ich habe eine kleine Frage zu den HTTPS-
VPNs
In einer Labor-Umgebung hängt ein Lancom 1751 (Firmware 8.84RU3) hinter einem KabelDeutschland-Anschluss, der wahrscheinlich beim Provider mit einem "CG-NAT" angebunden ist. Eine eigene öffentliche IPv4 Adresse haben wir nicht. Der 1751 bekommt vom KabelD.-Router eine private IP zugewiesen und kann soweit auch seine normalen IPSec VPN-Tunnel aufbauen.
Die Gegenstellen sind 1x eine 1781A (Firmware 9.04 RU2) und 1x ein 9100+ (Firmware 8.62 - ja, ich weiß!
) bei einem Kunden. Beide Geräte hängen jeweils an einem 100MBit Company Connect.So weit so gut.
Nun haben wir ganz komische Effekte im Zusammenhang mit verschiedenen Authentifizierungsprotokollen, wenn diese über die VPN-Tunnel angewandt werden. Das reicht von nicht funktionierenden RDP-Sessions, bis hin zu 20 Minuten dauernden Domänen-Anmeldungen.
Des weiteren hatte ich massive Probleme beim Hinzufügen eines L-321agn / L322agn zum WLC, welcher hinter der Gegenstelle mit dem 9100+ liegt. ( http://www.lancom-forum.de/alles-zum-la ... 13913.html )
Das Problem konnte ich bis gestern nicht lösen und der AccessPoint hat sich unter keinen Umständen mit dem WLC verbunden. An anderen Standorten laufen die APs und der WLC ganz wunderbar. Alle anderen Standorte sind entweder über ADSL oder CompanyConnect angebunden.
Rein aus Neugier habe ich gestern unseren VPN-Tunnel zwischen LC1751 (KabelD.) und 9100+ (CompanyConnect) auf HTTPs umgestellt. Und siehe da - keine Minute später und der L-322agn war mit dem WLC verbunden!
Ich kann daher nur mutmaßen, dass das tolle CG-NAT von KabelD. diverse Probleme im Zusammenhang mit IPSec verursacht. Leider bekomme ich aber mit aktivierter HTTPs-Verkapselung nur eine maximale Übertragungsrate von ca. 300KB/s. Ohne HTTPs mit reinem IPSec sind es immerhin, wenn auch sehr "instabile", 800KB/s.
Ein Client-VPN mit SSTP von einem Windows-Laptop zu einer weiteren Firewall (Forefront TMG) "neben" der 9100+ schafft ca. 3MB/s. Gleiches System mit L2TP/IPSec kommt auch nur auf ca. 800KB/s. Es sieht für mich so aus, als wären die HTTPS-Pakete im KabelD.-Netz sehr viel unproblematischer.
Lange Rede, kurzer Sinn: Gibt es beim HTTPS-VPN irgendein Limit, welches die Übertragungsrate auf 300KB/s begrenzt? Und wenn ja - kann man die Drosselung aufheben?
Bei einem großen Download via SMB bekommt man eine nahezu gerade Linie bei der Überwachung der Übertragungsgeschwindigkeit. Eben als wäre dort irgendwo eine Drosselung eingebaut.
1000 Dank vorab und
winterliche Ostergrüße aus Leipzig!
Norman.
