Site-to-Site Tunnel mit IPSec - Durchsatz nur 4 kB/s

Hallo zusammen,

ich habe zwischen zwei Standorten mit einer SG115 und SG135 eine IPSec Verbindung über IPv6 eingerichtet. Ein Anschluß hat 100Mbit/s Down/Up und der andere hat 200Mbit down/up. Ein ping zwischen beiden UTM's dauert ca. 8ms. Das Einbinden von Freigaben und anschließende Kopieren dauert ewig. Es werden nur 4 kB/s angezeigt.

Leider habe ich keine Idee mehr, wo ich ansetzen soll.

 

Übersicht der IPSec VErbindung in der Site-to-Site Übersicht:

SA: 192.168.30.0/24=2a00:xxxxx   2a00:xxxxx=192.168.1.0/24
VPN ID: 2a00:xxxxxx
IKE: Auth PSK / Enc AES_CBC_256 / Hash HMAC_MD5 / Lifetime 7800s / DPD
ESP: Enc AES_CBC_256 / Hash HMAC_MD5 / Lifetime 3600s
 
   

 

 

Danke!

  • In reply to Duff11:

    Ist dies hier eventuell die Lösung???

     

    https://ideas.sophos.com/forums/17359-utm-formerly-asg-feature-requests/suggestions/7735803-option-to-manage-mss-size

    https://community.sophos.com/products/unified-threat-management/f/general-discussion/89663/issue-of-mss-on-ipsec-vpn

     

    iptables -I FORWARD 1 -o -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1320

     

    oder aus 1360?

     

    Verstehe nur nicht so ganz, woher ich diesen Wert bekomme?

  • In reply to Duff11:

    You might want to read Problems viewing some websites when accessed through an IPsec tunnel and Issue of MSS on IPSEC VPN.  I would try setting the mss to 1362 per your tests.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

  • In reply to BAlfson:

    Die iptables Regel aber dann auf beiden utms?

    Muss ich an der mtu auch noch was umstellen?

  • In reply to Duff11:

    So, ich habe auf beiden UTMs die iptables-Regel hinzugefügt:

    iptables -t filter -I FORWARD 1 -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1362

     

    Kann jedoch leider keine wirkliche Verbesserung feststellen (5kb Durchsatz ;-()

    (Auf einem linux client wird per cifs eine Windows-Freigabe gemountet)

     

    Im espdump kann ich auf der Zielutm sowas hier sehen:

        192.168.1.99.52574 > 192.168.30.1.445: Flags [.], cksum 0xb265 (correct), seq 1, ack 203376, win 1430, options [nop,nop,TS val 112676115 ecr 84816576,nop,nop,sack 1 {224784:226122}], length 0
        192.168.30.1.445 > 192.168.1.99.52574: Flags [.], cksum 0x1d73 (correct), seq 203376:204714, ack 1, win 255, options [nop,nop,TS val 84816607 ecr 112676115], length 1338SMB-over-TCP packet:(raw data or continuation?)
        192.168.1.99.52574 > 192.168.30.1.445: Flags [.], cksum 0xacb0 (correct), seq 1, ack 204714, win 1444, options [nop,nop,TS val 112676193 ecr 84816607,nop,nop,sack 1 {224784:226122}], length 0
        192.168.30.1.445 > 192.168.1.99.52574: Flags [.], cksum 0x17cc (correct), seq 204714:206052, ack 1, win 255, options [nop,nop,TS val 84816638 ecr 112676193], length 1338SMB-over-TCP packet:(raw data or continuation?)
        192.168.1.99.52574 > 192.168.30.1.445: Flags [.], cksum 0xa70f (correct), seq 1, ack 206052, win 1438, options [nop,nop,TS val 112676271 ecr 84816638,nop,nop,sack 1 {224784:226122}], length 0
        192.168.30.1.445 > 192.168.1.99.52574: Flags [.], cksum 0x1225 (correct), seq 206052:207390, ack 1, win 255, options [nop,nop,TS val 84816669 ecr 112676271], length 1338SMB-over-TCP packet:(raw data or continuation?)
        192.168.1.99.52574 > 192.168.30.1.445: Flags [.], cksum 0xa163 (correct), seq 1, ack 207390, win 1444, options [nop,nop,TS val 112676348 ecr 84816669,nop,nop,sack 1 {224784:226122}], length 0
        192.168.30.1.445 > 192.168.1.99.52574: Flags [.], cksum 0x0c7f (correct), seq 207390:208728, ack 1, win 255, options [nop,nop,TS val 84816700 ecr 112676348], length 1338SMB-over-TCP packet:(raw data or continuation?)
        192.168.1.99.52574 > 192.168.30.1.445: Flags [.], cksum 0x9bbc (correct), seq 1, ack 208728, win 1444, options [nop,nop,TS val 112676426 ecr 84816700,nop,nop,sack 1 {224784:226122}], length 0
        192.168.30.1.445 > 192.168.1.99.52574: Flags [.], cksum 0x06d8 (correct), seq 208728:210066, ack 1, win 255, options [nop,nop,TS val 84816731 ecr 112676426], length 1338SMB-over-TCP packet:(raw data or continuation?)
        192.168.1.99.52574 > 192.168.30.1.445: Flags [.], cksum 0x961c (correct), seq 1, ack 210066, win 1438, options [nop,nop,TS val 112676503 ecr 84816731,nop,nop,sack 1 {224784:226122}], length 0
        192.168.30.1.445 > 192.168.1.99.52574: Flags [.], cksum 0x0132 (correct), seq 210066:211404, ack 1, win 255, options [nop,nop,TS val 84816762 ecr 112676503], length 1338SMB-over-TCP packet:(raw data or continuation?)

