Hallo Forum,
ich habe ein ziemlich nerviges Problem mit der Vernetzung zweier unserer Standorte...
Wir haben in jedem Standort CompanyConnect 10M Anschlüsse der Telekom die gem. Aussage der Telekom fehlerfrei laufen sollen.
Unsere Topologie ist so aufgebaut, dass in Standort A eine UTM Firewall steht und Standort B quasi über den VPN-Tunnel zu Standort-A ins Internet kann und natürlich auch auf die Server in Standort-A zugreifen kann.
Das funktioniert auch alles soweit, aber ich habe ein dickes Problem mit der Performance des VPN-Tunnels.
Von den 10MBit/s die möglich sind, gehen max. 2 Mbit/s durch die Leitung. Die Kollegen in Standort-B beschweren sich laufend über die mieserable Performance der Internetverbindung und der Verbindung zu Standort-A.
Ich habe mir nun Google und auch das Forum hier bemüht aber zu meinem speziellen Thema nichts verwertbares gefunden und hoffe nun, dass mir hier jemand evtl. noch einen Tip geben kann, was evtl. zu beachten ist.
Die Router wurden uns von der Telekom empfohlen da die sehr flexibel zu konfigurieren sind, was ja auch stimmt.
Es handelt sich dabei um 2 Lancom 1711 VPN mit Firmware 7.52.0058
Die CPU Last liegt bei den Geräten im Tageinsatz zwischen 12-25%. Die Router verwalten nur diesen einen VPN-Tunnel.
Danke schonmal für alle Antworten die kommen.
2 Standorte mit Lancom 1711 VPN verbinden
Moderator: Lancom-Systems Moderatoren
-
Dr.Einstein
- Beiträge: 3222
- Registriert: 12 Jan 2010, 14:10
Hallo madmister,
handelt es sich bei den Anschlüssen wirklich um volle CompanyConnect 10M ? Das Produkt heißt CompanyConnect 10M Flex und wird stufenweise zwischen 2,5M 5M und 10M freigegeben, je nachdem, für was man zahlt.
Was mich wundert ist deine Angabe zur CPU Auslastung. 12-25% klingt eher nach einem 1711+ als nach einem 1711. Ein 1711 sollte bei Auslastung der WAN/VPN Strecke am Limit sein, wenn es sich wirklich um eine 10M Leitung handelt. Verschicke Große Dateien zwischen den Standorten und achte dann nochmal genau auf die CPU Auslastung. Wird 85% und mehr erreicht, wird das dein Problem sein.
Der Firmwarestand ist veraltet. Lad dir min die 8.00 RU2 rauf oder gibt es einen speziellen Grund für einen alten Firmwarestand bei Problemen ?
Eine Idee wäre noch die Aushandlung der Schnittstellengeschwindigkeit zwischen Lancom-Router und dem Cisco/One Access. Ist hier ein Switch dazwischen oder hängen beide Router direkt aneinander. Erfrage bei der CoCo-Hotline, was LAN-technisch am OneAccess eingestellt ist. Am besten, ihr einigt auch auf den festen Wert 100 Mbit/s Volldublex an beiden Standorten. Dies musst du dann auch im Router unter den Schnittstellen einstellen (vergiss danach nicht, die Internetverbindung einmal zu trennen).
Unter den Schnittstellen / WAN / DSL. Ist dort eine Bandbreite hinterlegt? Wenn du kein QoS brauchst, lieber leer lassen.
Wenn du Standort B testweise lokal rauslässt ins Internet für einen Download-Test, vielleicht bringt dich das auch weiter.
Meine Vermutung ist, dass der alte 1711 VPN an seine Grenzen stößt mit 10M.
Gruß Dr.Einstein
handelt es sich bei den Anschlüssen wirklich um volle CompanyConnect 10M ? Das Produkt heißt CompanyConnect 10M Flex und wird stufenweise zwischen 2,5M 5M und 10M freigegeben, je nachdem, für was man zahlt.
