[GELÖST] VPN 1783VA-(4G) WEBconfig Zugriff extrem langsam

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
ub99
Beiträge: 17
Registriert: 26 Mär 2023, 12:04

[GELÖST] VPN 1783VA-(4G) WEBconfig Zugriff extrem langsam

Beitrag von ub99 »

Hallo zusammen,

ich bin neu im Forum setze aber Lancom schon seit 2016 ein.
Erstmalig habe ich nun einen entfernten Router per VPN angebunden. IKEv2 VPN auf 1783VA-4G (LTE 100/50Mbps, -69dBm) mit Verbindungsaufbau von 1783VA der hinter einem Kabelrouter hängt (Fritz 6660) die mit DS-Lite (CG-NAT) am Vodafone Netz angebunden ist (Gigabit).
LTE Netz: 10.82.9.0/24
Fritz Cable Netz: 10.82.0.0/24
Lancom Cable Netz: 10.82.1.0/24
Beide Router: LCOS 10.50.1107 (RU10)

Kein doppeltes NAT, Lancom routet ohne NAT in das Fritz-Netz (10.82.0.0/24) bzw. zum Internet hin durch das Fritz Netz. Alles sehr performant.

Der 1783VA baut problemlos das IKEv2 VPN (1-Click Setup, PSK) zum LTE Router auf (der hat eine extern erreichbare, dyn. IPv4 mit dynDNS - alles wunderbar). Den 4G Router erreiche ich auf seiner WEBconfig per https auch wunderbar über die Public IPv4 mit guter Performance.
Aktuell noch keine weiteren Geräte am LTE Router, noch test-setup.

Was nun sehr eigenartig ist:
Wenn ich aus dem 10.82.1.0/24 DURCH DEN TUNNEL auf die WEBconfig des LTE Routers (10.82.9.1) oder per Lanconfig darauf zugreife (entsprechende Einstellungen für WAN sind konfiguriert) ist das extrem schleppend und oft instabil.

Wenn ich vom gleichen Client in 10.82.0.0/24 über das Internet auf Public IP des LTE Routers per WEBconfig zugreife ist alles sehr performant.
Nur im Tunnel ist es ganz schlimm, manchmal dauert es 10 Sekunden bis das Login Fenster kommt, gelegentlich klappt es garnicht. Auch Lanconfig braucht lang bis es dann die Konfiguration einliest.

Habe keine Idee mehr woran das liegen kann, sind ja keine Datenmengen im Spiel und ich bräuchte Tipps zur Fehlereingrenzung. Ping läuft mit 80ms im Mittel ohne Loss durch.

Hat jemand Ideen wo ich ansetzen kann? Ciphers hatte ich schon verschiedene durchprobiert, aber das ändert alles nix. Irgendwas ist aber nicht sauber im Tunnel wie es scheint.

Besten Dank schonmal für jeden Ansatz den ich da verfolgen kann.
Zuletzt geändert von ub99 am 27 Mär 2023, 09:51, insgesamt 2-mal geändert.
Profil stillgelegt -> Neues Profil: cybersmart
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: VPN 1783VA-(4G) WEBconfig Zugriff extrem langsam

Beitrag von Dr.Einstein »

Hi,

MTU am 1783VA (der hinter dem Kabelrouter) nicht korrekt gesetzt. Prüfe, welche MTU du über die WAN Verbindung erreichst und trage diese unter Kommunikation / Protokolle / MTU-Liste ein. Der VPN Tunnel korrigiert sich danach von alleine. Wichtig, nach Anpassung einmal die WAN Verbindung Trennung oder gleich den Router neustarten.
ub99
Beiträge: 17
Registriert: 26 Mär 2023, 12:04

Re: VPN 1783VA-(4G) WEBconfig Zugriff extrem langsam

Beitrag von ub99 »

Dr.Einstein hat geschrieben: 26 Mär 2023, 13:51 MTU am 1783VA (der hinter dem Kabelrouter) nicht korrekt gesetzt. Prüfe, welche MTU du über die WAN Verbindung erreichst und trage diese unter Kommunikation / Protokolle / MTU-Liste ein.
Danke für den Tipp, habe mal WAN/MTU ausgelesen unter „Status“. Siehe Screenshot. Da ist auch ein Wert für den Tunnel eingetragen.
Da habe ich bisher aber keine Erfahrung mit. Ich meinte gelesen zu haben dass 1-Click VPN auch die MTU optimal setzt.
Ein Verdacht ging schon in Richtung MTU, aber wie gesagt bin ich da ohne Erfahrung wie diese eingestellt werden sollte.

Dein Tipp wäre also mit einem Rechner hinter dem 1783VA durch Ping Tests die optimale MTU zu bestimmen für Ziele im WAN und den ermittelten Wert am Router für WAN/INTERNET als auch für den Tunnel als Gegenstelle einzutragen?
D53F0765-AD84-4E12-B160-BE712E9C87D4.jpeg
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Profil stillgelegt -> Neues Profil: cybersmart
ub99
Beiträge: 17
Registriert: 26 Mär 2023, 12:04

Re: VPN 1783VA-(4G) WEBconfig Zugriff extrem langsam

Beitrag von ub99 »

Danke für die richtige Spur mit der MTU.
<1433 wird bei DS-Lite als erforderlich angesehen. Der Lancom Router hat ja 1435 selbst eingestellt, aber die passt nicht. Bin jetzt experimentell auf 1432, dann auf 1400 gegangen - war auch nicht viel besser, aber mit 1300 flutscht es ganz gut.

Es hat übrigens gereicht VPN zu deaktivieren/aktivieren um mit den neuen MTU Werten zu testen.

