Hardwarewechsel von Astaro zu Lancom: VPN langsamer!! Warum?

[vbth]

Hallo zusammen,

seit wir in der vergangenen Woche unsere alte „Firewall“ (Astaro Security Gateway 110/120) durch zwei Lancom Router (1781VA & 1781VAW, benötigt wg. Standortvernetzung) ersetzt haben, läuft der Zugang über VPN nicht mehr zufriedenstellend.

Die Übertragungsraten sind schlechter geworden und der Zugang über VNC erlaubt dadurch leider kein flüssiges Arbeiten von Extern mehr. Augenscheinlich haben sich für uns zwar nur die Router-Hardware sowie die VPN-Clients geändert, aber diese Veränderungen sind mehr als spürbar...

Nun meine drei Fragen:

1. Können VPN-Gatesways verschiedener Hersteller am gleichen Anschluss (2 x VDSL50 Business) so unterschiedlich arbeiten?
2. Kann man ggf. software- oder einstellungsseitig am Client/Router die Übertragungsraten ggf. noch verbessern?
3. Worauf kann ich den IT-Dienstleister ggf. hinweisen (ausser der Info "Anschluss ist langsamer als zuvor")?

Vorab schon mal Danke für die Einschätzungen.
Volker

[garfield0815]

die astro haben durchaus einen höheren datendurchsatz
als die lancoms
abenso haben die einen proxy server und müssen dadurch auch wehniger daten aus em netz holen

durchaus ist auch die hardware ausstatung bei den astro besser da diese für mehr funktionen ausgelegt sind

[garfield0815]

auch ipsec compremirung kann sie sophos was aus leistungsgründen bei den lancom soweit ich weis bereits deaktivirt wurde

was alerdings bei einer sophos mir z.b. intel dual core 3,4 Ghz mit 8 GB ram kein proplem sein dürfte

[Avalanche]

Ohne jetzt die Datenblätter geschaut zu haben: sowohl die Sophos als auch die Lancoms müssten ausreichend VPN Performance für einen VDSL 50 Anschluss bieten. Habt ihr komplexe Firewallregeln o.ä.?

Übrigens interessant, dass ihr von Astaro auf Lancom umgestiegen seid...

[vbth]

Genau das wollte ich wissen. Danke für die schnelle Einschätzung, auch wenn meine Beschreibung der Situation sehr knapp war.

Wir mussten wechseln, weil der neue Dienstleister, der unsere Siemens HiPath Telefonanlage mit dem neuen Standort verbunden hat, nur etwas von Lancom versteht.

Ich werde den Dienstleister nochmals auf das Geschwindigkeitsproblem ansprechen. Glaube aber eher nicht, dass es an der Firwall liegen wird, denn da gab es keine besonderen Anforderungen/Einstellungen.

Derweil schlage ich mich noch damit rum:

Lancom VPN-Client "frisst" den ganzen Arbeitsspeicher auf...
http://www.lancom-forum.de/alles-zum-la ... 14398.html

Früher war irgendwie alles besser...

[garfield0815]

Genau das wollte ich wissen. Danke für die schnelle Einschätzung, auch wenn meine Beschreibung der Situation sehr knapp war.

Wir mussten wechseln, weil der neue Dienstleister, der unsere Siemens HiPath Telefonanlage mit dem neuen Standort verbunden hat, nur etwas von Lancom versteht.

Ich werde den Dienstleister nochmals auf das Geschwindigkeitsproblem ansprechen. Glaube aber eher nicht, dass es an der Firwall liegen wird, denn da gab es keine besonderen Anforderungen/Einstellungen.

