Thread Info
  • State Not Answered
  • +1 person also asked this people also asked this
  • Locked Locked
  • Replies 8 replies
  • Subscribers 6 subscribers
  • Views 2274 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN SSL Ping Timout und sehr langsam

Alexander Söhl

Hallo Zusammen,

 

ich habe eine UTM 9 (SG230 HA). Als Internetanschluss dient ein CompanyConnect 50Mbit der dt. Telekom. Die Firewall läuft seit ca. 6 Jahren ohne größre Probleme.

Da jetzt viele Mitarbeiter bei uns von zu Hause aus arbeiten müssen tritt folgendes Problem auf:

Wir arbeiten auf RDP Server , jetzt bricht die Verbindung ab mehrmals in der Stunde ab.

Ich kann nachvollziehen das der Ping zuvor ansteigt:

55 ms 
60 ms
58 ms
138 ms
450 ms
1350 ms
Timeout
Timeout
460 ms
145 ms
60 ms

 

Die Leitung an sich ist gerade mal zu 10% ausgelastet. Ich habe auch schon mit QoS es versucht ,das VPN Verkehr zu bevorzugen. Das hast alles nichts gebracht.

Hat da vielleicht jemand eine Idee an was das liegen könnte ? Die RED`s und Site2Site laufen ohne Probleme.

 

Vielen Dank im Voraus



This thread was automatically locked due to age.
  • 0

    Hi,

    genau dieselbe Problematik haben wir z.T. auch. An der Auslastung kann es weder an der Leitung noch an der CPU liegen.

    ---

    Sophos UTM 9.3 Certified Engineer

  • 0 in reply to Ben

    Hi,

    bei uns ist das Problem nicht so schwerwiegend, wir haben ebenso eine Telekom Glasfaserleitung (CompanyConnect 50Mbit). Jene Anwender die sich im Home-Office über die normalen A/V-DSL Anbieter (Telekom, 1und1) connecten, haben eine stabile Verbindung =alles gut.

    Bei Anwendern die Unitymedia/Vodafone (=Kabelanschlüsse) haben, haben teilweise Verbindungsverluste / oder die RDP-Verbindung ist langsam. Welche Anbieter haben bei dir die betroffenen User? Zufällig Unitymedia/Vodafone? Nach meinem Wissen sind die Kabelanschlüsse zwar grundsätzlich schneller, brechen aber häufiger ein wenn viele User die Leitungen intensiv nutzen.

    Und da die Kids aktuell viel am netflixen sind, macht sich das gerade jetzt in der Home-Office Zeit bei den Kabelusern stärker bemerkbar.

    Deswegen ist es auch schwer, gefundene Fehler (jene Abbrüche werden protokolliert) im SSLVPN Protokoll einer Ursache festzumachen (SSLVPN Sophos Server oder der Client am Kabelanschluss)

     

    Ich bin gespannt, wie die Resonanz hier im Thread zu meiner Vermutung (Kabelanschlüssen) ist.

     

    LG Jonas

  • 0 in reply to Jonas92

    Ich muss sagen es ist diese Woche echt besser geworden!

    Der User mit den meisten Abbrüchen hat einen Kabelanschluss. Ganz genau.

    ---

    Sophos UTM 9.3 Certified Engineer

  • 0 in reply to Jonas92

    Unitymedia verwendet DS lite und hat deshalb eine kleinere MTU

    Wir setzen in diesen Fällen in usere Config die Zeile rein:

    link-mtu 1400

    Das behebt alle Probleme

     

  • 0 in reply to papa_

    (Sorry, my German-speaking brain isn't creating thoughts at the moment.  )

    papa_ wins again!  This is exactly what #7.3 in Rulz (last updated 2019-04-17) suggests.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson

    BAlfson: not "exactly", rule #7.3 refers to Interface MTUs. It would be a bad bad idea to just change an Interface MTU because a Client has a lower MTU. The suggestion to add the MTU option to the openvpn settings is probably not bad if it works, but shows a bad design that it is needed.

    ---

    Sophos UTM 9.3 Certified Engineer

  • 0 in reply to Ben

    There are OpenVPN-options (mtu-disc and mtu-test) that do the mtu settings automatically.

    They only run under linux or need a probe time of several minutes, because Windows does not support the needed system calls

  • 0 in reply to papa_

    Maybe we can create a feature request, so there is an option to download the openvpn config file with lower mtu from sophos (sg) device?

Unfiltered HTML