~~~~~Please move this thread to German Forum... Sorry and thanks a lot~~~~~~
Hallo und guten Tag in Forum,
ich bin einigermassen verzweifelt.
Wir betreiben für unsere Zentrale und einen entfernten Standort 2 ASG V7 also Softappliances (derzeit FW Stand 7.201) auf 2 RX200 S3 von FSC.
Das sind 1HE Server mit Sata, Quad Core CPUS und je 3GB Ram. Die ASG in der Zentrale hat 6Nics verbaut (allesamt GBit fähig), die am entfernten Standort hat 4 Nics.
In der Zentrale haben wir eine 10mbit Anbindung Syncron mit 8er Ripe Netz primär und einen BAIP (Business Access IP von der Teledoof mit 2Mbit Syncron, ebenfalls 8er Ripe Netz). Am 2. Standort eine 16er TDSL und eine 2Mbit SDSL Leitung (Pseydo SDSL, da es letztlich TDSL mit fester IP ist).
Derzeit laufen die Tunnelendpunkte noch mit über das primäre Interface des jeweiligen Standortes. Ich bin erst dabei, das 2. Wan interface exklusive dem VPN Tunnel zuzuordnen mittels Policy Routing.
Um es kurz zu machen. Die von mir eingerichtete VPN Strecke wurde zu anfangs mit Zertifikaten (X509) betrieben, jetzt mit PSK. Die Performance des Tunnels ist unter aller Sau. Wenn ich den OverheadTraffic mal wegrechne, dann komme ich auf ca 80-100kb/s, in beide Richtung identisch.
Ich habe das Szenario firmenintern nachgebaut mit 2 Maschinen mit je 2 Interfaces und 2x ASG V7. Wan Interfaces per crossover verbunden, an die beiden Lan Interfaces je ein NB dran und dann Tunnels mittels PSK eingerichtet. Selbst unter Idealbedingungen (NUR für den Tunnel wurden Regeln definiert, kein anderer Traffic von woanders möglich), komme ich auf lächerliche 4mb/sec. Wohlgemerkt, es ist alles in diesem Test 100Mbit fähig(Nic, Kabel etc)
Nun habe ich an den Verschlüsselungen rumprobiert. Ob ich nun AES 128 ohne PFS oder 3DES nehme, die Performance ist immer die gleiche. Daher schliesse ich daraus, dass es an etwas anderem liegen muss, denn normalerweise sollte AES besser gehen als 3DES. Also habe ich den Tunnel verworfen und einfach nur ein Routing eingerichtet:
internes Netz Zentrale ASG1TransfernetzASG2internes Netz entfernter Standort
Habe wieder über Windows-Dateifreigabe getestet und kam ebenfalls nur auf lächerliche 3-4Mb/s.
Woran kann so eine schlechte Performance begründet sein? Nicht falsch verstehen. Ich mag die Astaro wegen ihrer vielen Talente, aber VPN scheint nicht dazu zu gehören.
Bei so einer Performance ist arbeiten in unserem Firmennetz standortübergreifend nur rudimentär möglich.
Falls irgendwer noch Tipps hab, woran dies liegen kann, bitte her damit, sonst müssen wir die Astaros leider wieder einstampfen und gegen Lancoms ersetzen.
Monthy
This thread was automatically locked due to age.