Was mich wundert ist deine Angabe zur CPU Auslastung. 12-25% klingt eher nach einem 1711+ als nach einem 1711. Ein 1711 sollte bei Auslastung der WAN/VPN Strecke am Limit sein, wenn es sich wirklich um eine 10M Leitung handelt. Verschicke Große Dateien zwischen den Standorten und achte dann nochmal genau auf die CPU Auslastung. Wird 85% und mehr erreicht, wird das dein Problem sein.
Der Firmwarestand ist veraltet. Lad dir min die 8.00 RU2 rauf oder gibt es einen speziellen Grund für einen alten Firmwarestand bei Problemen ?
Eine Idee wäre noch die Aushandlung der Schnittstellengeschwindigkeit zwischen Lancom-Router und dem Cisco/One Access. Ist hier ein Switch dazwischen oder hängen beide Router direkt aneinander. Erfrage bei der CoCo-Hotline, was LAN-technisch am OneAccess eingestellt ist. Am besten, ihr einigt auch auf den festen Wert 100 Mbit/s Volldublex an beiden Standorten. Dies musst du dann auch im Router unter den Schnittstellen einstellen (vergiss danach nicht, die Internetverbindung einmal zu trennen).
Unter den Schnittstellen / WAN / DSL. Ist dort eine Bandbreite hinterlegt? Wenn du kein QoS brauchst, lieber leer lassen.
Wenn du Standort B testweise lokal rauslässt ins Internet für einen Download-Test, vielleicht bringt dich das auch weiter.
Meine Vermutung ist, dass der alte 1711 VPN an seine Grenzen stößt mit 10M.
Gruß Dr.Einstein
Hi Dr.Einstein
Hier ist eher die Topologie ein Problem, denn wenn Standort B über Standort A suft, dann bleiben von den 10Mbit für Standort B nur maximal 5 übrig - denn es muß ja zweimal über die 10 MBit-Leitung von Standort A... Hinzu kommt, daß auch im Standort A gesurft wird, was die Kapazität der Leitung - zumindest für das Internet am Standort B- weiter drücken dürfte...
Gruß
Backslash
Also das 1711 sollte 10Mbit problemlos schaffen, es macht erst bei 35..40MBit schlapp - daher passen auch 12%load zu 2Mbit Durchsatz...Meine Vermutung ist, dass der alte 1711 VPN an seine Grenzen stößt mit 10M.
Hier ist eher die Topologie ein Problem, denn wenn Standort B über Standort A suft, dann bleiben von den 10Mbit für Standort B nur maximal 5 übrig - denn es muß ja zweimal über die 10 MBit-Leitung von Standort A... Hinzu kommt, daß auch im Standort A gesurft wird, was die Kapazität der Leitung - zumindest für das Internet am Standort B- weiter drücken dürfte...
ganz ehrlich: auch ohne QoS ist es sinnvoll hier die Upstream-Rate einzustellen, denn das verhindert, daß im externem Modem Pakete verloren gehen, wenn das LANCOM mehr sendet, als das Modem puffern kann - auch das könnte die nutzbare Datenreite weiter absinken lassenUnter den Schnittstellen / WAN / DSL. Ist dort eine Bandbreite hinterlegt? Wenn du kein QoS brauchst, lieber leer lassen.
Gruß
Backslash
Hallo,
erstmal danke für die Antworten.
@Dr.Einstein
Da die kleinen 1711er die VPN Tunnel in Software encrypten dachte ich auch schon daran, dass es evtl. ein Problem der Router sein kann die einfach die Bandbreite nicht bringen.
@backlash
Der ComCo in Standort A dient nur der Standortvernetzung. Wir haben hier noch einen DSL-16000 Anschluss über der Internetverkehr der aus dem VPN Tunnel kommt geroutet wird.
