Site to Site VPN extrem langsam (2024)

DarkZoneSD (Level 2)

14.02.2024

Site to Site VPN extrem langsam (2)493

10

Site to Site VPN extrem langsam (4)0

  • Ausdrucken

  • https://administrator.de/forum/site-to-site-vpn-extrem-langsam-33304132736.html

    [content:33304132736]

  • Internen Beitrags-Link kopieren
  • Externen Beitrags-Link kopieren
  • Beitrag melden

FrageVPN

Guten Tag zusammen,

seit einigen Monaten haben wir das Problem das einer unser IPSec Tunnel langsamer geworden ist. Nun ist es aber seit ein paar Wochen dermaßen langsam geworden das wir etwas unternehmen müssen. Der IPSec Tunnel geht von Fortigate A in Deutschland and Fortigate B in Tschechien, ich habe den Ausbau mal grob abgebildet mit aktuellen Internetgeschwindigkeiten.

Von Fileserver A zu Fileserver B bekomme ich per iperf folgenden output:
Deutschland -> Tschechien
TCP:

[ 5] 0.00-1.01 sec 1.00 MBytes 8.33 Mbits/sec [ 5] 1.01-2.01 sec 896 KBytes 7.34 Mbits/sec [ 5] 2.01-3.01 sec 896 KBytes 7.34 Mbits/sec [ 5] 3.01-4.01 sec 896 KBytes 7.34 Mbits/sec

UDP:

[ 5] 0.00-1.01 sec 128 KBytes 1.04 Mbits/sec 16 [ 5] 1.01-2.01 sec 128 KBytes 1.05 Mbits/sec 16 [ 5] 2.01-3.01 sec 128 KBytes 1.05 Mbits/sec 16 [ 5] 3.01-4.01 sec 128 KBytes 1.05 Mbits/sec 16

Tschechien -> Deutschland
TCP:

[ 5] 0.00-1.00 sec 640 KBytes 5.24 Mbits/sec [ 5] 1.00-2.00 sec 896 KBytes 7.34 Mbits/sec [ 5] 2.00-3.00 sec 896 KBytes 7.34 Mbits/sec [ 5] 3.00-4.00 sec 896 KBytes 7.34 Mbits/sec

UDP:

[ 5] 0.00-1.00 sec 144 KBytes 1.18 Mbits/sec 18 [ 5] 1.00-2.00 sec 144 KBytes 1.18 Mbits/sec 18 [ 5] 2.00-3.00 sec 112 KBytes 919 Kbits/sec 14 [ 5] 3.00-4.00 sec 128 KBytes 1.05 Mbits/sec 16

Ich habe mich dann mit dem Fileserver B von Fileserver A aus mit TeamViewer verbunden und eine Dateiübertragung gestartet, die Übertragung ist leider genauso grottig.. an Standort A / Deutschland ist kabeltechnisch bei uns alles in Ordnung, Kabel wurden schon mehrfach gewechselt. Auf der anderen Seite kann ich das momentan noch nicht sagen.

Mir ist allerdings auch aufgefallen das die UDP Übertragung wesentlich langsamer ist als die TCP Übertragung, ich hätte normalerweise damit gerechnet das andersrum wäre.

Gibt es noch andere Tests die man machen könnte um festzustellen ab welchem Punkt die Verbindung langsamer wird? z.B. Geschwindigkeiten zwischen den einzelnen Hops zu Firewall B?

Viele Grüße

KommentierenTeilen

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-Key: 33304132736

Url: https://administrator.de/contentid/33304132736

Ausgedruckt am: 16.02.2024 um 17:02 Uhr

bastian23 14.02.2024 um 09:39:56 Uhr

    https://administrator.de/forum/site-to-site-vpn-extrem-langsam-33304132736.html#comment-81138112690

    [content:33304132736#81138112690]

  • Internen Kommentar-Link kopieren
  • Externen Kommentar-Link kopieren
  • Zum Anfang der Kommentare

Was sagen pingwerte, traceroutewerte innerhalb des Tunnels und ins Internet?

elix2k 14.02.2024 um 10:00:16 Uhr

    https://administrator.de/forum/site-to-site-vpn-extrem-langsam-33304132736.html#comment-1668382246

    [content:33304132736#1668382246]

  • Internen Kommentar-Link kopieren
  • Externen Kommentar-Link kopieren
  • Zum Anfang der Kommentare

So was ähnliches habe ich mit den Fortigates zwischen DE und PL. Alle 2-3 Wochen muss ich die VPN-Leitung wechseln. Sehr kurios.

