%. Diese Asymetrie ist nicht normal und deutet schon auf ein Problem hin.
Der test SC1 ist sehr wahrscheinlich lokal gemacht, oder ???
Das du bei SC2 wenn der über die FW geht ein Problem bekommen kannst mag sein, denn sehr wahrscheinlich ist der TCP Port den NetIO nutzt in der FW geblockt ?!
Nebenbei bemerkt: Wenn deine FW Kopplung über eine VPN Verbindung über ein öffentliches Netz geht und damit auch dein Traffic vom .0.0er Segment als auch vom .098.0er Segment dann hast du gar keine Möglichkeit die Performance sauber zu beurteilen, denn du nutzt ein öffentliches Netz das du mit Tausenden von anderen Benutzern teilen musst. Dort lassen sich überhaupt keine Aussagen zum Durchsatz treffen, da das ja Provider abhängig ist, was für Geschwindigkeiten der in seinem Backbone fährt und wieviel Benutzer sich in seinem Netz das Netz teilen. Ggf. macht der sogar ein Rate Limiting auf Peer to Peer VPN Verbindungen. Völlig utopisch also davon auszugehen Perormance auf Linkniveau Geschwindigkeit zu bekommen !!!
Was auffällt ist das die TX Rate OK ist. Ca. 80 Mbit, was ein guter Wert bei 100 Mbit Link ist. Die RX Rate ist allerdings sehr schlecht und liegt weit unter 50%. Diese Asymetrie ist nicht normal und deutet schon auf ein Problem hin.
Der test SC1 ist sehr wahrscheinlich lokal gemacht, oder ???
Das du bei SC2 wenn der über die FW geht ein Problem bekommen kannst mag sein, denn sehr wahrscheinlich ist der TCP Port den NetIO nutzt in der FW geblockt ?!
Nebenbei bemerkt: Wenn deine FW Kopplung über eine VPN Verbindung über ein öffentliches Netz geht und damit auch dein Traffic vom .0.0er Segment als auch vom .098.0er Segment dann hast du gar keine Möglichkeit die Performance sauber zu beurteilen, denn du nutzt ein öffentliches Netz das du mit Tausenden von anderen Benutzern teilen musst. Dort lassen sich überhaupt keine Aussagen zum Durchsatz treffen, da das ja Provider abhängig ist, was für Geschwindigkeiten der in seinem Backbone fährt und wieviel Benutzer sich in seinem Netz das Netz teilen. Ggf. macht der sogar ein Rate Limiting auf Peer to Peer VPN Verbindungen. Völlig utopisch also davon auszugehen Perormance auf Linkniveau Geschwindigkeit zu bekommen !!!
Hi,
jep, ich hab es mit Option -t gestartet. Ich habe mich auch über die Asymetrie gewundert. Ich vermute aber, dass es daran liegt, dass hier derzeit viel im Netz los ist (wie gesagt, SQL Server, Domänencontroller, DNS Server, DHCP Server, Mitarbeiter die surfen :D, usw.). Die Rate hat sich nämlich bei jedem Test geändert !
Genau, Test SC1 war lokal !
Ich hab den TCP Port auf 7003 umgestellt..Denn der ist frei.
Klar, ist es ein öffentliches Netz. Aber wir haben eine 44Mbit dedizierte Standleitung und ich bekomm damit noch nichtmal nen Durchsatz von nem 14,4er Modem hin. Was mich am meisten wundert ist, dass ich keine Antwort vom 192.168.98.0er Netz bekomme mit dem NetIO..Egal wie lange ich warte.
Irgendwas scheint hier gewaltig nicht zu stimmen..Der FTP Server gibt von aussen auch nur noch 0,1 - 0,6 (!!) Kb/s her..
jep, ich hab es mit Option -t gestartet. Ich habe mich auch über die Asymetrie gewundert. Ich vermute aber, dass es daran liegt, dass hier derzeit viel im Netz los ist (wie gesagt, SQL Server, Domänencontroller, DNS Server, DHCP Server, Mitarbeiter die surfen :D, usw.). Die Rate hat sich nämlich bei jedem Test geändert !
Genau, Test SC1 war lokal !
Ich hab den TCP Port auf 7003 umgestellt..Denn der ist frei.
Klar, ist es ein öffentliches Netz. Aber wir haben eine 44Mbit dedizierte Standleitung und ich bekomm damit noch nichtmal nen Durchsatz von nem 14,4er Modem hin. Was mich am meisten wundert ist, dass ich keine Antwort vom 192.168.98.0er Netz bekomme mit dem NetIO..Egal wie lange ich warte.
Irgendwas scheint hier gewaltig nicht zu stimmen..Der FTP Server gibt von aussen auch nur noch 0,1 - 0,6 (!!) Kb/s her..
Ok, 44 Mbit gehen dann nicht über ein öffentliches Netz, sonst nützt dir diese Bandbreite ohne ein commitetes QoS vom Provider natürlich nichts, denn die Last kann auf dem Link so sein das nur 5 Mbit durchkommen. Das ist immer Provider abhängig. Auf einer dedizierten Leitung natürlich nicht...keine Frage !
Die Asymetrie dürfte auch bei Last nicht auftreten, denn wenn viel los ist im Netz gilt das ja logischerweise auch für deine gesendeten Packete, denn die gehen ja auf ein und dasselbe Medium. Da kann man eher vermuten das das Gegenüber TX seitig sehr schwach auf der Brust ist !!! Was ist das ein Server oder Client und was sagt dessen TX Rate ?? Die müsste ja genau so mau sein wie die korrespondirende RX Rate auf deiner Seite ???!!