Der Weg ins Internet aus Standort-B sieht folgendermassen aus:
Paket -> B-1711VPN -> Tunnel über ComCo -> A-1711VPN -> Gateway -> DSL16000
D.h. der Tunnel hat die max. Bandbreite zur Verfügung und die beträgt 10Mbit. Ich hab auch schon einen einzelnen Rechner an den Cisco angeschlossen und mal einen Download angeworfen und der bringt dann auch die volle Bandbreite.
Die Bandbreite haben wir auf der WAN Schnittstelle wie von der Telekom gewünscht auf 8500kbit/s beschränkt, damit das von dir beschriebene Szenario das Pakete verloren gehen nicht eintritt.
An Firmwareupdates hatte ich auch schon gedacht und werde die auch am Wochenende durchführen. Ich kann mir jedoch nicht vorstellen das das wirklich das Problem sein kann.
Habt ihr vielleicht noch einen Denkanstoß? Oder muss ich neue Router besorgen?
Danke.
erstmal danke für die Antworten.
@Dr.Einstein
Es handelt sich bei den Anschlüssen um vollwertige ComCo 10M Anschlüsse.handelt es sich bei den Anschlüssen wirklich um volle CompanyConnect 10M ? Das Produkt heißt CompanyConnect 10M Flex und wird stufenweise zwischen 2,5M 5M und 10M freigegeben, je nachdem, für was man zahlt.
Ich hab das schon rauf und runter probiert, die Auslastung sieht immer dem o.g. entsprechend aus. Mit der ComCo Hotline habe ich auch schon mehrfach telefoniert und wir haben als Schnittstellengeschwindigkeit 100M FDX ausgemacht, was auch an den Geräten eingestellt ist.Was mich wundert ist deine Angabe zur CPU Auslastung. 12-25% klingt eher nach einem 1711+ als nach einem 1711. Ein 1711 sollte bei Auslastung der WAN/VPN Strecke am Limit sein, wenn es sich wirklich um eine 10M Leitung handelt.
Da die kleinen 1711er die VPN Tunnel in Software encrypten dachte ich auch schon daran, dass es evtl. ein Problem der Router sein kann die einfach die Bandbreite nicht bringen.
@backlash
Der ComCo in Standort A dient nur der Standortvernetzung. Wir haben hier noch einen DSL-16000 Anschluss über der Internetverkehr der aus dem VPN Tunnel kommt geroutet wird.
Der Weg ins Internet aus Standort-B sieht folgendermassen aus:
Paket -> B-1711VPN -> Tunnel über ComCo -> A-1711VPN -> Gateway -> DSL16000
D.h. der Tunnel hat die max. Bandbreite zur Verfügung und die beträgt 10Mbit. Ich hab auch schon einen einzelnen Rechner an den Cisco angeschlossen und mal einen Download angeworfen und der bringt dann auch die volle Bandbreite.
Die Bandbreite haben wir auf der WAN Schnittstelle wie von der Telekom gewünscht auf 8500kbit/s beschränkt, damit das von dir beschriebene Szenario das Pakete verloren gehen nicht eintritt.
An Firmwareupdates hatte ich auch schon gedacht und werde die auch am Wochenende durchführen. Ich kann mir jedoch nicht vorstellen das das wirklich das Problem sein kann.
Habt ihr vielleicht noch einen Denkanstoß? Oder muss ich neue Router besorgen?
Danke.
-
Dr.Einstein
- Beiträge: 3222
- Registriert: 12 Jan 2010, 14:10
Ich denke mal backslash meint damit wohl eher die WAN Datenrate ohne Verschlüsselung.Dr.Einstein hat geschrieben:Den 1711 möchte ich sehen, der 35-40 Mbit/s VPN Last wegstecken kann. Selbst der 1711+ macht da vorzeitig Ende.backslash hat geschrieben: Also das 1711 sollte 10Mbit problemlos schaffen, es macht erst bei 35..40MBit schlapp - daher passen auch 12%load zu 2Mbit Durchsatz...
