VPN beschleunigen? Zu viel verschlüsselt?!

[koehne]

Ich habe ein Problem. Seit dem wir eine Standleitung mit 10/10 Mbit haben ist uns aufgefallen, dass scheinbar der VPN Tunnel die Verbindung zwischen unseren beiden Standorten (der zweite ist mit 100/6 Mbit angebunden) verlangsamt. Und zwar geht in beiden Standorten der Upload nicht höher als 3 Mbit.

Die VPN Verbindung habe ich selbst nicht eingerichtet, glaube aber das es an der Verschlüsselung liegt.

VPN/Allgemein/IPSec-over-HTTPS annehmen angehakt

VPN/Allgemein/VPN/Allgemein/erbindungs-Parameter
Hier steht auch in jedem der 5 Felder was drin (PFS-Gruppe,IKE-Gruppe,IKE-Proposal, IKE-Schlüssel, IPSec-Prposals)

Woran genau erkenne ich in welchem Menüpunkt welche Verschlüsselungen verwendet werden, weil ich Gefühl habe das alle verwendet werden. Denn in der IPSec-Proposal-Listen steht unter der VPN Verbindung bei Proposal gesamt 5 Stück: WIZ-TN-AES-MD5-96, WIZ-TN-BLW-SHA-96, WIZ-TN-BLWSHA-SHA, WIZ-TN-3DS-MD5-96 und WIZ-TN-3DS-SHA-96

Heißt das alle 5 werden verwendet? Könnte man die Verschlüsselung temporär ausschalten oder nur 1 oder 2 Methoden verwenden?

[backslash]

Hi koehne

Und zwar geht in beiden Standorten der Upload nicht höher als 3 Mbit.

wie hast du das gemessen? per FTP-Upload oder per SMB (Windowsfreigabe)? - Such mal im Forum SMB und du wirst ggf. schon imersten Link eine Antwort auf deine Frage finden

BTW: die gleiche Suche bringt auch diesen Thread hier von Dir zu Tage http://www.lancom-forum.de/ptopic,64616,smb.html#64616, in dem du schonmal die selbe Frage gestellt hast...

Gruß
Backslash

[koehne]

Ich weiß das ich dazu schon einen Thread eröffnet habe, daher habe ich von dem damaligen Thread auch zu diesem im letzten Post verlinkt, da ich das Problem scheinbar eingegrenzt habe.

Ich glaube nicht das es am SMB liegt, da ich über den VPN Tunnel per FTP auf unseren NAS-Server zugegriffen habe und der Upload auch nur ca. 3 Mbit war.

Daher habe ich die Verschlüsselung vom VPN Tunnel im verdacht.

Die Frage welche ich habe ist, woran genau ich erkenn welcher Verschlüsselung verwendet wird und wie ich ein paar davon deaktivieren kann.

Scheinbar handelt es sich dabei um die Proposals unter IKE und IPSec?! Muss ich da nur die "überflüssigen" auf beiden Routern rausnehmen?

P.S. Der Tunnel wird über zwei LANCOM Router aufgebaut.

[backslash]

Hi koehne

Die Frage welche ich habe ist, woran genau ich erkenn welcher Verschlüsselung verwendet wird und wie ich ein paar davon deaktivieren kann.

um zu sehen, welche Verschlüsselung genutzt wird, schaust du einfach unter /Status/VPN/Connections nach...

Scheinbar handelt es sich dabei um die Proposals unter IKE und IPSec?! Muss ich da nur die "überflüssigen" auf beiden Routern rausnehmen?

für die Verschlüsselung sind die IPSec-Proposals wichtig - und ja: nimm die raus, die du nicht nutzen willst - i.A. wäre das heutzutage *alles* außer AES...

Und ich hoffe, daß du keine Komression nutzt - die bringt nur was, bei schmalbandigen Anbindungen

Gruß
Backslash

[koehne]

Scheinbar ist nur eine Verbindung eingerichtet oder wie muss ich das verstehen? siehe Bild vpn.png

Nach dem Test alle Proposals unter ipsec-param. und ipsec-proposal-listen und bei den ike-param. rausgenommen, leider ohne eine Beschleunigung des Datentransfers (bild vpn2.png)

War das überhaupt der richtige Ansatz?

