Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VPN übern Teich - wie verbessern?

Mitglied: blue0711

blue0711 (Level 2) - Jetzt verbinden

02.07.2012, aktualisiert 14:52 Uhr, 4736 Aufrufe, 4 Kommentare

Hallo,

wir betreiben seit einiger Zeit eine VPN-Verbindung zwischen einem Hauptstandort und einer Filiale in USA.
Auf beiden Seiten steht ein Draytek Vigor 2950.
Es werden unterschiedliche IP-Bereiche LAN2LAN geroutet.
In Deutschland steht der W2K3-Domänen-Server, in USA nur eine Storage.
Die VPN-Verbindung als solches funktioniert erstmal.
Auf deutscher Seite liegt technisch ein SDSL mit 4MBit an (Vodafone), auf US-Seite ein Warner-ADSL mit 100/5 MBit.

Doch der Durchsatz lässt zu wünschen übrig. Da würde ich gern was dran verbessern.
MTU wurde schon geprüft und angepasst.
Ping-Zeiten sind grundsätzlich OK für die Entfernung(100-135 ms)
In Deutschland bekomme ich von einem schnellen Zugang aus mit einem VPN-Client die 4 MBit fast vollständig.
Aus USA schaffe ich maximal etwa 900 KBit.
Kann soviel Verlust sein?

Wir hatten vor dem Warner-Anschluss in USA einen langsameren Anschluss, der war letztendlich deutlich stabiler.
Denn derzeit reißt auch öfter mal die Datenübertragung ab (VPN-Verbindung bleibt aber bestehen).
In der Durchsatzdiagnose der Router ist dementsprechend ein starkes Auf und Ab bei laufender Übertragung zu sehen.

Gemessen wurde mit Iperf sowie realer Übertragung sowohl einzelner großer Dateien als auch vieler kleiner Dateien und mit der Diagnose der Router.

Oder hat jemand Vorschläge für eine "vernünftige" VPN-Verbindung? An den Routern sollte es IMHO ja nicht liegen.

Gruß
Kai
Mitglied: brammer
02.07.2012 um 15:25 Uhr
Hallo,

wegen des Satzes

Denn derzeit reißt auch öfter mal die Datenübertragung ab (VPN-Verbindung bleibt aber bestehen).

würde ich das Problem erstmal nicht im VPN suchen.
Die Storage Unit.
Was ist das ?

brammer
Bitte warten ..
Mitglied: blue0711
02.07.2012, aktualisiert um 17:03 Uhr
Die Storage ist lediglich eine terastation (TS-XL/R5). Ist an die AD angemeldet und funktioniert soweit.
In USA für die Client-Rechner reagiert sie wie erwartet, ebenso die Rechner untereinander.
Etwa 70-80% der Netzwerkleistung.

Der Durchsatz im VPN ist aber auch an die Clients so schlecht und das Abreißen der Datenverbindung tritt auch dort auf (zB beim Remote-Desktop).
Mit der Storage hat das dann ja eigentlich nichts zu tun, da die ja auch nur ein Client ist.

Die Client-Rechner sind ebenfalls in der Domäne, legen ihre Profile auf der Storage ab und authentifizieren nur durch das VPN. Auch das funktioniert (Erster DNS ist der Server in Deutschland, zweiter der Router in USA).
Die Routen sind laut pathping alle OK, also immer Client - routerUSA - RouterD - Client und umgekehrt. Und außerhalb des VPNs eben korrekt auf beiden Seiten direkt raus.
Nur Datenaustausch im VPN ist recht lahm, eben unter 1MBit.

Mit der alten Verbindung kamen die Abbrüche nicht vor.
Diese Verbindung war wie gesagt langsamer (2 MBit down), schaffte aber im Upload immerhin 80% der angegebenen Uploadleistung und hatte keine Störungen (war halt nur zu langsam im Upload).
Sowohl die alte als auch die neue Verbindung wurde mit einem Bridge-Modem an DSL realisiert (anscheinend Standard in den USA). Daher kann ich leider kein VPN eines Clients direkt auf den USA-Router testen.

Wenn ich die Internetverbindung in USA teste (Speedtest.net o.ä.), bekomme ich allerdings auch Werte, die OK sind.
Dort kann man ja den Server zum Testen wählen, daher: In USA 4,8 MBit Up, gegen einen deutschen Server immerhin noch 4 MBit up.

Gruß
Kai
Bitte warten ..
Mitglied: MrNetman
03.07.2012 um 09:51 Uhr
Hi Kai,

Da muss man zurück ans TCP-Protokoll denken. Man kann nicht an beliebigen Stellschrauben drehen.

Der VPN muss ja transparent sein, somit hat das Endgerät ein eigenes TCP-Window, dass nicht beliebig vergrößert werden kann. Dieses Fenster und die Laufzeit geben eine maximal nutzbare Bandbreite vor. Die reale Bandbreite könnte, kann größer sein, wird aber nicht genutzt. Teste mal mit parallelen Verbindungen ... wie bei den üblichen Speedtests gegen lokale Server.

