Sicherung Nas zu Nas Bandbreite wird nicht ausgereizt

    Hallo,


    ich habe folgendes Problem:

    Ich will von einem TS-251 (FW: 4.5.1.1495) Daten über eine VPN Verbindung an einen TS-212P (FW: 4.3.3.1432) senden.

    Der TS-251 hängt an einem Telekomanschluss mit fester Ip und VDSL 60/26Mbit und der TS-212P an Kabeldeutschland mit 100mbit/?.

    Da ich beim TS-251 eine feste ip habe, wähle ich vom 212 den 251 an (openvpn) und route den Port auf der Firewall auf den 251. Die VPN steht udn läut.


    Mein Problem ist, dass ich egal was ich einstelle nicht über 1Mb/s upload beim 251 komme, und entsprechend nur das als download beim 212 ankommt.

    Damit wird mein Backupvolumen von rund 1,9Tb unmöglich in der Zeit wie das Backup dauern würde. Rein rechnerisch müsste ich ja auf 3,5 Mb/s kommen.


    Was mich wundert ist, dass ich einen FTP Server auf dem 212 laufen lassen kann den kann ich auch als Speicherplatz im 251 in HBS3 anlegen und dort

    habe ich nach Geschwindigkeitstest 62,5 MB/s. Das wäre super, wenn ich damit sichern könnte. Aber auch wenn ich das so einrichte kommen wieder nur 1mb/s max.

    raus. Irgendwas limitiert mich hier. Hat jemand eine Idee was ich noch versuchen kann?


    Kann das an dem Anschluss von Kabeldeutschland beim 212 liegen, dass dort die VPN Bandbreite limitiert ist? Dort hängt eine Fritzbox 6490 Cable.


    Beim 251 ist eine Fritzbox 7590 mit neuester FW am Start vor einer OPNsense Firewall. Dort steht das noch als Optimierungsposition:


    net.inet.udp.maxdgramMaximum outgoing UDP datagram sizedefault (57344)

    Die Fritzbox ist eigentlich bekannt dafür, das sie bei VPN nicht gerade sehr performant ist.

    Mit der aktuellen FW7.21 soll das zwar etwas besser sein, aber immer noch Längen entfernt von einer vernünftigen Modem/Router Kombination.

    Aber auch mit der FB sollte es schneller gehen.


    Gruss

    die Fritzbox am 251 hat die FW 7.21, die ist aber auch exposed host vor der Hardwarefirewall und stellt nur die DSl-Leitung. Die Firmware der Fritzbox am 212 ist auch die aktuellste die es gibt für die Fritbox 6490 Cabel.

    Kann es sein, dass ich auf allen beiden Fritzboxen und auf der Firewall die Portfreigabe machen muss, damit der Port nicht limitiert wird?

    2 Mal editiert, zuletzt von El Dorado 345 () aus folgendem Grund: Das mit dem DOT kann ich soweit ausschließen, da ich die Fritzbox eigentlich nur als Modem nutze, die firewall hängt dann im DMZ und regelt den Rest (NAT, DHCP, etc.), da ich eine Feste IP habe, komme ich dann immer auf die Firewall und leite dann weiter auf den anderen nas. VPN mache ich auch vom NAS 212 aus und wähle die feste ip an. Daher denke ich nicht dass die fritzbox beim 251 was stört.

    Ich hab neulich eine Standortvernetzung mit Sophos gemacht (SG105 & RED15 auf der Gegenseite).


    Ich hab auf beiden Seite eine Fritzbox und hab mich aber aufgrund des VPN-Durchsatzes gegen Fritz-VPN entschieden.


    Vermutlich packt eine Fritzbox nicht mehr als 12-15 bit. Ist ja ein Allroundrouter, der neben WLAN auch noch telefonieren, DHCP-Server etc. zeitglich machen muss.


    Bei der Sophos SG105 steht im Datenblatt: 325 Mbit.


    Vermutlich werden diese Werte nicht erreicht, aber mir ging es um Stabilität => Firma & Filiale


    Eine Fritzbox hat dafür einfach einen zu kleinen Prozessor etc.

    Wenn Du Speed willst, wirst Du eine "echte" Firewall nehmen müssen.


    Das mit der Sophos hier ist nur eine Idee. Es gibt ja viele andere, gute & kostenlose Firewalls (sophos XG105 home gibts auch kostenlos).


    Läuft seit knapp einem Jahr ohne einen Aussetzer. Ok, die Putzfrau hat einmal den Stecker gezogen :D

    Hallo,


    also ich mache ja die VPN-Verbindung nicht mit der Fritzbox, die ist bei mir in der Firma nur das Modem, DHCP macht die Sophos Firewall und auch die Routen etc..

    Ich mache die VPN Verbindung folgendermaßen:

    VPN Server ist der Nas in der Arbeit dort läuft der openvpnserver

    Der VPN Client macht der Nas daheim und wählt feste ip an in der Arbeit an, die Fritzbox leitet alles an die Firewall und die Firewall sendet den Port an den Nas in der Arbeit.