[backslash]

Hi koehne

du hast ja die SSL-Encapsulation (IPSec over HTTP) an... Das ist letztendlich keine gute Idee, denn dadurch "bekämpfen" sich bei einer FTP-Übertragung im Ernstfall zwei TCP-Regelungen, was zu geringerer Performance führen kann: Das innere TCP (FTP) erhöht zuerst seine Senderate, das äußere (IPSec over HTTP) folgt dem aber nur mit Verzögerung (Stichwort: slowstart), was zu einer höhern Round-Trip-Zeit des inneren TCP (FTP) führt, wodurch dieses seine Senderate wieder absenkt...

IPSec over HTTP ist eigentlich eine Notlösung für Provider oder Hotspots, die IPSEC sperren und sollte auch nur verwendet werden, wenn es sich gar nicht umgehen läßt - zudem führt das auch noch zu einer höheren Load, weil beim TCP die Datenpakete umkopiert werden müssen was die Round-Trip-Zeit und damit die Performance zusätzlich belastet

Schalte um auf natives IPSec und schau dann mal, was passiert...

Gruß
Backslash

[koehne]

Ob es jetzt an dem IPsec over HTTPs liegt oder nicht sei jetzt mal dahin gestellt.

Ich habe jetzt eine zweite VPN Verbindung zu einem anderen Filiale aufgebaut. Diese ist mit LTE Down/Up 20000/5000 angebunden.

Bei dieser Verbindung kann im in der Filiale nur mit 1,7Mbit von der Zentrale runterladen.
Wie schon gesagt, ist die Filiale aber mit 8,x Mbit angebunden!

Mach ich irgendwas falsch beim VPN einrichten? Hab den 1-Click VPN Wizard benutzt.

[Bernie137]

Ob es jetzt an dem IPsec over HTTPs liegt oder nicht sei jetzt mal dahin gestellt.

Das würde ich nicht so daher sagen. Die Empfehlung war ja klar und deutlich formuliert von backslash.

Wenn Du geholfen bekommen möchtest, dann solltest mal die beteiligten Geräte mit Firmwarestand und allem drum und dran benennen, ggf. vorgeschaltetet Modems/Router auch.

Mach ich irgendwas falsch beim VPN einrichten? Hab den 1-Click VPN Wizard benutzt.

Das ist oft ein Kompromiss. Ich habe schon mehrfach hier gelesen, dass diese Konfigurationen nachgebssert werden mussten, oder eben gleich nochmal neu per Hand angelegt wurden.

Viele Grüße
Heiko

[MariusP]

Hi,

Ob es jetzt an dem IPsec over HTTPs liegt oder nicht sei jetzt mal dahin gestellt.

heißt das du es jetzt wirklich auf jeder Verbindung IPSEC-over-HTTPs ausgeschaltet hast??
Es ist wirklich nur dann hilfreich wenn die Verbindung ansonsten garnicht aufgebaut werden kann.
Ansonsten bremst es alles aus.

Du solltest vielleicht auch statt MD5 für die Hashes SHA1(sicherer als MD5) benutzen ( SHA2 ist sicherer aber nicht auf jedem Gerät von der Krypto-Beschleunigung-Hardware unterstützt, also nur in Software).

Ich habe jetzt eine zweite VPN Verbindung zu einem anderen Filiale aufgebaut. Diese ist mit LTE Down/Up 20000/5000 angebunden.

Bei dieser Verbindung kann im in der Filiale nur mit 1,7Mbit von der Zentrale runterladen.
Wie schon gesagt, ist die Filiale aber mit 8,x Mbit angebunden!

D.h. Du hast von der Filiale zur Zentrale nur 5000kBit und
Du hast von der Zentrale zur Filiale nur 10000kBit
Der ESP Header ist verhätlnismäßig klein daher sollte ein Verschlüsseln an sich nicht viel der Bandbreite "stehlen", der Verschlüsselungsvorgang selber sollte bei 10 MBit nicht der beschneidende Faktor sein.
Welche Geräte verwendest du denn jeweils, damit wir die Leistung dieser Geräte einschätzen können?
Wieviel Mbit schaffst du denn über einen direkten Download zwischen beiden Seiten?

Ob du bei der Konfiguration falsch gemacht hast könnten wir nur ausschließen, wenn wir eine geschwärzte "komplette" Konfiguration beider Seiten bekommen würden.
Also Passwörter und öffentliche IPs entfernen.
Gruß

[koehne]

Zentrale: Lancom 1821n Wireless - neuste Firmware 8.62.0050RU2
Filiale: Lancom 1780ew-4g - neuste Firmware 8.82.0100RU1

Das mmit dem IPSec-over-HTTPS war so schon immer eingestellt, deswegen habe ich das einfach mit übernommen. Muss das für eine LTE Verbindung nicht sowieso aktiviert werden?

