Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Richtige MTU Werte für IPsec VPN (VPN Server hinter Router)

Frage Netzwerke Router & Routing

Mitglied: chr2002

chr2002 (Level 1) - Jetzt verbinden

06.03.2011 um 00:32 Uhr, 21647 Aufrufe, 6 Kommentare

Hallo,

Ich habe Zuhause einen Funkwerk R1200 Router als Internet Gateway, daran hängt ein Bintec VPN Acces 25 als IPsec VPN Server.
Dieser baut eine Verbindung zu einem Netgear FWG114p auf (3DES/MD5 28800/3600 DH-2 (1024) ). Der Tunnel läuft sehr stabil, nur der Datendurchsatz ist etwas schlecht. Vom Vpn Access zum Netgear komme ich grad mal auf 40 kb/s obwohl auf der Vpn Access 25 Seite eine 16000 DSL mit ca 90 kb/s Upload zur Verfügung steht. (Arcor)
Auf der Netgear Seite steht eine DSL light mit ca 120 kb/s down und 12 kb/s Up zur Verfügung. (Telekom)

Ich möchte jetzt erstmal wissen, ob die MTU Werte richtig sind, und ob ich das mit dem MTU richtig verstanden habe

Im Netgear kann man nur den MTU für das PPPoE Interface ändern. Bei der Telekom soll man 1492 einstellen.

Beim R1200 hab ich für das PPPoE Interface auch 1492 eingestellt.
Beim VPN Access kann man im SMNP Manager unter IPSEC -> IKEPROFILETABLE -> MAXMTU den MTU Wert für den Tunnel ändern. Der steht standardmässig auf 1418.

Ist diese MTU Einstellung so richtig, oder muss ich bei den WAN MTU Werten noch den Overhead von ca 50 bytes abziehen.
Oder ist der MTU Wert für das IPsec Profil zu niedrig ?


Evtl kann mir ja jemand da weiterhelfen,

langsam komme ich mit den ganzen MTUs ganz schön durcheinander


Evtl liegt der schlechte Datenduchsatz an was anderem.

Vom Vpn Access 25 zum Netgear sollten ja locker 70-80 drin sein. (Maximaler Upload Speed bei mir 90kb/s --> Maximaler Downloadspeed am Netgear Anschluss ca 120 kb/s)

Lg

chris
Mitglied: aqui
06.03.2011 um 16:40 Uhr
Relevant ist erstmal das du ermittelst welcher MTU Wert generell auf deinem Internet Anschluss wirklich möglich ist. 1492 ist nur der theoretische Wert.
Hier steht wie du diesen Basiswert erstmal ermitteln kannst:
http://www.gschwarz.de/mtu-wert-ermitteln
Davon ist dann abhängig wie der VPN Tunnel MTU Wert eingestellt werden muss !
Bitte warten ..
Mitglied: chr2002
06.03.2011 um 17:41 Uhr
Den WAN MTU hab ich bereits ermittelt. Der ist für beide Anschlüsse (T-Online und Arcor) 1492.

Hab den Wert mit dem Ping Befehl Byte für Byte erhöht und bei 1464 war Schluss. Ab 1465 zeigte mir Omnipeek IP Fragmente, wenn ich das F Flag weg lasse.

Der WAN MTU ist jetzt auf beiden Seiten 1492, habe es auf beiden Seiten mit Omnipeek überprüft.
Bitte warten ..
Mitglied: aqui
07.03.2011 um 10:50 Uhr
Das ist schon mal gut, denn das ist das maximal mögliche. Leider ist der Tunneloverhead bei IPsec im ESP Modus variabel, da er abhängig ist von mehreren Werten wie Payload, Padding usw. usw.
Generell sollte man die IPsec Tunnel MTU im ESP Modus nie größer als 1418 setzen, das ist ein günstiger Wert um ein Dropping von großen IPsec Frames sicher zu verhindern.
In der Regel funktionieren alle IPsec VPN Verbindungen damit völlig problemlos !
Detailierte Infos dazu findest du hier:
http://www.iphelp.ru/doc/3/Cisco.Press.Comparing.Designing.and.Deployin ...
Bitte warten ..
Mitglied: chr2002
07.03.2011 um 21:34 Uhr
Danke für die Tips, der Tunnel MTU ist bei mir bereits auf 1418. Jetzt weis ich jedenfalls schonmal, dass die MTU Werte richtig sind, dann wird der schlechte Datendurchsatz wohl an einem anderen Problem liegen. Ich habe den Verdacht, dass der FWG114P das Problem ist, der ist schon über 8 Jahre alt und ist schon ewig in Betrieb. Ich hab den meinem Freund damals gegeben, um den "Home" Router von der Telekom zu ersetzen. Ich probiere es mal mit 2 R1200, wenn ich den 2. im Ebay erwische
Bitte warten ..
Mitglied: aqui
11.03.2011 um 17:47 Uhr
Na ja... NetGear und VPN...eigentlich ein Trauerspiel wie Insider wissen. Man lese die zahllosen Leidensthreads hier. Als Router für Sofasurfer OK aber für VPNs unbrauchbar. Zumals sie auch nur ein Protokoll supporten.
Draytek und andere können das erheblich besser. Vielleicht ist dann ein Tausch wohl die beste Lösung ?!
Bitte warten ..
Mitglied: chr2002
11.03.2011 um 20:45 Uhr
Ich bin mit dem FWG114P relativ zufieden. Das ist einer aus der ProSafe Serie. Die kleinen ovalen Plastik Design Dinger für den Heim Gebrauch hab ich nicht getestet. Der Router ist zwar schon etwas betagt, macht aber seinen Job ganz gut. Nur leider spinnt der Router manchmal, wenn er nach 24 Stunden getrennt wird. Dann löst er die Adresse vom Dyndns Update Server nicht mehr auf. Ich mach einfach regelmässig nen Reboot über Remote Admin.

Der Tunnel Speed ist jetzt auch ideal, der FWG114p musste einfach nur mal komplett resettet und neu konfiguriert werden.

Mit Draytek war ich immer zufrieden. Hab meinen aber dann gegen den R1200 getauscht.
Der Netgear wird die nächsten Monate auch gegen nen R1200 getauscht.
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Netzwerkmanagement
VPN Server über FritzBox oder über DD-WRT Router (1)

Frage von ValdoAddams zum Thema Netzwerkmanagement ...

Router & Routing
TP-Link Router VPN Verbindung Router Oberfläche nicht erreichbar (3)

Frage von D46505Pl zum Thema Router & Routing ...

Linux Netzwerk
VPN Server mit Drosselung Linux Debian basiert (4)

Frage von Niklas434 zum Thema Linux Netzwerk ...

Router & Routing
gelöst VPN-Server (Fritzbox) hinter Zyxel 5501 betreiben (7)

Frage von basti76nie zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...