VPN: Übertragungsrate zu/von SMB-Share nur 355 KB/s

[leetex]

Guten Tag in die Runde,

ich habe das Problem, dass sich die Übertragungsrate nur um die 355 KB/s bewegt, wenn ich Dateien von oder zu einem SMB-Share kopieren möchte.

Folgender Aufbau:

• Internetanschluss, welcher aktuell für die VPN-Verbindung verwendet wird: VDSL 100/40
• Das Problem tritt auch auf, wenn wir die 50/50 DCIP-Leitung verwenden
• Modem: Zyxel VMG1312-B30A (im Bridge Modus)
• VPN ist auf einer Watchguard Firebox M200 eingerichtet
• Benutzt wird IKEv2 mit SHA2
• df-bit ist gesetzt
• SMB-Share befindet sich auf Windows Server 2012 R2 (SMB Version 3.0)
• Endgeräte sind Windows 10 Clients, iOS Geräte und MacOSx Geräte
• Getestet wurden Kopiervorgänge, wenn sich Endgeräte in verschiedenen externen Netzwerken (LAN/WLAN) oder im LTE-Netz befanden
• Netzinterne Kopiervorgänge von oder zu dem SMB-Share laufen in Gigabit Geschwindigkeit

Wenn man sich nun mit einen Gerät (welches ist egal, das Problem tritt bei allen Geräten auf) eine VPN-Verbindung herstellt, lässt sich mit guter Performance in der Citrix-Umgebung oder per RDP-Sitzung arbeiten, aber wenn man Dateien von oder zu einem SMB-Share kopieren möchte, dauert es relativ lange, bis der Kopiervorgang überhaupt beginnt und dann bleibt die Übertragungsrate bei nur langsamen 355 KB/s.
Dabei ist es egal, ob der Upload des VDSL-Anschlusses ausgelastet ist oder nicht. Wenn mehrere Endgeräte gleichzeitig Daten von dem SMB-Share kopieren, liegen bei jedem Client auch 355 KB/s an.

Laut dem Watchguard-Support wird in der Firewall selber nichts limitiert und alles korrekt konfiguriert.

Habt Ihr eine Idee, an welcher Stelle man noch suchen könnte? Bin mit meinem Latein so langsam am Ende.

Grüße, leetex

 

[azereus]

nur um einen weiteren Punkt auszuschliessen:
- Kopiervorgang von/zu einem VPN-Client <-> Server (kein share sondern z.B. C$ etc.) hast du welche Datenübertragungsrate?

/edit: bei welcher MTU bewegen wir uns denn?

 

[Ic3HanDs]

Würde auch mal direkt testen. Klingt für mich grad ein wenig danach das du über die RDP Verbindung eine Datei senden/empfangen willst und nicht direkt über den Tunnel?

 

[leetex]

Die MTU wird in Windows mit 1400 für die VPN-Verbindung angegeben

[...]
- Kopiervorgang von/zu einem VPN-Client <-> Server (kein share sondern z.B. C$ etc.) hast du welche Datenübertragungsrate?

Wenn ich eine Datei von/zu C$ kopiere, habe ich das selbe Phänomen.

[...]Klingt für mich grad ein wenig danach das du über die RDP Verbindung eine Datei senden/empfangen willst und nicht direkt über den Tunnel?

Nein, ich komme auf die 355 KB/s, wenn ich eine VPN-Verbindung herstelle und dann im explorer \\123.456.789.0\fileshare aufrufe und dann eine Datei auf/von meinem Laptop kopieren möchte.

Grüße, leetex

 

[0x8100]

dein vpn sollte udp benutzen, sonst überträgst du tcp in einem tcp tunnel, was die übertragungsrate durch die doppelte roundtrip time reduziert.

 

[leetex]

dein vpn sollte udp benutzen, sonst überträgst du tcp in einem tcp tunnel, was die übertragungsrate durch die doppelte roundtrip time reduziert.

UDP ist schon aktiviert.