Der VPN-Tunnel hat seine eigenen Regeln. Je nach Protokoll kann man auf Antworten warten (TCP), nicht warten (UDP) oder Sonderregeln nutzen (WAN-Beschleunigung mit Spezialprotokollen und Appliances an beiden Enden des WAN).
Die MTU-Size zu ändern erhöht nur die Nutzlast des lokalen Routers, da er die Pakete eventuell teilen und stückeln muss.

Gruß
Netman
Bitte warten ..
Mitglied: blue0711
06.07.2012 um 10:25 Uhr
Hmm, grundsätzlich klar. Wenn mehrere Clients am Router über VPN hängen addiert sich die jeweilige Bandbreite fast bis zu etwa 80-90% der realen Bandbreite.
Nur: Ein einzelner Client mit schnellem Internetzugang kann per VPN ja auch diese 80-90% der Bandbreite nutzen.
Der Router scheint also nicht der Flaschenhals zu sein.
Die baugleichen Router untereinander müssten das dann doch auch können?

Nebenbei: Die Stabilität der Verbindung konnte ich wiederherstellen:
Statt L2TP hab ich nun wieder auf PPTP gestellt.
Am Durchsatz ändert das aber nix.
DAS Problem bleibt.
Bitte warten ..
Ähnliche Inhalte
Batch & Shell
Adresse verbessern
Frage von 3jojojoBatch & Shell9 Kommentare

Hallo Leute. Folgende Anweisungen benutze ich um in einer Datenbank Adressdaten zu verbessern Nun habe ich zusätzlich das Problem ...

SAN, NAS, DAS

Brainstorming: SAN Performance verbessern

Frage von ukulele-7SAN, NAS, DAS5 Kommentare

Situation: Wir haben eine HP P2000 G3 iSCSI als SAN Backend im Einsatz. Verbunden ist sie über 2 Controller ...

Netzwerkmanagement

Port Sicherheit verbessern Lancom Switch GS-23xx

gelöst Frage von HipstertownNetzwerkmanagement13 Kommentare

Hallo zusammen, nun bin ich auch endlich mal registriert hier. Ich würde gerne einen Lancom Switch etwas sicherer bzgl. ...

Schulung & Training

Gehalt verbessern - Bereich IT-Security oder doch lieber SAP ?

Frage von panguuSchulung & Training9 Kommentare

Hallo miteinander, derzeit bin ich als IT-Systemadministrator tätig und übe diesen Beruf seit vielen Jahren aus. Ich würde mich ...

Neue Wissensbeiträge
Vmware
VMware Update für den ESXi 5.5 verfügbar
Information von sabines vor 12 StundenVmware

Nach dem ganzen Hickhack um Update mit Microcode Anpassungen und Rückzug, gibt es nun für den ESXi 5.5 ein ...

CPU, RAM, Mainboards

Meltdown und Spectre: Intel zieht Microcode-Updates für Prozessoren zurück

Information von keine-ahnung vor 16 StundenCPU, RAM, Mainboards5 Kommentare

Moin, extrem lutztig. Nur gut, dass ich noch nicht beim Probanden-Bingo mitgemacht habe :-) LG, Thomas

Router & Routing
PfSense als Addon auf QNAP
Information von magicteddy vor 1 TagRouter & Routing7 Kommentare

Moin, für Spielereien eine ganz nette Idee aber ich fürchte das soetwas auch als echte Firewall genutzt wird: In ...

Datenschutz

Teamviewer kommt für IoT-Geräte wie den Raspberry Pi

Information von magicteddy vor 1 TagDatenschutz1 Kommentar

Moin, jetzt werden IoT Geräte endgültig zur Wanze? Anscheinend kann man auf einem Dashboard seine Geräte visualisieren Ich stelle ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Preis für Wartungsvertrag ok?
gelöst Frage von a-za-zNetzwerkmanagement26 Kommentare

Hallo! Mal ne Frage, weil ich mich mit dem akzeptablen Preis für einen Reaktionszeitvertrag nicht auskenne. Meine Firma hat ...

Windows Server
TEMP-Profile
gelöst Frage von Forseti2003Windows Server21 Kommentare

Guten Morgen, wer kennt sie nicht, die lieben Temporären Benutzerprofile, vorallem immer dann, wenn man sie am wenigsten braucht. ...

Multimedia & Zubehör
Welches Tablet für die Verkäufer?
Frage von Hendrik2586Multimedia & Zubehör15 Kommentare

Guten Morgen meine Lieben, vielleicht könnt ihr mir ja helfen. Es geht um unsere Außendienstmitarbeiter /Verkäufer. Sie sollen demnächst ...

Ubuntu
Ubuntu - Routing mit 2 Netzwerkkarten?
Frage von gabrixlUbuntu13 Kommentare

Hei Folgende Situation: Ich habe zwei virtuelle Maschinen: 1 - Server für DHCP, DNS und Routing - Netzwerkkarte 1: ...