Wenn segmentübergreifend der NetIO nicht klappt hast du in der Tat ein Routing Problem wenn man die FW ausschliessen kann, das solltest du sicher prüfen (FW Logs, Traceroute, Pathping etc.).
Was sagt denn ein Ping über diese Netze sofern du ICMP Echo in der FW erlaubt hast ?
Das du natürlich erstmal generell die Layer 3 (Routing) Connectivity zwischen diesen Segmenten verifizieren und testen muss sollte klar sein, sonst macht doch ein Performancetest keinen Sinn !
Die Asymetrie dürfte auch bei Last nicht auftreten, denn wenn viel los ist im Netz gilt das ja logischerweise auch für deine gesendeten Packete, denn die gehen ja auf ein und dasselbe Medium. Da kann man eher vermuten das das Gegenüber TX seitig sehr schwach auf der Brust ist !!! Was ist das ein Server oder Client und was sagt dessen TX Rate ?? Die müsste ja genau so mau sein wie die korrespondirende RX Rate auf deiner Seite ???!!
Wenn segmentübergreifend der NetIO nicht klappt hast du in der Tat ein Routing Problem wenn man die FW ausschliessen kann, das solltest du sicher prüfen (FW Logs, Traceroute, Pathping etc.).
Was sagt denn ein Ping über diese Netze sofern du ICMP Echo in der FW erlaubt hast ?
Das du natürlich erstmal generell die Layer 3 (Routing) Connectivity zwischen diesen Segmenten verifizieren und testen muss sollte klar sein, sonst macht doch ein Performancetest keinen Sinn !
Seltsam..
mache ich einen Ping aus dem 192.168.0.0er Netz in das 192.168.98.0er Netz bekomme ich bei einer Paketgröße von 1000 Bytes (!!) eine Antwortzeit von 3Milisekunden..Perfekt. Ich frage mich warum der Rest dann so langsam ist..RDP, SMB, usw.
Ich habe beide Tests jeweils von einem Client (meinem Rechner) auf einen Server durchgeführt. Stimmt schon, die TX Rate ist fast genau so hoch (bzw. niedrig) wie auf der anderen Seite die RX Rate.
Kannst Du mir bitte kurz erklären wie man die Layer3 Connectivity der beiden Segmente testen kann ?
Hast Du eventull eine Ahnung was das mit dem FTP-Server auf sich haben könnte ? Von intern kann ich normal und schnell drauf zugreifen und up/downloaden..Von extern ist er allerdings extrem langsam (0,1 bis max. 0,6 KB/s) und bricht nach einer kurzen Zeit den Transfer ab..Nach Viren/Trojanern/Rootkits hab ich auf dem Ding schon gesucht..War aber alles sauber.
Danke vielmals !
mache ich einen Ping aus dem 192.168.0.0er Netz in das 192.168.98.0er Netz bekomme ich bei einer Paketgröße von 1000 Bytes (!!) eine Antwortzeit von 3Milisekunden..Perfekt. Ich frage mich warum der Rest dann so langsam ist..RDP, SMB, usw.
Ich habe beide Tests jeweils von einem Client (meinem Rechner) auf einen Server durchgeführt. Stimmt schon, die TX Rate ist fast genau so hoch (bzw. niedrig) wie auf der anderen Seite die RX Rate.
Kannst Du mir bitte kurz erklären wie man die Layer3 Connectivity der beiden Segmente testen kann ?
Hast Du eventull eine Ahnung was das mit dem FTP-Server auf sich haben könnte ? Von intern kann ich normal und schnell drauf zugreifen und up/downloaden..Von extern ist er allerdings extrem langsam (0,1 bis max. 0,6 KB/s) und bricht nach einer kurzen Zeit den Transfer ab..Nach Viren/Trojanern/Rootkits hab ich auf dem Ding schon gesucht..War aber alles sauber.
Danke vielmals !
Die Layer 3 Rate testest du doch ganz automatisch, wenn du den Zielhost im anderen Netz angibst. Die NetIO Packete werden dann geroutet....
Das Anwendungen dann so langsam sind liegt dann am Rechner bzw. den Applikationen selber. NetIO nutzt keine solche Dienste sondern setzt auf die Kartentreiber direkt auf. Damt kannst du also sauber deine Netzwerkinfrastruktur testen und somit sicher sagen obs am Rechner selber oder am netzwerk liegt.
Vermutlich ist bei dir der Rechner das Problem. Wenn du einen Server hast der belastet ist wie ist dessen TCP Window Size eingestellt ??
Den Wert findest du in der Registry unter:
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Tcpip/Parameters
Das Anwendungen dann so langsam sind liegt dann am Rechner bzw. den Applikationen selber. NetIO nutzt keine solche Dienste sondern setzt auf die Kartentreiber direkt auf. Damt kannst du also sauber deine Netzwerkinfrastruktur testen und somit sicher sagen obs am Rechner selber oder am netzwerk liegt.
Vermutlich ist bei dir der Rechner das Problem. Wenn du einen Server hast der belastet ist wie ist dessen TCP Window Size eingestellt ??
Den Wert findest du in der Registry unter:
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Tcpip/Parameters