 

[Ic3HanDs]

Ich persönlich hatte bisher noch nie eine WatchGuard Firewall dafür aber auch sehr große Fortinet Firewalls. Soweit ich weiß ist die M200 aber schon recht alt und die M270 aktuell oder nicht?

Kann es sein das du eine Verschlüsselung nutzt die deine Firewall einfach nicht Hardwaremäßig beschleunigen kann? Dann geht es natürlich auch sehr in die Knie.

 

[Raijin]

Kannst du den VPN-Tunnel mal mit iperf/jperf oder netio ausmessen? Damit wird direkt von RAM zu RAM geprüft wie schnell die Netzwerkverbindung ist. Deine einzige Gegenprobe besteht aus einer Citrix- bzw. RDP-Sitzung. SMB und Citrix, RDP, etc. zu vergleichen ist aber in etwa so als wenn man Äpfel mit Birnen oder besser noch Birnenschnaps vergleicht.

Citrix, RDP und Co sind darauf getrimmt, mit möglichst wenig Bandbreite auszukommen. Dazu sind die Daten stark komprimiert und selektiert. Es werden teilweise gar nicht die kompletten Bildinformationen übertragen, sondern nur die veränderlichen Teile, um Bandbreite zu sparen - schlank und effizient.

SMB wiederum ist ein Dateiübertragungsprotokoll. Schlank und effizient gibt es da sogesehen nicht, weil nach Möglichkeit die komplette Bandbreite belegt werden soll.

Wenn du nun sagst, dass Citrix und Co flutschen, SMB aber lahm ist, kann das schlicht und ergreifend daran liegen, dass der VPN-Tunnel nicht mehr als deine angegeben 350 KB/s zustande bringt - genug für Citrix, zu wenig für SMB. Mit iperf/jperf bzw. netio kannst du nun testen wieviel Bandbreite tatsächlich zur Verfügung steht. Am Ende ist es nämlich gar nicht das Problem von SMB via VPN, sondern einfach nur das VPN..

 

[hpxw]

ich würde auf die Hardware tippen.

Ich hatte ähnliches Problem zwischen Fritzbox und meiner Firewall (Sophos UTM) gehabt. Hatte die Fritzbox ersetzt und hatte volle 40 Mbit Upload gehabt

 

[leetex]

Kannst du den VPN-Tunnel mal mit iperf/jperf oder netio ausmessen? Damit wird direkt von RAM zu RAM geprüft

Hab´s nun mal mit iperf getestet (Von Client Richtung Server )und folgendes Ergebnis bekommen:

Spoiler: iperf

Das sind im Schnitt umgerechnet auch nur gute 400 KByte/s.

Kann mir irgendwie nicht vorstellen, dass über den VPN-Tunnel so viel Overhead produziert wird, dass ich bei einer 100/40 VDSL-Leitung so wenig Bandbreite habe.

Kann es sein das du eine Verschlüsselung nutzt die deine Firewall einfach nicht Hardwaremäßig beschleunigen kann? Dann geht es natürlich auch sehr in die Knie.

Das kann ich nicht 100%ig beantworten. Ich hatte diesbezüglich schon diverse Tickets beim Support offen und gehe stark davon aus, dass mich darauf ein Mitarbeiter aufmerksam gemacht hätte.
Was ich sehen kann: die CPU der Firebox langweilt sich.

Ich werde mich dann wohl noch einmal an den Support wenden und das Ding tauschen lassen.

Grüße, leetex

 

[Raijin]

Das sind im Schnitt umgerechnet auch nur gute 400 KByte/s.

Kann mir irgendwie nicht vorstellen, dass über den VPN-Tunnel so viel Overhead produziert wird, dass ich bei einer 100/40 VDSL-Leitung so wenig Bandbreite habe.