Derweil schlage ich mich noch damit rum:

Lancom VPN-Client "frisst" den ganzen Arbeitsspeicher auf...
http://www.lancom-forum.de/alles-zum-la ... 14398.html

Früher war irgendwie alles besser...

sorry aber mit solchen unflexieblen dienstleister würde ich nicht zusammenarbeiten

klar die sophos ist komplexer als ein lancom aber meinermeinung nach auch leistungsstärker

und vorralen es ist ne vernüntige utm und das kann der lancom nicht

[marsbewohner]

Hi,

was aus deinem Posting nicht ganz hervorgeht, welche der genannten Verbindungen denn den Leistungseinbruch haben? Die Site-to-Site zwischen den Lancoms oder die vom mobilen Endpunkt (Homeoffice etc.?) zum Office?

In beiden Fällen kann es hilfreich sein mal 2-3 Testabläufe durchzuführen, wie zb. Dauerpings über einen gewissen Zeitraum als auch mal Testweise eine Datenübertragung mit Tools wie zb. http://www.nwlab.net/know-how/JPerf/. Sollte das nicht ausreichend sein um die Schwachstellen aufzudecken, dann bleibt im worst-case nur für einen Testlauf noch mal die Astaros zurückbauen und einen Gegentest unter gleichen Bedingungen zu machen...

@garfield0815: die ASG 110 ist deutlich unter deinen genannten HW Daten ausgerüstet, und wenn es noch original Astaros waren auch nicht mehr ganz von gestern

Gruß,

[tom63]

hi volker,

zum einen wuerde ich eben mal wie im anderen thread von dir angesprochen den lancom client runterschmeissen und es direkt mit dem in osx eingebauten cisco client versuchen.

zum anderen ist gerade bei vnc oder remote-desktop anwendung die dort eingestellte/verstellte kompression, qualitaet und farbtiefe ein grund fuer eine 'gefuehlt lahme' verbindung. beim apple remote desktop findest du im anwendungsfenster oben rechts einen schieberegler fuer qualitaet/geschwindigkeit. beim vnc-viewer oben in der kopfleiste die werkzeuge.

zudem sollten aeltere vnc-server unbedingt durch die aktuelle und wesentlich schnellere version ersetzt werden. auch bildschirmaufloesung und hintergrundbilder nicht vergessen ...

netter gruss
tom

p.s. was mir gerade noch einfaellt - apple hat die letzten wochen den ard mit einem update versehen das aus meiner sicht die performance eher verschlechterte. zudem ist es bei alten macminis ohnehin recht zaeh gewesen mit dem remote desktop wenn diese 'headless' (meint ohne angeschlossenen monitor) laufen. dann wird die grafikkarte abgeschaltet und die eh recht lahme cpu muss den bilschirm rendern. abhilfe hier: entweder in den bootparametern rumdoktorn - oder einfacher monitor-emulator stecker kaufen http://www.fit-pc.com/web/products/fit-headless/ (kann man aber auch selberbasteln wenn man dazu lust hat) ...

[Avalanche]

Interessant wäre auch, was unter "langsam" zu verstehen ist:

- wie verhalten sich die Paketlaufzeiten (z.B. Ping, auch mit größeren Paketgrößen; wie groß sind die Schwankungen)?
- gibt es Paketverluste?
- wie hoch ist der Dursatz (z.B. iperf)
- wie performant sind DNS-Abfragen?
- gelten obige Werte nur für die VPN-Strecke oder treten sie beispielsweise auf dem Weg vom Laptop zum Lancom auf?
- um welche Verbindung geht es überhaupt (Mac Client wählt sich per Lancom VPN Client ein oder VPN Tunnel wird über einen der Lancoms hergestellt)
- wird VOIP eingesetzt (d.h. gibt es Regeln die auf dem Router Pakete fragmentieren oder an der MTU rumschrauben)
- ist nur Remote Desktop betroffen?
- Was ist an Remote Desktop langsam? Ruckelt die Maus? Bildaufbau? ... Welches Remote Desktop ist es (Windows? Apple? VNC? TeamViewer? ....)

Die Anmerkungen zu OS X und Remote Desktop kann ich nur ausdrücklich bestätigen: Das ist Headless schlicht absolut unbenutzbar. Die einfachste und schnellste Lösung ist der Monitordongle.

