Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 1 subscriber
  • Views 12323 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

schlechte Performance mit SSL VPN

mtcenter
hallo,

egal ob sitetosite ssl vpn oder remote ssl vpn client, die performance ist sehr schlecht, im Vergleich zu ipsec vpn. Als Appliance ist eine ASG220 im Einsatz, angebunden an eine 100MBit WAN Strecke.


This thread was automatically locked due to age.
  • 0
    Wie sieht es den mit der CPU Last aus während eines Transfers?

    Als ich letzte Woche die Sizing Guidelines offen hatte, war mir aufgefallen das bei SSL nur rund ein fünftel "Concurrent VPN Tunnels" empfohlen sind im Gegensatz zu IPsec (je nach Gerät). Bei der ASG 220 z.B. 125 IPsec, aber nur 35 SSL.
  • 0 in reply to UrsWeiss
    Wie sieht es den mit der CPU Last aus während eines Transfers?

    Als ich letzte Woche die Sizing Guidelines offen hatte, war mir aufgefallen das bei SSL nur rund ein fünftel "Concurrent VPN Tunnels" empfohlen sind im Gegensatz zu IPsec (je nach Gerät). Bei der ASG 220 z.B. 125 IPsec, aber nur 35 SSL.


    1-2% höher als normal.
  • 0 in reply to mtcenter
    Auf dem Client vielleicht ein AV Scanner der auch SSL traffic scannt??

    Ist gerade noch meine einzige Idee momentan...

    Werde heute Abend von zuhause aus mal testen wie das bei mir ist.
  • 0
    Hallo,

    ich kann bestätigen, dass SSL VPN eine miese performance hat. Ich hatte hier bis vor kurzem eine Box eines anderen Herstellers mit IPSec-Client (auch adaptierter NCP-Client) und der Remotezugriff (Remote Desktop, Filetransfer, etc.) ging gefühlt 2-3 Mal so schnell. CPU-Last ist hier auch im Minimum, sollte also nicht der begrenzende Faktor sein.

    Ich denke, dass SSL VPN einfach einen deutlich höheren Protokoll-Overhead hat. IPSec mit der Astaro hab ich zum Vergleichen noch nicht getestet.

    Gruss
    Stephan
  • 0 in reply to TPok
    Aber dass bei jeweils 100MBit auf beiden Seiten nur max 150kb/sec durch die Leitung gehen?

    CPU-Auslastung ist keine da und aktuell hab ichs mal nur mit einem connecteten Site to Site und einem User getestet...

    Dass irgendsoein DSL-Home-Anschluss nicht mehr hergibt is mir schon klar aber ne dedizierte Leitung...
  • 0 in reply to Wolfman
    Hallo,

    ich habe gerade einen Weg gefunden, die SSL VPN Performance drastisch zu erhöhen. Es klingt simpel, aber ich habe im WebAdmin, bei den SSL-VPN-Einstellungen das Protokoll von TCP auf UDP umgestellt.

    Nun habe ich gefühlt die gleiche Performance wie bei IPSec.

    Nach etwas Recherche, bin ich auch auf eine Reihe Artikel gefunden, in denen die schlechte Performance von TCP-über-TCP Verbindungen bestätigt wird. Gerade bei lansamen oder schlechten Verbindungen soll UDP die bessere Wahl sein. Eine Erklärung gibt es z.B. hier: Why TCP Over TCP Is A Bad Idea

    Anscheinend spricht gegen UDP nur, dass es einige alte Billig-Router gibt, die bei NAT von UDP-Verbindungen Probleme machen. Das hab ich allerdings nur in einigen Foren gelesen. Bei mir funktioniert es jedenfalls und endlich auch schnell.

    Ich hoffe ich konnte helfen.

    Gruss
    Stephan
  • 0
    bei den SSL-VPN-Einstellungen das Protokoll von TCP auf UDP umgestellt.

    Genau!... und es ist deswegen: https://community.sophos.com/products/unified-threat-management/astaroorg/f/58/p/53765/195494#195494

    MfG - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Das nenne ich mal einen Tip aus der Trickkiste, vielen Dank.

    Allerdings erhalte ich vollgende Meldung wenn ich Webadmin von TCP aud UDP umstelle. 
    die Verbindung eines Benutzers kan nicht mehr aufgebaut werden.

    Tue Aug 03 22:44:57 2010 WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).
    Tue Aug 03 22:44:57 2010 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
    Tue Aug 03 22:44:57 2010 Re-using SSL/TLS context
    Tue Aug 03 22:44:57 2010 LZO compression initialized
    Tue Aug 03 22:44:57 2010 Control Channel MTU parms [ L:1556 D:140 EF:40 EB:0 ET:0 EL:0 ]
    Tue Aug 03 22:44:57 2010 Data Channel MTU parms [ L:1556 D:1450 EF:56 EB:135 ET:0 EL:0 AF:3/1 ]
    Tue Aug 03 22:44:57 2010 Local Options hash (VER=V4): '619088b2'
    Tue Aug 03 22:44:57 2010 Expected Remote Options hash (VER=V4): 'a4f12474'
    Tue Aug 03 22:44:57 2010 Attempting to establish TCP connection with 1.2.4.3:443:443
    Tue Aug 03 22:44:58 2010 TCP connection established with 1.2.4.3:443
    Tue Aug 03 22:44:58 2010 Socket Buffers: R=[8192->8192] S=[8192->8192]
    Tue Aug 03 22:44:58 2010 TCPv4_CLIENT link local: [undef]
    Tue Aug 03 22:44:58 2010 TCPv4_CLIENT link remote: 1.2.4.3:443
    Tue Aug 03 22:44:59 2010 Connection reset, restarting [0]
    Tue Aug 03 22:44:59 2010 TCP/UDP: Closing socket
    Tue Aug 03 22:44:59 2010 SIGUSR1[soft,connection-reset] received, process restarting
    Tue Aug 03 22:44:59 2010 Restart pause, 5 second(s)

    In der Astaro Anleitung habe ich nichts näheres dazu gefunden!
  • 0 in reply to ASG120-User
    Wollte noch kurz erwähnen das es mit TCP einwandfrei funktioniert!
  • 0 in reply to ASG120-User
    @ASG120-User: Die Verbindung muss neu eingerichtet werden, wenn Du auf UDP umstellst! (Download configuration for remote tunnel endpoint)