Overhead ist das auch nicht. Overhead würde bedeuten, dass je xx Byte Daten yy Byte durch das VPN on top kommen. Das ist so ja nicht der Fall. Natürlich entsteht bei VPN ein gewisser Overhead dadurch, dass ein einzelnes Datenpaket nochmal in ein anderes Paket, das VPN-Paket gekapselt wird. Da reden wir aber vielleicht von 10% oder so. Zum Vergleich: In meinem lokalen Netzwerk habe ich mit einem i3-2100 in meinem Server (Ubuntu) sowie einem i3-irgendwasmobile in meinem alten Laptop einen OpenVPN-Tunnel mit schlanken 850 Mbit/s zustande gebracht. Viel mehr ist da nicht rauszuholen, auch nicht mit stärkerer Hardware. 1 Gbit-Ethernet selbst schafft Netto nur ca. 950 Mbit/s (Rest=Overhead).

In deinem Fall sieht es ganz danach aus, dass es schlicht und ergreifend an der Hardware liegt. Die CPU schafft es einfach nicht, die VPN-Pakete schneller zu ver- bzw. entschlüsseln und so ist die maximale Übertragungsrate durch die CPU limitiert.
Zur Gegenprobe könntest du mal versuchen, den VPN-Server auf den Windows Server auszulagern, der vermutlich deutlich potenter ist als die Firewall. Ich vermute mal da kommst du dann eher in Richtung Vollauslastung der Internetleitung.

 

[ThorstenMUC]

Hatte ein ähnliches Problem - auch diese verräterische Limitierung auf 355KB/s beim kopieren über WLAN auf ein NAS, welches über einen GBit-Switch dann an einer FritzBox 6590 hing.

Das scheint ein Notfall-Modus des verwendeten Ports zu sein, der dann diese künstliche Begrenzung setzt. Ich kam drauf, als die Geschwindigkeit nach einem Restart mal kurzfristig wieder passte - dann wieder 355KB/s. Kabel getauscht -> Port dadurch neu initialisiert -> volle Geschwindigkeit -> kurze Zeit später wieder 355KB/s.
Das gleiche, wenn ich den Port in der FB zwischen 100MBit und 1GBit umgeschaltet hab - kurze Zeit ok... dann wieder nicht.

Lösung war dann das update des Fritz!OS von Version 7.01 auf 7.10 - seitdem ist das Problem nicht mehr aufgetreten. Im Netz habe ich ähnliche Berichte gefunden - auch, wie hier, nicht nur bzgl. FritzBox. Also vermutlich ein Issue mit dem Chipsatz oder Switch, der in mehreren Geräten verbaut ist.

 

[hellobello25]

Nur mal eine blöde Idee
Wie wäre es mal die Kiste zu Reseten

Die Watchguard Firebox M200 ist hinter dem Zyxel VMG1312-B30A? oder ist da noch etwas?

Schon mal mit iperf probiert? was da drüber geht? Statt SMB

Vielleicht hilft auch das

https://techjourney.net/tcp-window-scaling-auto-tuning-may-slow-down-network-performance-in-windows/

 

[Datax]

Was ich sehen kann: die CPU der Firebox langweilt sich.

Wann hast du denn gesehen, dass die CPU sich langweilt?

Hast du das während eines Kopiervorgangs über den VPN-Tunnel gesehen
oder ohne laufenden Kopiervorgang?

Wenn die CPU sich ohne Kopiervorgang langweilt,
dann sagt das ja nichts über die Auslastung der CPU während eines Kopiervorgangs aus.

Während eines Kopiervorgangs muss die CPU ver-/entschlüsseln,
das muss sie ohne Kopiervorgang nicht (da hat sie entsprechend deutlich weniger zu tun).

 

[leetex]

Vielen Dank für die Antworten, das Problem hat sich erledigt.
Schuld war (so vermute ich) ein Bug in der Firmware, der mir vom Support nicht kommuniziert wurde.

Von einem Tag auf den anderen hat es aus heiterem Himmel funktioniert und der VPN-Durchsatz passt nun. Hatte mich gewundert und nachgeschaut.
Und siehe da: Es wurde über Nacht die aktuellste Firmware aufgespielt.

Ob es nun tatsächlich daran lag, lässt sich nur mutmaßen. Bin auf jeden Fall froh, dass es nun funktioniert ^^


Grüße, leetex