Wenn ich bei beiden Routern VPN->Allgemein->Verbindungs-Liste->Eintrag Bearbeiten->IPSec-over-HTTPS->aus einstelle, dann kommt keine VPN Verbindung mehr zustande

[Bernie137]

Zentrale: Lancom 1821n Wireless - neuste Firmware 8.62.0050RU2
Filiale: Lancom 1780ew-4g - neuste Firmware 8.82.0100RU1

Es gibt für beide die 8.82. Aber das ändert wohl nix. Wie sind die Internetzugänge an beiden Geräten eingerichtet (Schnittstellen, Setup Assistent für Internet benutzt und welchen Unterpunkt?) und was hängt noch davor (Router/Modem)?
Dann können die Leute hier einschätzen, ob die "Grundlage" also die eigentlichen Internetzugänge ordentlich schnell funktionieren.

Viele Grüße
Heiko

[koehne]

Ach doch die 8.82 ... warum hat mir der Update-Assistent das nicht gleich draufgespielt sondern erst von 8.50 auf 8.62 geupdatet, ist doch auch sinnlos!

Bei 1780ew-4g wurde der Setupassistent benutzt und wie https://www2.lancom.de/kb.nsf/1275/DCC7 ... enDocument eingerichtet (ist aber Telekom)
Als Schnittstelle gibt es und WAN nur die vom LTE Wizard angelegte Verbindung.

Der 1821n hat 3 DSL Anschlüsse: 2x 16000er + 1x 10 SDSL. Ob die mit dem Setup Assistenten angelegt wurde, weiß ich leider nicht. Der eine 16000 ist am internen Modem, der andere hat ein externes Modem. Für das SDSL ist die vorgeschaltene Hardware von der Telekom.

Nur warum sollen die Internetanschlüsse denn nicht orgentlich schnell funktionieren? Wurde schon von mir getestet, dass die volle Down- und Uploadrate vorhanden ist, nur eben leider nicht im VPN Tunnel.

[Bernie137]

Der 1821n hat 3 DSL Anschlüsse: 2x 16000er + 1x 10 SDSL.

Ist vielleicht ein bissel zu viel des Guten. Was macht denn diese eierlegende Wollmilchsau noch so alles? WLAN, VPN, Firewall und den Internetzugang zum surfen und und und ... Wofür sind die beiden 16000 DSLer an dem Gerät?

Ich könnte mir gut vorstellen das dort die Schwachstelle ist, dass es nicht genug Durchsatz bringt im VPN Tunnel. Was sagt die CPU Auslastung am 1821n Spitzenwerte und Tagesdurchschnitt?

Viele Grüße
Heiko

[koehne]

Ist vielleicht ein bissel zu viel des Guten. Was macht denn diese eierlegende Wollmilchsau noch so alles? WLAN, VPN, Firewall und den Internetzugang zum surfen und und und ... Wofür sind die beiden 16000 DSLer an dem Gerät?

Ich könnte mir gut vorstellen das dort die Schwachstelle ist, dass es nicht genug Durchsatz bringt im VPN Tunnel. Was sagt die CPU Auslastung am 1821n Spitzenwerte und Tagesdurchschnitt?

Die meiste Zeit eiert der 1821n bei ca. 10-20% CPU Last rum. Wenn ich über beide Filialen was von der Zentrale rüberkopiere steigt die Last auf max. 45-50%. Somit sollte die CPU als Limitierung herausfallen.
Ja der Router macht WLAN, VPN, Firewall, Loadbalancer für die 3 Internetzugänge! Wobei man auch bedenken muss, dass der Router genau für sowas entwickelt wurde!

Es muss definitiv irgendwo ein Einstellungsproblem vorliegen. Wobei es mich allerdings wundert, dass die Bandbreite über LTE mehr als die Hälfte geringer ist als die zur andere Filiale (die im übrigen mit Kabel Down/Up 100000/6000 angebunden ist)

Das Limit der beiden VPN Verbindungen gilt im übrigen für den Up- und Download: Filiale mit 1780ew-4g mit 1,7Mbit (LTE), Filiale mit 1780ew-3g mit 3,8Mbit (Kabel).

[MariusP]

Hi,
Da die Frage übergangen wurde stell ich sie einfach nochmal:

Wieviel Mbit schaffst du denn über einen direkten Download zwischen beiden Seiten?

Gruß