Status Update:
Ich habe übrigens auch ein sehr gutes Gespräch mit dem Lancom Support geführt. Gemäß deren Aussagen schafft der 1711VPN bei kleinen Paketen eine maximale VPN Performance von 8 Mbit/s, bei größeren Paketen steigt die Performance etwas. Die Aussage war, das die 1711er für die Leitung zu schwach wären und es besser wäre die Dinger VPN Gateways zu ersetzen, was ich für ein klein wenig überdimensioniert halte.
Der Mann meinte dann noch, das evtl. ein Softwareupdate ein wenig Besserung bringen könnte, da ab LCOS 7.8 der Hardwarebeschleuniger für VPN wohl aktiviert werden würde und da noch etwas mehr Speed zu erwarten wäre.
Ich habe das Update gerade durchgeführt...das Ergebnis ist ernüchternd... Mehr Performance hat es nicht gebracht. Also kommen die Teile weg. Die Frage ist jetzt nur, wodurch soll ich sie ersetzen. Die Gateways sind mir ehrlich gesagt zu dicke...
-
Dr.Einstein
- Beiträge: 3222
- Registriert: 12 Jan 2010, 14:10
Hallo,
Diese Werte beziehen sich auf den Ethernet-Durchsatz, der effektive IP-Durchsatz ist entsprechend geringer. Ebenso ist bei einer VPN-Strecke zu beachten, dass der zusätzliche IP-Header verbunden mit einem erforderlichen Padding zu einem höheren Overhead führen, der zu einer weiteren Reduzierung der Datenraten führt.
Viele Grüße,
Jirka
madmister hat geschrieben:Von den 10MBit/s die möglich sind, gehen max. 2 Mbit/s durch die Leitung.
Die 10 Mbit/s sind ein Marketing-Wert. Praktisch bekommt man _maximal_ zwischen 7.736 und 8.658 kbit/s (abhängig von der Framegröße) durch die Leitung. Maximal heißt hier die theoretisch und praktisch maximal übertragbare Rate (Physikalisch begrenzt). Diese entspricht nicht der zugesicherten Rate (lt. AGB, allerdings wird bei CompanyConnect gar nichts zugesichert, die Werte hier sind von EthernetConnect, können aber auf CompanyConnect übertragen werden, insbesondere zwischen zwei Anschlüssen), die zwischen 7.329 und 8.634 kbit/s liegt.madmister hat geschrieben:D.h. der Tunnel hat die max. Bandbreite zur Verfügung und die beträgt 10Mbit.
Diese Werte beziehen sich auf den Ethernet-Durchsatz, der effektive IP-Durchsatz ist entsprechend geringer. Ebenso ist bei einer VPN-Strecke zu beachten, dass der zusätzliche IP-Header verbunden mit einem erforderlichen Padding zu einem höheren Overhead führen, der zu einer weiteren Reduzierung der Datenraten führt.
Wie sieht es mit dem Test aus?Dr.Einstein hat geschrieben:Verschicke Große Dateien zwischen den Standorten und achte dann nochmal genau auf die CPU Auslastung. Wird 85% und mehr erreicht, wird das dein Problem sein.
Ich empfehle die 8.50.Dr.Einstein hat geschrieben:Der Firmwarestand ist veraltet. Lad dir min die 8.00 RU2 rauf oder gibt es einen speziellen Grund für einen alten Firmwarestand bei Problemen?
Ab Firmware 7.7 oder mit der VPN-Option ist der VPN-Hardwarebeschleuniger aktiv.madmister hat geschrieben:Da die kleinen 1711er die VPN Tunnel in Software encrypten
Nach Deiner Beschreibung wäre dies am Standort B ebenfalls der Fall. (Da alle Pakete ins Internet ja erst mal zum Standort A gehen.) Dann fragt sich allerdings, warum kein EthernetConnect hierfür verwendet wurde...madmister hat geschrieben:Der ComCo in Standort A dient nur der Standortvernetzung.