[5624]

auch ipsec compremirung kann sie sophos was aus leistungsgründen bei den lancom soweit ich weis bereits deaktivirt wurde

was alerdings bei einer sophos mir z.b. intel dual core 3,4 Ghz mit 8 GB ram kein proplem sein dürfte

Die Komprimierung wurde deaktiviert, weil die heute eher kontraproduktiv ist und teilweise lizenzpflichtig ist. Die Inhalte, die sinnvollerweise komprimiert werden könnten, sind nicht komprimierbar (z.B. Medieninhalte) und die meisten Protokolle sind heute schon komprimiert.

Ich geh mal davon aus, dass der Dienstleister eine Priorisierung für die TK-Vernetzung eingebaut hat. Eventuell solltest du diese mal kontrollieren, nicht dass diese dauerhaft eingreift.

[vbth]

@marsbewohner: der Leistungseinbruch war aktuell nur vom Lancom zum mobilen Endpunkten/Homeoffice; Site-to-Site gibt es keine Erfahrungswerte, da der zweite Standort gerade erst eröffnet wurde; JPerf werde ich mir mal anschauen, danke.

Da die Lancoms wohl in der Grundkonfig nur 5 gleichzeitige VPN-Verbindungen erlauben (1x Standortvernetzung, 1x Admin, 3x Homeoffice/externe Dienstleister) sind wir hier schon mal an der Grenze. Wir müssen halt mal mal schauen, wie sich der Netzwerkverkehr entwickelt...

@tom63: ja, das ist der nächste schritt, lancom client runterschmeissen; VNC ist genau mein thema, weil ich von daheim meinen mac, den server oder rechner der kollegen bedienen will und das ging vorher mit "hoher qualität/farbtiefe"; nun ruckelt es selbst in der automatik einstellung jetzt am wochenende, wenn niemand im büro arbeitet. fit-Headless ... danke, was es alles gibt; nein ist ein xserve (letzten generation) aber mit echtem, recht kleinem monitor und damit oft zu wenig platz zum arbeiten, also nicht headless.

@Avalanche: danke für die frage-liste, noch liegt der kritische blick nur auf remote desktop zugang und der geschwindigkeit beim zugriff per afp/smb. wir hatte erste klagen von externen mitarbeitern, die nach einem update des lancom vpn client (windows 8.1) aber mit der performance offensichtlich wieder zurfrieden sind.

@5624: ja, priorisierung für die tk-/standort-vernetzung, wird aber für aktuell 4 VOIP-endgeräte nicht die welt sein.

nochmals vielen dank an alle für die einschätzungen und ratschläge!

[tom63]

... dann waere mein vorschlag - lass als erstes euren dienstleister einen vpn zugang fuer deinen mac mit dem im osx beinhalteten cisco vpn client einrichten - und schmeiss den lancom client vom rechner.

ist in 10-15 minuten erledigt, kostet erstmal nix - und ich wuerde vermuten dann geht es eh.

netter gruss
tom

p.s. wenn es ein alter xserve ist und da nicht yosemite drauf laeuft - dann kanns aber zusaetzlich am aktuellen apple ard liegen. der ist naemlich von yosemite zu yosemite schneller geworden aber beim zugriff auf 10.9 oder davor deutlich schlechter als der vor den letzten 1-2 updates ...

[5624]

@5624: ja, priorisierung für die tk-/standort-vernetzung, wird aber für aktuell 4 VOIP-endgeräte nicht die welt sein.

Wenn die korrekt eingerichtet ist, dann ist es kein Problem, nur wenn ständig z.B. die PMTU-Reduzierung und die Fragmentierung dauerhaft aktiv ist, hast du auch dauerhaft einen zu hohen Leistungsbedarf, was sich als Performanceengpass zeigen kann.

[marsbewohner]

Rein aus Interesse, wie habt ihr euer Thema hier in Bezug auf die VPN Performance nach der Umstellung gelöst?

Gruß,