     

    An der MTU Größe habe ich bsiher noch nichts geändert.

     

    Kopiere ich per rsync file von einem Linux-Rechner zu einem anderen über den Tunnel, sieht die Performance besser aus (habe zuvor auf der Gegenseite mit dd unterschiedlich große files angelegt):

    root@homer:~/test# rsync -avz --progress test@192.168.30.145:/home/test/*.file .
    test@192.168.30.145's password:
    receiving incremental file list
    1000mb.file
      1,048,576,000 100%   42.86MB/s    0:00:23 (xfr#1, to-chk=3/4)
    100mb.file
        104,857,600 100%   24.59MB/s    0:00:04 (xfr#2, to-chk=2/4)
    10mb.file
         10,485,760 100%   35.97MB/s    0:00:00 (xfr#3, to-chk=1/4)
    1mb.file
          1,048,576 100%    3.50MB/s    0:00:00 (xfr#4, to-chk=0/4)

    sent 100 bytes  received 1,133,248 bytes  35,979.30 bytes/sec
    total size is 1,164,967,936  speedup is 1,027.90

  • In reply to Duff11:

    Und noch was herausfinden können:

     

    ping6 -s 1432 -I axxx:xxxx::xxxx bxxx:xxxx::xxxx -i 1 -c 1 -M do

    1440 bytes from bxxx:xxxx::xxxx: icmp_seq=1 ttl=250 time=5.72 ms

     

    funktioniert. Alles darüber an Größe endet in Error.

     

    From bxxx:xxxx::xxxx icmp_seq=1 Packet too big: mtu=1480

     

    Jetzt habe ich zwar viele Informationen gewinnen können, jedoch ist mir noch nicht klar, wie und was ich nun an der Sophos UTM anpassen muss?

    Die MTU-Größe auf 1432 (+ 8 byte icmp header + 40 byte ipv6 header = 1480) oder direkt auf 1480? Oder muss/soll ich die gar nicht ändern (eventuell Auswirkungen auf das restliche Netzwerk hinter der mtu)?

    Muss ich die iptables FORWARD Regel auch anpassen?

  • In reply to Duff11:

    Leider bringt nur diese iptables Regel keinen wirklichen Erfolg. Von einem Windows-Rechner aus kann ich auch nur einen ping mit angegeben Größe von 1362 durchführen.

    Sorry, aber was muss ich noch alles ändern (und wo), damit der IPv6-Tunnel mit den dahinterliegenden IPv4 Netzen endlich funktioniert.

     

    Vielen Dank!

  • In reply to Duff11:

    Puh, ich komme nicht weiter ...

     

     

    IPv4 LAN <-> UTM IPv6 < ---- > UTM IPv6 <-> LAN IPv4

     

    ping6 -s zw. den UTM's IPv6 geht bis 1432 (MTU der UTM's habe ich auf 1480 gesetellt)

    ping -s 1362 im LAN zu LAN (IPv4) ist maximum

     

    Die MTU der UTM's habe ich auf 1480 gestellt. Muss ich die MTU der Clients im LAN (IPv4) auch entsprechend herabsetzen?

    Wenn ja, auf welchen Wert? MTU 1390?

     

    So wird es zumindestens beim ping angezeigt ....

    ping -s 1364 192.168.30.254 -D -c 1
    PING 192.168.30.254 (192.168.30.254): 1364 data bytes
    556 bytes from 192.168.2.1: frag needed and DF set (MTU 1390)
    Vr HL TOS  Len   ID Flg  off TTL Pro  cks      Src      Dst
     4  5  00 7005 52f1   0 0000  40  01 404a 192.168.2.3  192.168.30.254

     

    Seltsamerweise geht eine OpenVPN-Verbindung über feste-ip "ohne Probleme". Nur komme ich dort nur auf die Geschwindigkeit von feste-ip und nicht auf die vom möglichen Glasfaseranschluß im Netz der Deutschen Glasfaser (100 up and down).

     

    Hat vlt. noch jemand eine Idee oder einen Tipp für mich???

     

    Vielen Dank...

  • In reply to Duff11:

    556 bytes from 192.168.2.1: frag needed

    Ahh, it looks like you have the dreaded MTU problem.  try a Google:

    site:community.sophos.com/products/unified-threat-management/f MTU 576

    MfG - Bob (Bitte auf Deutsch weiterhin.)

  • In reply to BAlfson:

    Schon mal vielen Dank für die Antwort.

     

    Allerdings verstehe ich sie nicht ganz, da ich keine Dynamic IP nutze. Ich habe auf dem WAN die MTU manuell von 1500 auf 1480 gesetzt.

  • In reply to Duff11:

    Der Ping geht wieder wie zuvor beschrieben bis size 1362 durch. Ansonsten erhalte ich die Fehlermeldung Message to Long, mtu=1382

    Allerdings bricht die ubertragungsgeschwindigkeit bei größeren Dateien ein.

    Was kann ich noch machen/versuchen?

    Werden noch irgendwelche tcpdumps benötigt?

    Vielen Dank!

  • In reply to Duff11:

    Noch jemand eine Idee, was ich noch probieren kann?

  • In reply to Duff11:

    Did you enable the option:  "Support path MTU discovery" under the "remote gateway"?

  • In reply to apijnappels:

    Thanks for your answer. Yes, I did.

    The next idea is to change the mtu size on the Tunnel end points (Clients) to 1390.

    I do Not have any Problems with small packets, like voip.