DarkZoneSD 14.02.2024 aktualisiert um 10:19:41 Uhr

    https://administrator.de/forum/site-to-site-vpn-extrem-langsam-33304132736.html#comment-5269707256

    [content:33304132736#5269707256]

  • Internen Kommentar-Link kopieren
  • Externen Kommentar-Link kopieren
  • Zum Anfang der Kommentare

Tschechien -> Deutschland

Tracing route to 10.0.127.254 over a maximum of 30 hops 1 <1 ms <1 ms <1 ms 10.0.150.1 2 25 ms 24 ms 24 ms 10.0.127.254Trace complete.Pinging 10.0.127.254 with 32 bytes of data:Reply from 10.0.127.254: bytes=32 time=23ms TTL=254Reply from 10.0.127.254: bytes=32 time=25ms TTL=254Reply from 10.0.127.254: bytes=32 time=28ms TTL=254Reply from 10.0.127.254: bytes=32 time=23ms TTL=254Ping statistics for 10.0.127.254: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate round trip times in milli-seconds: Minimum = 23ms, Maximum = 28ms, Average = 24ms

Tschechien -> dns.Google

Tracing route to dns.google [8.8.8.8]over a maximum of 30 hops: 1 <1 ms <1 ms <1 ms 10.0.150.1 2 1 ms <1 ms <1 ms 172.16.1.1 3 5 ms 4 ms 4 ms 194.108.59.68 4 4 ms 4 ms 4 ms 192.178.68.76 5 4 ms 4 ms 4 ms 192.178.98.175 6 5 ms 4 ms 4 ms 142.251.224.127 7 4 ms 4 ms 4 ms dns.google [8.8.8.8]Trace complete.Pinging 8.8.8.8 with 32 bytes of data:Reply from 8.8.8.8: bytes=32 time=5ms TTL=118Reply from 8.8.8.8: bytes=32 time=4ms TTL=118Reply from 8.8.8.8: bytes=32 time=4ms TTL=118Reply from 8.8.8.8: bytes=32 time=4ms TTL=118Ping statistics for 8.8.8.8: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate round trip times in milli-seconds: Minimum = 4ms, Maximum = 5ms, Average = 4ms

Grüße

DarkZoneSD 14.02.2024 um 10:19:31 Uhr

    https://administrator.de/forum/site-to-site-vpn-extrem-langsam-33304132736.html#comment-33892849049

    [content:33304132736#33892849049]

  • Internen Kommentar-Link kopieren
  • Externen Kommentar-Link kopieren
  • Zum Anfang der Kommentare

Moin,

was genau meinst Du mit VPN-Leitung wechseln?

Grüße

abramakabra 14.02.2024 aktualisiert um 10:41:05 Uhr

    https://administrator.de/forum/site-to-site-vpn-extrem-langsam-33304132736.html#comment-5906215003

    [content:33304132736#5906215003]

  • Internen Kommentar-Link kopieren
  • Externen Kommentar-Link kopieren
  • Zum Anfang der Kommentare

Tracing route to 10.0.127.254

Die internen IPs zu tracen macht nicht viel Sinn, da musst du schon den externen VPN Endpunkt angeben.

  • Was sagt ein Wireshark Trace? Viele Retransmissions sichtbar?
  • MTU?

Nimm mal ein Smartphone, geh über LTE/5G und checke damit den Durchsatz zum Remotestandort (andere Route). Ebenso stetig niedriger Durchsatz?

Site to Site VPN extrem langsam (12)1

em-pie 14.02.2024 aktualisiert um 10:40:46 Uhr

    https://administrator.de/forum/site-to-site-vpn-extrem-langsam-33304132736.html#comment-94159905912

    [content:33304132736#94159905912]

  • Internen Kommentar-Link kopieren
  • Externen Kommentar-Link kopieren
  • Zum Anfang der Kommentare

Moin,


  • MTU?

Würde ich auch mal testen.
Ping -f -l 1456 [IP]
Wobei du die 1456 mal nach oben/ unten in 10er Schritten justieren solltest.