    Meint Ihr es wäre sinnvoller den VPN-Server der Firewall zu nutzen und diesen anzuwählen, weil der Nas hat ja auch nicht die beste Hardware und ist schon recht beschäftigt mit den Backupaufgaben.


    Ich denke ich versuche das mal umzustellen sobald ich coronabedingt dazu komme und melde mich nochmal.

    Mache mal eine Zeichnung.


    Nein Vodafone blockiert keinen VPN Trafic, sichere hier mit full line Speed über IPsec von Netgate zu Netgate.

    7590 kann 50MBit+ im VPN, die 6490 kann nein AES und da ist bei 10-15MBit Ende, egal welche Firmware.


    Wenn dein altes 212p Tunnelendpunkt ist, brauchst dich nicht wundern das es langsam ist.

    Also liegt es am 212p?


    Ich versuche mal es so zu verdeutlichen:


    Zuhause:

    Fritzbox 6490 Cable 200mbit Leitung

    Datensicherung:

    NAS 212P dort stellt aktuell die QVNP-App eine Verbindung her direkt mit dem Nas 251 auf der Arbeit (also nicht über Fritz VPN oder ähnliches)


    Arbeit:

    Fritzbox 7590 mit 50mbit VDSL Upload bis zu 30Mbit ist nur als Modem im Betrieb und leitet alles an die Firewall

    Sophos Firewall hat auch VPN Server mit OpenVPN laufen als Remote

    aber für andere Zwecke

    Datensicherung:

    NAS 251

    Dort läuft ein OpenVPNServer auf den sich der 212P von zu Hause aus einwählt


    VPNClient über QVPN auf 212P --------------------------------------------------------->VPN Server QVPN Server OpenVPN auf 251


    Sophos Firewall vor dem 251 lässt den Port zum 251 durch.


    Das ist die aktuelle Konfiguration. Hier komme ich nur auf diese langsamen Werte.


    Wenn der VPNClient auf dem 251 nicht mehr kann dann muss der wohl erneuert werden. Falls es an der Fritzbox 6490 liegt, wird es wohl schwer werden, da

    die extra vom Provider ist wegen dem Cabelanschluss und die nicht so einfach getauscht werden kann von mir. Müsste ich mal abklären, ob es bei Vodafone schon eine neue Version gibt.


    Was mich allerdings verwundert ist, dass die Fritzbox ja eigentlich gar keine VPN-Verbindung aufbaut, das machen ja aktuell die NAS. Kann dann trotzdem die Fritzbox limitieren? Sorry für die evtl. dumme Frage bin da kein Experte.


    Ich habe eben versucht mit dem 212P auf die Sophos direkt per VPN zu verbinden, doch die ovpn datei die mir die sophos Firewall erstellt nimmt der qnap nicht an, weil er egal was ich probiere schreibt dass die Datei falsche Parameter enthält.


    Ich komme hier auch mit google und dem Forum nicht weiter:

    meine ovnp:


    hier kommt dann das Zertifikat


    Laut Qnap sollen die Zeilen alle passen, was ich in der Hilfe gefunden habe, dort stehen einige Zeilen die Fehler verursachen können, davon ist aber keine in der Datei.

    Aber er nimmt mir immer nur die ovpndatei an, die ich mit QVPN auf dem NAS (251) erstellt habe auf dem der VPN Server vom Nas läuft.

    Wenn ich wüsste welche Zeile hier dem Nas als VPN Client nicht passt, könnte ich die Datei evtl. umschreiben.


    Vielleicht hatte ja schon mal jemand so ein Problem.


    Danke auf jeden Fall schon mal allen für die Tipps und Hilfe.

    Die Geschwindigkeiten der WAN-Anschlüsse sind identisch mit meinen. Nur andere Anbieter. Ich verwende TP-Links 6020 Router und wie bei dir sind 1Mb/s das höchste der Gefühle über VPN.


    Das Synchronisieren über RTRR brach nach einer Weile immer ab. Jetzt wird ständig über CIFS/SMB synchronisiert und die Verbindung bleibt bestehen.


    Zuvor erfolgte die Synchronisierung ohne VPN-Tunnel direkt an einen rsync-Server. Dort wurden deutlich höhere Geschwindigkeiten erreicht, aber Sicherheit kommt vor Leistung.

    Den Kopf jetzt bitte nicht hängen lassen. Es gibt Grund zur Hoffnung.


    Erst mal Danke für deine Frage. Die hat mich veranlasst nochmals etwas nachzuforschen. Jetzt läuft mein Site2Site-VPN mit 3-4facher Geschwindigkeit.


    Mehr oder minder bin ich bei der Suche auf den MTU-Wert gestossen und wie man diesen mittels Ping überprüfen kann. Einfach mal nach "MTU Wert Ping" googeln. Anders als in den gefundenen Anleitungen, habe ich den Ping auf den VPN Server ausgeführt ping 192.168.10.1 -f -l 1400, mit dem Ergebnis einer Zeitüberschreitung der Anfrage. Der Ping war erst erfolgreich bei einem Wert von 990.


