Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Richtige MTU Werte für IPsec VPN (VPN Server hinter Router)

Frage Netzwerke Router & Routing

Mitglied: chr2002

chr2002 (Level 1) - Jetzt verbinden

06.03.2011 um 00:32 Uhr, 25388 Aufrufe, 6 Kommentare

Hallo,

Ich habe Zuhause einen Funkwerk R1200 Router als Internet Gateway, daran hängt ein Bintec VPN Acces 25 als IPsec VPN Server.
Dieser baut eine Verbindung zu einem Netgear FWG114p auf (3DES/MD5 28800/3600 DH-2 (1024) ). Der Tunnel läuft sehr stabil, nur der Datendurchsatz ist etwas schlecht. Vom Vpn Access zum Netgear komme ich grad mal auf 40 kb/s obwohl auf der Vpn Access 25 Seite eine 16000 DSL mit ca 90 kb/s Upload zur Verfügung steht. (Arcor)
Auf der Netgear Seite steht eine DSL light mit ca 120 kb/s down und 12 kb/s Up zur Verfügung. (Telekom)

Ich möchte jetzt erstmal wissen, ob die MTU Werte richtig sind, und ob ich das mit dem MTU richtig verstanden habe

Im Netgear kann man nur den MTU für das PPPoE Interface ändern. Bei der Telekom soll man 1492 einstellen.

Beim R1200 hab ich für das PPPoE Interface auch 1492 eingestellt.
Beim VPN Access kann man im SMNP Manager unter IPSEC -> IKEPROFILETABLE -> MAXMTU den MTU Wert für den Tunnel ändern. Der steht standardmässig auf 1418.

Ist diese MTU Einstellung so richtig, oder muss ich bei den WAN MTU Werten noch den Overhead von ca 50 bytes abziehen.
Oder ist der MTU Wert für das IPsec Profil zu niedrig ?


Evtl kann mir ja jemand da weiterhelfen,

langsam komme ich mit den ganzen MTUs ganz schön durcheinander


Evtl liegt der schlechte Datenduchsatz an was anderem.

Vom Vpn Access 25 zum Netgear sollten ja locker 70-80 drin sein. (Maximaler Upload Speed bei mir 90kb/s --> Maximaler Downloadspeed am Netgear Anschluss ca 120 kb/s)

Lg

chris
Mitglied: aqui
06.03.2011 um 16:40 Uhr
Relevant ist erstmal das du ermittelst welcher MTU Wert generell auf deinem Internet Anschluss wirklich möglich ist. 1492 ist nur der theoretische Wert.
Hier steht wie du diesen Basiswert erstmal ermitteln kannst:
http://www.gschwarz.de/mtu-wert-ermitteln
Davon ist dann abhängig wie der VPN Tunnel MTU Wert eingestellt werden muss !
Bitte warten ..
Mitglied: chr2002
06.03.2011 um 17:41 Uhr
Den WAN MTU hab ich bereits ermittelt. Der ist für beide Anschlüsse (T-Online und Arcor) 1492.

Hab den Wert mit dem Ping Befehl Byte für Byte erhöht und bei 1464 war Schluss. Ab 1465 zeigte mir Omnipeek IP Fragmente, wenn ich das F Flag weg lasse.

Der WAN MTU ist jetzt auf beiden Seiten 1492, habe es auf beiden Seiten mit Omnipeek überprüft.
Bitte warten ..
Mitglied: aqui
07.03.2011 um 10:50 Uhr
Das ist schon mal gut, denn das ist das maximal mögliche. Leider ist der Tunneloverhead bei IPsec im ESP Modus variabel, da er abhängig ist von mehreren Werten wie Payload, Padding usw. usw.
Generell sollte man die IPsec Tunnel MTU im ESP Modus nie größer als 1418 setzen, das ist ein günstiger Wert um ein Dropping von großen IPsec Frames sicher zu verhindern.
In der Regel funktionieren alle IPsec VPN Verbindungen damit völlig problemlos !
Detailierte Infos dazu findest du hier:
http://www.iphelp.ru/doc/3/Cisco.Press.Comparing.Designing.and.Deployin ...
Bitte warten ..
Mitglied: chr2002
07.03.2011 um 21:34 Uhr
Danke für die Tips, der Tunnel MTU ist bei mir bereits auf 1418. Jetzt weis ich jedenfalls schonmal, dass die MTU Werte richtig sind, dann wird der schlechte Datendurchsatz wohl an einem anderen Problem liegen. Ich habe den Verdacht, dass der FWG114P das Problem ist, der ist schon über 8 Jahre alt und ist schon ewig in Betrieb. Ich hab den meinem Freund damals gegeben, um den "Home" Router von der Telekom zu ersetzen. Ich probiere es mal mit 2 R1200, wenn ich den 2. im Ebay erwische
Bitte warten ..
Mitglied: aqui
11.03.2011 um 17:47 Uhr
Na ja... NetGear und VPN...eigentlich ein Trauerspiel wie Insider wissen. Man lese die zahllosen Leidensthreads hier. Als Router für Sofasurfer OK aber für VPNs unbrauchbar. Zumals sie auch nur ein Protokoll supporten.
Draytek und andere können das erheblich besser. Vielleicht ist dann ein Tausch wohl die beste Lösung ?!
Bitte warten ..
Mitglied: chr2002
11.03.2011 um 20:45 Uhr
Ich bin mit dem FWG114P relativ zufieden. Das ist einer aus der ProSafe Serie. Die kleinen ovalen Plastik Design Dinger für den Heim Gebrauch hab ich nicht getestet. Der Router ist zwar schon etwas betagt, macht aber seinen Job ganz gut. Nur leider spinnt der Router manchmal, wenn er nach 24 Stunden getrennt wird. Dann löst er die Adresse vom Dyndns Update Server nicht mehr auf. Ich mach einfach regelmässig nen Reboot über Remote Admin.

