Nach tausch der Netzwerkkarte extrem langsame VPN Verbindung

1. offizieller Beitrag

    Hallo,

    wir haben in unserer Endian 2.5.1 Community Edtion anstelle einer 2-port Broadcom 1GBit Netzwerkkarte einen 4-port Intel Server-Adapter eingebaut (ebenfalls 1GBit).
    Obwohl auf dem ersten Blick alles prima funktionierte mussten wir nun feststellen, dass sämtliche VPN Verbindungen extrem langsam sind.
    Besonders bemerkbar wird es bei RDP Verbindungen durch die VPN, denn hier wird das Bild trotz zwei 16.000er DSL Leitungen auf beiden Seiten nur in Zeitlupe
    aufgebaut, was vorher hingegen flüssig funktionierte.
    Der VSphere Client von VMWare bricht sogar neuerdings mit einem Timeout ab, wenn man durch die VPN Versucht auf einen ESXi Server zu kommen.
    In den VPN und System-Logs der Endian ist nichts auffälliges zu finden.
    An der DSL Leitung liegt es nicht, wir haben diese schon geprüft und da wir exakt das gleiche Problem
    mit einer baugleichen Endian Firewall an einem anderen Standort haben, bei der ebenfalls die gleiche 2-port Broadcom Netzwerkkerte durch eine 4-Port Intel ersetzt wurde,
    muss irgendwas mit der Endian nicht stimmen.

    Hat jemand vielleicht eine Idee?

    • Offizieller Beitrag

    Hallo,
    wird die Karte korrekt erkannt als 4-Port Intel?

    Code
    lspci

    Kann mir nur vorstellen das die Treiber nicht korrekt sind oder diese nicht korrekt erkannt wird.
    http://bugs.endian.com/view.php?id=4394

    gruß ffischer

    Hallo,
    ich bin genau nach dieser Anleitung vorgegangen, da die Intel Netzwerkkarte sonst nicht erkannt wurde.
    Zuvor habe ich die Schnittstelle der Grünen Zone von der alten Broadcom NIC auf eine der im Mainboard integrierten Netzwerkkarten umgestellt.
    Nachdem der Intel Server Adapter eingebaut war, habe ich die Grüne Zone auf den ersten Port der Intel Karte gelegt.
    Die WAN Schnittstelle blieb hingengen unverändert am zweiten Port der im Mainboard integrierten NIC.

    Ich habe mit Netperf mal den Durchsatz zwischen den Zonen Grün, Blau und Orange gemessen (Alle auf der Intel NIC) und
    der Durchsatz lag jeweils über 920 Mbit/s. Netperf durch die VPN zu schubsen, habe ich bisher nicht hinbekommen.
    Das Kopieren einer 18 Megabyte großen Datei durch den OpenVPN Tunnel dauerte 4:34 Sekunden und brachte max 65Kb/s.
    Über einen IPSec-Tunnel waren es immerhin konstant 93Kb/s, was eigentlich gar nicht mal so schlecht ist.

    Ich habe nochmal ein paar Performance-Tests durchgeführt:
    DSL-Upload über sFTP Verbindung: 115 Kilobyte = 920KBit (16.000er DSL hat max 1024KBit Upload, die Geschwindigkeit geht also in Ordnung)
    Datendurchsatz der IPSec Verbindung: 93 Kilobyte (konstant)
    Datendurchsatz der OpenVPN Verbindung: 65 Kilobyte (anfangs nur 30-40)

    Zum einen finde ich den Durchsatz der OpenVPN verbindung schon recht langsam, gerade die Anfangswerte.
    Andererseits sollte das aber doch eigentlich noch für eine halbwegs flüssige RDP Verbindung reichen, oder?

    • Offizieller Beitrag

    Hallo,
    65kb eigentlich schon.
    läufts besser wenn du die Qualität der RDP Verb. bearbeitest?

    Gibts hohe CPU Auslastungen an der EFW?
    Ist dieser vmware promiscuous mode vielleicht noch ein Problem, wurde hier des öfteren mal genannt im Forum.

    gruß

    Hallo,

    die RDP Verbindung war schon nur auf 16Bit Farbtiefe gesetzt, wie ich gerade feststellen musste.
    Bei 24 oder gar 32 ist sie nahezu unbenutzbar, es dauert dann rund eine halbe Minute und länger bis ein Mausklick umgesetzt wird.

    Nebenbei habe ich auch feststellen müssen, das neu hinzugefügte Source NAT Regeln keine Wirkung mehr
    zeigen. Alle alten Regeln funktionieren weiterhin, sogar wenn ich diese in der Endian deaktiviere!
    Um die Intel NIC Treiber zu installieren musste ich auf den Development Channel umstellen und dabei wurden
    automatisch mehrere Pakete aktualisiert. Ich hoffe nicht dass diese jetzt die Ursache für die Probleme sind.

    PS: Die CPU-Last auf der Endian liegt bei unter 10%. Ein CPU Kern hatte 13% der zweite 5%.

    Kleiner Nachtrag:
    Die Info mit dem nicht funktionierenden Source NAT ist falsch, es lag in diesem Fall an einer Windows Firewall die dazwischen gefunkt hatte.
    Es bleibt also ein reines VPN/RDP problem.

    Ich habe das Problem jetzt gelöst indem ich die Endian Firewall komplett neu installiert und die alte Konfiguration zurückgespielt hat.
    Nun fluppt die RDP Verbindung wieder und der OpenVPN-Durchsatz ist auch auf 90KB/s angestiegen! :)

    Da habe ich mich wohl zu früh gefreut.
    Nachdem ich gestern nach der Neuinstallation keine Probleme mehr hatte, sind sie heute wieder vorhanden.
    Der VSphere Client bekommt keine Verbindung mehr und RDP Verbindungen sind unerträglich langsam.
    In den letzten 24 Stunden wurde rein gar nichts an der Endian verändert.
    Ich bin völlig ratlos.

    Ich bin nun einen Schritt weiter gekommen!
    Sobald ich die Eindringlingsabwehr deaktiviere, läuft plötzlich alles ohne Probleme!
    Offenbar wurden irgendwelche IPS Regeln heruntergeladen, die bei VSphere und RDP Verbindungen
    durch die VPN Probleme bereiten. Das erklärt auch warum nach einer frischen installation noch alles lief und dann plötzlich nicht mehr.

    Die Logs der Eindringlingsabwehr sind jedoch komplett leer.
    Wie bringe ich Snort bei, dass es VSphere und RDP in Ruhe lässt?