Werde mich mal einlesen wie ich da den optimalen Wert nun ermitteln kann (ggf ping), aber das war der entscheidende Tipp.
Profil stillgelegt -> Neues Profil: cybersmart
ub99
Beiträge: 17
Registriert: 26 Mär 2023, 12:04

Re: [GELÖST] VPN 1783VA-(4G) WEBconfig Zugriff extrem langsam

Beitrag von ub99 »

Noch eine Verständnisfrage: Aufgrund dieses Artikels wäre
meine Erwartung gewesen, dass genau mein Problem (zu lösen mit manuellem MTU Eintrag für die VPN Gegenstelle) garnicht auftreten sollte.

https://www.lancom-systems.de/docs/LCOS ... ation.html

Vielleicht kann jemand das kurz erklären der da tief drin steckt thematisch - wieso hat der Router sich für den Tunnel nicht „selbst optimiert“?
Zuletzt geändert von ub99 am 28 Mär 2023, 14:26, insgesamt 1-mal geändert.
Profil stillgelegt -> Neues Profil: cybersmart
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: [GELÖST] VPN 1783VA-(4G) WEBconfig Zugriff extrem langsam

Beitrag von Dr.Einstein »

ub99 hat geschrieben: 27 Mär 2023, 00:00 Es hat übrigens gereicht VPN zu deaktivieren/aktivieren um mit den neuen MTU Werten zu testen.
Du solltest ja auch die WAN Verbindung anpassen, nicht die VPN Verbindung. Du wirst jetzt weiterhin ab und an Probleme übers WAN haben, zumindest wenn du hinterm Lancom Router Richtung Internet etwas machst. Wenn du DS-Lite hast, wirst du niemals 1500 Byte auf deinem WAN Interface haben.
ub99 hat geschrieben: 27 Mär 2023, 12:01 Noch eine Verständnisfrage: Aufgrund dieses Artikels wäre
meine Erwartung gewesen, dass genau mein Problem (zu lösen mit manuellem MTU Eintrag für die VPN Gegenstelle) garnicht auftreten sollte.

https://www.lancom-systems.de/docs/LCOS ... ation.html
Der Artikel umfasst die Fragmentierung innerhalb des Tunnels. Diese funktioniert auch solide mit den genannten Protokollen. Allerdings muss der Lancom dafür die korrekte WAN-MTU kennen. Leider funktioniert / gibt es aktuell keine vernünftige Auto-MTU-Discovery innerhalb eines VPN-Tunnels bei Lancom.
ub99
Beiträge: 17
Registriert: 26 Mär 2023, 12:04

Re: [GELÖST] VPN 1783VA-(4G) WEBconfig Zugriff extrem langsam

Beitrag von ub99 »

Dr.Einstein hat geschrieben: 27 Mär 2023, 12:05 Du solltest ja auch die WAN Verbindung anpassen, nicht die VPN Verbindung. Du wirst jetzt weiterhin ab und an Probleme übers WAN haben, zumindest wenn du hinterm Lancom Router Richtung Internet etwas machst. Wenn du DS-Lite hast, wirst du niemals 1500 Byte auf deinem WAN Interface haben.
Ich habe beides angepasst, WAN mit ping tests den optimalen Wert ohne Fragmentierung gesucht und dann +28 als MTU in der MTU Liste mit Gegenstelle Internet angepasst (1460).

Dann im Tunnel den gleichen Test und MTU in der MTU Liste für die Tunnel-Gegenstelle angepasst (1350)
ub99 hat geschrieben: 27 Mär 2023, 12:01 Noch eine Verständnisfrage: Aufgrund dieses Artikels wäre
meine Erwartung gewesen, dass genau mein Problem (zu lösen mit manuellem MTU Eintrag für die VPN Gegenstelle) garnicht auftreten sollte.

https://www.lancom-systems.de/docs/LCOS ... ation.html

Der Artikel umfasst die Fragmentierung innerhalb des Tunnels. Diese funktioniert auch solide mit den genannten Protokollen. Allerdings muss der Lancom dafür die korrekte WAN-MTU kennen. Leider funktioniert / gibt es aktuell keine vernünftige Auto-MTU-Discovery innerhalb eines VPN-Tunnels bei Lancom.
Ich mache gerne noch einen Test indem ich aus der MTU Liste die VPN MTU wieder rausnehme und nur WAN MTU auf 1460 optimiert lasse, aber ich vermute dass er im Tunnel dann wieder fragmentiert und auf 1435 einstellt. Mit den beiden Werten in der MTU Liste sieht es grad gut aus, aber wenn der Tunnel sich bei passender WAN MTU auch performant verhalten sollte umso besser.

Danke für die Hilfe schonmal.
Profil stillgelegt -> Neues Profil: cybersmart
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: [GELÖST] VPN 1783VA-(4G) WEBconfig Zugriff extrem langsam

Beitrag von Dr.Einstein »

ub99 hat geschrieben: 28 Mär 2023, 14:35 Ich habe beides angepasst, WAN mit ping tests den optimalen Wert ohne Fragmentierung gesucht und dann +28 als MTU in der MTU Liste mit Gegenstelle Internet angepasst (1460).

Dann im Tunnel den gleichen Test und MTU in der MTU Liste für die Tunnel-Gegenstelle angepasst (1350)
Find ich komisch, da Lancom IKEv2 AES-GCM mit einer Headerlast von grob 65 Byte annimmt. D.h. wenn du einen Provider mit 1460 Byte hast und dies auch fest im WAN hinterlegst, wird die VPN Gegenstelle vom Lancom automatisch auf 1395 Byte runtergesetzt. Der Wert sollte auch deiner Nutzlast entsprechen. Es kann natürlich sein, dass dein Provider aufgrund der DS-Lite Situation irgendwelche Sonderbehandlungen für ESP Pakete macht, alles schon erlebt.

Danke für die Rückmeldung.
Antworten