Der Tunnel Speed ist jetzt auch ideal, der FWG114p musste einfach nur mal komplett resettet und neu konfiguriert werden.

Mit Draytek war ich immer zufrieden. Hab meinen aber dann gegen den R1200 getauscht.
Der Netgear wird die nächsten Monate auch gegen nen R1200 getauscht.
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Welcher router für gigabit-wan und ipsec VPN
Frage von maidenIronRouter & Routing7 Kommentare

Hallo zusammen Mein bisheriges Setup sieht so aus, dass ich zwei Standorte habe, die untereinander durch IPSec Site-to-Site VPN ...

LAN, WAN, Wireless
VPN IPSec mit Linksys Router funktioniert nicht
gelöst Frage von knubbieLAN, WAN, Wireless5 Kommentare

Hallo Liebes Forum, ich habe ein Netzwerk mit einem Linksys WRV200 Router. Der Router hat die aktuelle Firmware Version. ...

Windows Server
RADIUS-Server - Habe ich den richtigen Router?
gelöst Frage von osze90Windows Server44 Kommentare

Guten Tag Ich habe einen Windows Server RADIUS 2012 installiert nach dieser Anleitung möchte ich den RADIUS -Server installieren: ...

Router & Routing
Problem mit Cisco Router für IPSEC mit VPN Client einzuwählen
gelöst Frage von frank99Router & Routing10 Kommentare

Hallo Forum-Gemeinde, ich probiere schon seit einigen Tagen, aber irgendwo hängt das Problem ich will vom VPN-Client auf einem ...

Neue Wissensbeiträge
Internet

EU-DSGVO: WHOIS soll weniger Informationen liefern

Information von sabines vor 8 StundenInternet3 Kommentare

Wegen der europäische Datenschutzgrundverordnung stehen die Prozesse um die Registierunf von Domains auf dem Prüfstand. Sollte die Forderungen umgesetzt ...

Verschlüsselung & Zertifikate

19 Jahre alter Angriff auf TLS funktioniert immer noch

Information von BassFishFox vor 15 StundenVerschlüsselung & Zertifikate1 Kommentar

Interessant zu lesen. Der Bleichenbacher-Angriff gilt unter Kryptographen als Klassiker, trotzdem funktioniert er oft noch. Wie wir herausgefunden haben, ...

Windows 10

Windows 10 Fall Creators Update - Neue Funktion Hyper-V Standardswitch kann ggf. Fehler bei Proxy Configs verursachen

Erfahrungsbericht von rzlbrnft vor 1 TagWindows 104 Kommentare

Hallo Kollegen, Da wir die Gefahr lieben, haben wir bei einigen Usern nun mittlerweile das Creators Update drauf. Einige ...

Sicherheit

TLS-Zertifikat und privater Schlüssel von Microsofts Dynamics 365 geleakt

Information von Penny.Cilin vor 1 TagSicherheit

Microsoft hat versehentlich das TLS-Zertifikat inklusive dem privaten Schlüssel seiner Business-Anwendung Dynamics 365 geleakt. TLS-Zertifikat und privater Schlüssel von ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
Von rj11 auf rj45
Frage von jensgebkenLAN, WAN, Wireless18 Kommentare

Hallo Gemeinschaft, könnt ihr mir vielleicht bei der anfertigung eines Kabels helfen - habe ein rj 11 stecker und ...

Netzwerkmanagement
Firefox Profieles im Roaming
gelöst Frage von Hendrik2586Netzwerkmanagement17 Kommentare

Hallo liebe Leute. :) Ich hab da ein kleines Problem, welches anscheinend nicht unbekannt ist. Wir nutzen hier in ...

Netzwerkmanagement
NAS über zwei weitere Ethernet Anschlüsse verbinden
gelöst Frage von Sibelius001Netzwerkmanagement17 Kommentare

Sorry - ich bin hier wahrscheinlich als kompetter IT Trottel unterwegs. Aber eventuell kann mir jemand ganz einfach helfen: ...

LAN, WAN, Wireless
Häufig Probleme beim Anmelden in WLAN
Frage von mabue88LAN, WAN, Wireless15 Kommentare

Hallo zusammen, in einem Netzwerk gibt es relativ häufig (1-2 mal pro Woche) Probleme mit der WLAN-Verbindung. Zunächst mal ...