Und bei IP mal eure öffentliche IP der Gegenseite bzw. eine Interne (der Gegenseite) bzw. Mal 8.8.8.8 oder so was nutzen…

https://linksys-sh.com/determining-and-setting-up-the-correct-mtu-size/

Site to Site VPN extrem langsam (14)1

DarkZoneSD 14.02.2024 aktualisiert um 12:49:18 Uhr

    https://administrator.de/forum/site-to-site-vpn-extrem-langsam-33304132736.html#comment-93194199895

    [content:33304132736#93194199895]

  • Internen Kommentar-Link kopieren
  • Externen Kommentar-Link kopieren
  • Zum Anfang der Kommentare

Die internen IPs zu tracen macht nicht viel Sinn, da musst du schon den externen VPN Endpunkt angeben.

Tschechien -> Deutschland

DarkZoneSD 14.02.2024 aktualisiert um 12:55:25 Uhr

    https://administrator.de/forum/site-to-site-vpn-extrem-langsam-33304132736.html#comment-73467085911

    [content:33304132736#73467085911]

  • Internen Kommentar-Link kopieren
  • Externen Kommentar-Link kopieren
  • Zum Anfang der Kommentare

Zitat von @em-pie:

Moin,

Moin,

Und bei IP mal eure öffentliche IP der Gegenseite bzw. eine Interne (der Gegenseite) bzw. Mal 8.8.8.8 oder so was nutzen…

Also jeweils von Deutschland -> Tschechien als auch Tschechien -> Deutschland:
Interne IP von Site a zu Site b MTU: 1392
Öffentliche IP von Site a zu b MTU :1472

elix2k 14.02.2024 um 13:05:40 Uhr

    https://administrator.de/forum/site-to-site-vpn-extrem-langsam-33304132736.html#comment-5189726584

    [content:33304132736#5189726584]

  • Internen Kommentar-Link kopieren
  • Externen Kommentar-Link kopieren
  • Zum Anfang der Kommentare

Zitat von @DarkZoneSD:

Moin,

was genau meinst Du mit VPN-Leitung wechseln?

Grüße

Ich habe zwei Leitungen bei unterschiedlichen ISPs in Polen, beide machen den selben Zirkus. Ich wechsle dann immer die VPN Leitung. Das ist aber auch kein Fortinet Problem, hatten wir auch mit der Sophos...

DarkZoneSD 14.02.2024 um 13:45:19 Uhr

    https://administrator.de/forum/site-to-site-vpn-extrem-langsam-33304132736.html#comment-3797039847

    [content:33304132736#3797039847]

  • Internen Kommentar-Link kopieren
  • Externen Kommentar-Link kopieren
  • Zum Anfang der Kommentare

Zitat von @abramakabra:

  • Was sagt ein Wireshark Trace? Viele Retransmissions sichtbar?

Bei Tracert der internen IP sieht der Traffic in wireshark gut aus, pro Hop werden 3 Pakete gesendet und jeweils auch Antworten empfangen..

Bei Tracert mit der öffentlichen Adresse ist mir jedoch aufgefallen, dass wie im Bild zu sehen ist z.B. bei Hop 9 kriegen die ping Requests nie eine Antwort

Site to Site VPN extrem langsam (2024)

References

Top Articles
Old-School Swedish Meatballs Recipe on Food52
20 Leftover Pulled Pork Recipes
Die &quot;Enola Holmes&quot; &amp; &quot;Stranger Things&quot; Schauspielerin Millie Bobby Brown im Portrait
Millie Bobby Brown im Interview: über ihre Beauty-Marke
Latest Posts
Discover 12 Unique Chili Recipes
German Christmas Cookie Recipes
Article information

Author: Duncan Muller

Last Updated:

Views: 6568

Rating: 4.9 / 5 (79 voted)

Reviews: 86% of readers found this page helpful

Author information

Name: Duncan Muller

Birthday: 1997-01-13

Address: Apt. 505 914 Phillip Crossroad, O'Konborough, NV 62411

Phone: +8555305800947

Job: Construction Agent

Hobby: Shopping, Table tennis, Snowboarding, Rafting, Motor sports, Homebrewing, Taxidermy

Introduction: My name is Duncan Muller, I am a enchanting, good, gentle, modern, tasty, nice, elegant person who loves writing and wants to share my knowledge and understanding with you.