Hier muss für Up-/Downstream-Rate (kbit/s) jeweils 8704 und für Externer Overhead (Byte) 12 angegeben werden.madmister hat geschrieben:Die Bandbreite haben wir auf der WAN Schnittstelle wie von der Telekom gewünscht auf 8500kbit/s beschränkt, damit das von dir beschriebene Szenario das Pakete verloren gehen nicht eintritt.
Mit welcher Firmware?madmister hat geschrieben:Ich habe das Update gerade durchgeführt...das Ergebnis ist ernüchternd... Mehr Performance hat es nicht gebracht.
Geht ja sehr schnell bei Dir... Lass uns doch noch mal etwas optimieren. Bitte Firmware 8.50 einspielen und dann die Raten einstellen, die ich oben angegeben hatte.madmister hat geschrieben:Also kommen die Teile weg.
Nein, auch für den 1711.Dr.Einstein hat geschrieben:Die Hardwarebeschleunigung für AES gabs doch eh nur für den 1711+ und nicht für den 1711 oder?
Viele Grüße,
Jirka
Guten Morgen,
wie ich merke habe ich einige wichtige Details wohl ausgelassen.
Also die Software habe ich direkt auf LCOS 8.5 upgedatet. Ich dachte mir halt, wenn schon dann gleich auf die aktuelle.
Was den Datendurchsatz angeht hat sich nichts verbessert. Ich versuche in diesem Augenblick eine 400MB große Datei zu kopieren und das dauert gem. Windows ca. 60 Minuten. CPU-Last liegt beim kopieren bei ca. 11% und der Datendurchsatz bei zwischen 0,9-1,6 MBit/s.
Die Parameter für die Up- und Downstreamrate werde ich heute Mittag eingeben, damit die Kollegen zumindest noch ohne Unterbrechung des Tunnels arbeiten können oder kann ich QoS Werte auch ohne eine Unterbrechung des Tunnels einhacken?
Warum ich mit meiner Aussage das die Dinger weg sollen so schnell bin ist dem Umstand geschuldet, dass ich im Augenblick dieses Themas müde bin. Ich mach seit Wochen nichts anderes als mit dem Support der Telekom zu sprechen, Foren (vornhemlich dieses) und das gesamte Internet danach zu durchforsten ob jemand das gleiche Problem wie ich. Offensichtlich bin ich der einzige.
Ich hoffe ja die ganze Zeit, dass wir hier den Stein der Weisen finden und ich das Thema endlich abschließen kann.
[EDIT]
Ich konnte es nicht abwarten und habe die Up- und Downstream Parameter eingegeben, kurzzeitig hat es beim kopieren der Datei einen Peak von 2,1 Mbit gegeben, es hat sich allerdings jetzt wieder bei den bekannten Werten eingepegelt.
wie ich merke habe ich einige wichtige Details wohl ausgelassen.
Also die Software habe ich direkt auf LCOS 8.5 upgedatet. Ich dachte mir halt, wenn schon dann gleich auf die aktuelle.
Was den Datendurchsatz angeht hat sich nichts verbessert. Ich versuche in diesem Augenblick eine 400MB große Datei zu kopieren und das dauert gem. Windows ca. 60 Minuten. CPU-Last liegt beim kopieren bei ca. 11% und der Datendurchsatz bei zwischen 0,9-1,6 MBit/s.
Die Parameter für die Up- und Downstreamrate werde ich heute Mittag eingeben, damit die Kollegen zumindest noch ohne Unterbrechung des Tunnels arbeiten können oder kann ich QoS Werte auch ohne eine Unterbrechung des Tunnels einhacken?
Warum ich mit meiner Aussage das die Dinger weg sollen so schnell bin ist dem Umstand geschuldet, dass ich im Augenblick dieses Themas müde bin. Ich mach seit Wochen nichts anderes als mit dem Support der Telekom zu sprechen, Foren (vornhemlich dieses) und das gesamte Internet danach zu durchforsten ob jemand das gleiche Problem wie ich. Offensichtlich bin ich der einzige.