    Ich habe dann den MTU-Wert in den WAN-Einstellungen des Client-Routers von 1500 auf 990 gesetzt und was soll ich sagen, die Übertragungsgeschwindigkeit wurde nun mit 3-4MB/s angegeben.


    Ich habe danach noch etwas rumgespielt und bei beiden VPN-Routern den Wert auf 1400 gesetzt. Die Übertragungsgeschwindigkeit blieb erhalten. Beim Kopiervorgang von Server-NAS zu Client-PC konnte ich eine Geschwindigkeit von bis zu 7MB/s feststellen, wenn auch nur sehr kurzzeitig.


    Als kleine Anmerkung dazu, das Server-NAS hat durch's rumspielen die Verbindung zum Client-NAS verloren, nach einem Neustart des Server-NAS wurde die Verbindung wieder hergestellt. Also nicht verzweifeln sollte das passieren.


    Nochmals Danke für deine Frage, denn ohne die hätte ich wohl alles so gelassen wie es war.... 1MB/s


    Hoffentlich hilft dir diese Info um dein Problem zu beheben. Leider kenne ich die Einstellmöglichkeiten der Fritzbox nicht und kann dir dort nicht weiterhelfen.


    Freundlichen Gruss

    Einmal editiert, zuletzt von Xydoc ()

    Bei der Fritz kannst da nix einstellen.

    Was du meinst ist die MSS im VPN, ja das ist ein heikles Thema.

    Denn je nach Client und Ziel muss man hier viel spielen, so fahre ich wegen LTE hier 1332.


    Aber 990 kommt mir doch ein wenig arg klein vor.

    Wo soll denn so viel Oberhead her kommen?

    Bei DSL bist ja bei 1400-1492 je nach Anbieter.

    Dann noch 40 runter wegen IPSec.

    Dann ggf. noch 4to6 oder 6to4 aber das kommt doch nicht auf noch mal ca. 300 Byte.

    Beim Aufbau des VPN Tunnels wird bei mir ein MTU von 1460 verhandelt.


    Weshalb der Ping erst bei 990 durchgeht weiss ich nicht. Bin auch kein Experte auf diesem Gebiet.


    Da die Fritzbox den MTU selbständig setzt und nicht verändert werden kann, hilft ihm eventuell eine Veränderung des MTU auf den QNAPs, wenn der dort eingestellt werden kann. Wie gesagt bereits die Veränderung des MTU bei einem meiner Router hat einen deutlichen Schub gebracht.


    Ich habe keine festen IP's von den Providern, sondern löse dieses mit DDNS.


    Bei mir sind beide VPN-Router jeweils hinter einem anderen Router platziert. Eventuell ist das der Grund für die 990.

    Nur ein kleines Update zu der von mir genannten MTU von 990.


    Ich habe festgestellt, dass bei beiden VPN-Routern "Block Large Ping" aktiviert war. Deshalb ging nur der "kleine" Ping durch, nachdem die Blockierung entfernt wurde gingen die Pings mit 1432 ohne Problem durch.

    also ich habe wo es möglich war die MTU geändert, leider ohne Erfolg, da die Fritzbox bei mir daheim leider das nicht zulässt und bei den Nas kann ich die MTU nicht ändern, da es dort keine Einstellung gibt. Dort finde ich nur die Einstellung Jumbo-Frame und die steht bei beiden NAs auf 1500. Also habe ich die MTU auf der Firewall und der Fritzbox im Geschäft reduziert. Leider ohne Effekt.


    Ich habe auch probiert eine VPN Koppelung der Fritzboxen zu versuchen, aber das geht leider auch nicht, da die Fritzbox im Geschöft nur als Modem fungiert und daher nicht "Endpunkt" geeignet ist, muss ich die Firewall anwählen, aber die Exportdatei nimmt mir die Fritzbox daheim nicht an.


    Ich werde noch wahnsinnig. Ich habe anscheinend eine Konstellation die es in sich hat.

    Die MTU stellst du auch im VPN nicht ein, da stellst du die MSS ein.


    Und die Fritzbox kann nur IKEv1 mit default Aggressive Mode.

    pasted-from-clipboard.png


    Für den Main Mode musst du dann den FritzBox Config Editor verwenden und den entsprechenden Part in P1 wie folgt ändern:

    mode = phase1_mode_idp;


    Dann Konfig zurück spielen, teilweise geht es gleich, teilweise dauert es ein wenig.


    Habe aber jetzt mit meinem Schwiegervater den main Mode stabil am laufen.

    also die VPN Verbindung mache ich nicht mit den Fritzboxen sondern mit den Nas und das mit openvpn.


    Ich werde aber mal versuchen einen IPSEC Server auf der Firewall zu starten und dann da mal versuchen.