Ich hoffe ja die ganze Zeit, dass wir hier den Stein der Weisen finden und ich das Thema endlich abschließen kann.
[EDIT]
Ich konnte es nicht abwarten und habe die Up- und Downstream Parameter eingegeben, kurzzeitig hat es beim kopieren der Datei einen Peak von 2,1 Mbit gegeben, es hat sich allerdings jetzt wieder bei den bekannten Werten eingepegelt.
-
Dr.Einstein
- Beiträge: 3222
- Registriert: 12 Jan 2010, 14:10
Morgen,
wenn die CPU-Auslastung bei den Tests so gering ist, wird es sich nicht lohnen, neue Geräte hinzustellen. Der Fehler liegt erst einmal wo anders.
Vielleicht könnte man die Verbindung zwischen Lancom und der UTM als Fehlerquelle ausschließen? Zum Beispiel indem du dich von einem 6000/16000 ADSL Anschluss auf den Lancom am Standort A mit einem VPN-Client einwählst, und interne Daten bzw. Internetverkehr downloadest. Gleiches sollte von Standort B mit einem VPN-Client geprüft werden (direkter Internetausstieg für den Client).
Für die Tests würde ich lieber FTP verwenden, statt Windows Bordmittel.
Wenn du QoS verändest auf der WAN, immer die Verbindung manuell trennen, falls sie es nicht selbstständig tut, besser: den Router booten.
Hast du auch einmal den Wert auf 0 gelassen und getestet?
Gibt es noch irgendwelche Besonderheiten im Netzwerk, z.B. getrennte IP-Netzwerke für Lancom A und UTM/Gateway ?
Gruß Dr.Einstein
wenn die CPU-Auslastung bei den Tests so gering ist, wird es sich nicht lohnen, neue Geräte hinzustellen. Der Fehler liegt erst einmal wo anders.
Vielleicht könnte man die Verbindung zwischen Lancom und der UTM als Fehlerquelle ausschließen? Zum Beispiel indem du dich von einem 6000/16000 ADSL Anschluss auf den Lancom am Standort A mit einem VPN-Client einwählst, und interne Daten bzw. Internetverkehr downloadest. Gleiches sollte von Standort B mit einem VPN-Client geprüft werden (direkter Internetausstieg für den Client).
Für die Tests würde ich lieber FTP verwenden, statt Windows Bordmittel.
Wenn du QoS verändest auf der WAN, immer die Verbindung manuell trennen, falls sie es nicht selbstständig tut, besser: den Router booten.
Hast du auch einmal den Wert auf 0 gelassen und getestet?
Gibt es noch irgendwelche Besonderheiten im Netzwerk, z.B. getrennte IP-Netzwerke für Lancom A und UTM/Gateway ?
Gruß Dr.Einstein
Moinsen,Dr.Einstein hat geschrieben:
Wenn du QoS verändest auf der WAN, immer die Verbindung manuell trennen, falls sie es nicht selbstständig tut, besser: den Router booten.
Hast du auch einmal den Wert auf 0 gelassen und getestet?
Gibt es noch irgendwelche Besonderheiten im Netzwerk, z.B. getrennte IP-Netzwerke für Lancom A und UTM/Gateway ?
ich hab das alles durchprobiert und keinerlei Veränderung feststellen können. Irgendwie habe ich das Gefühl hier gegen Windmühlen zu kämpfen.
Die UTM hängt im gleichen Netz wie der Lancom. Wir haben hier im Netzwerk noch diverse weitere Router die VPN Strecken zu unseren Lieferanten herstellen. Aber das ist ja nicht das Thema. Wenn bei uns ein Paket durch den Tunnel ankommt, dann wird dort auf dem Lancom entschieden wo das hingeroutet wird.
Diese ganze Geschichte macht mich langsam echt fertig vor allem weil mein nicht sehr gönnerhafter Chef mir damit langsam im Nacken sitzt da die Kollegen in dem betreffenden Standort echt auf der Bremse stehen und sich auch langsam aufregen.