vpn praticamente ferma

Maninabox · 03-05-2007, 11:48

Ciao a tutti.
Vengo subito al problema.
Ho configurato un firewall vpn che gestisce fino a 50 tunnel e una decina di router con funzionalità di endpoint per effettuare vpn ipsec.
I computer dietro agli apparecchi si vedono subito e comunicano ma la connessione è praticamente ferma (con dumeter misura 0.2kb con picchi di 20kb ogni tanto e per trasferire un file da 5mb ci mette qualche ora).
Questo anche attivando un solo tunnel alla volta.
La navigazione internet è sempre ottima quindi mi sento di escludere problemi di portante.
Può creare problemi il fatto di avere due operatori adsl differenti per le due sedi? (telecom e tiscali, la prima da 4mb e la seconda da 20).
So che dipende moltissimo dalla velocità di upload ma il tempo impiegato secondo me è veramente tantissimo anche per una 256kb.

Ho ipotezzato quindi qualche impostazione di rete non corretta.

Qualcuno sa se magari bisogna aprire qualche porta particolare magari per migliorare la comunicazione, tenendo conto che non è una vpn software, cioè fatta da windows bensì gestita dall' hardware? Oppure bisogna aprire ugualmente la porta 1723 e/o 500?

Grazie

Ciao

scostante · 03-05-2007, 15:54

Quote:

Originariamente inviato da Maninabox

router con funzionalità di endpoint per effettuare vpn ipsec.

Marche e modelli?

Quote:

I computer dietro agli apparecchi si vedono subito e comunicano ma la connessione è praticamente ferma (con dumeter misura 0.2kb con picchi di 20kb ogni tanto e per trasferire un file da 5mb ci mette qualche ora).

Con che protocollo (netbios, ftp, ssh)? Latenza del ping tra i due host? Traceroute tra due lati della vpn?

Quote:

La navigazione internet è sempre ottima quindi mi sento di escludere problemi di portante.

Immagino sia perchè ogni rete ha il suo gateway...

Quote:

Può creare problemi il fatto di avere due operatori adsl differenti per le due sedi? (telecom e tiscali, la prima da 4mb e la seconda da 20).

Non direi. O meglio: in sè una connessione è sempre una connessione, a meno di eventuali politiche limitative più o meno note da parte dei provider.

Quote:

So che dipende moltissimo dalla velocità di upload ma il tempo impiegato secondo me è veramente tantissimo anche per una 256kb.

Anche dalla frammentazione, specialmente se usi pppoe il router deve incapsulare header pppoe + header ipsec, quindi l'mtu utile scende. Senza contare che comunque anche la crittografia del tunnel introduce latenza.

Quote:

gestita dall' hardware?

Tecnicamente tutte le soluzioni VPN sono software ed i peggiori mal di testa derivano da far dialogare implementazioni differenti di ipsec. Il motivo principale per cui in genere si preferisce utilizzare hardware dello stesso produttore per le VPN è proprio perchè si spera di installare soluzioni collaudate, compatibili (almeno sulla carta) e forti di una buona assistenza tecnica.

Quote:

Oppure bisogna aprire ugualmente la porta 1723 e/o 500

Ma 1723 non è pptp?

Hai sia tunnel pptp che ipsec? Cmq se il tunnel sale senza errori loggati da qualche parte direi che la rete è come deve essere.

hmetal · 03-05-2007, 16:48

se il tunnel ti va su ma non c'è traffico probabilmente manca la regole che ti permetta il traffico delle reti private sul tunnel.

ovviamente le reti private devo stare su spazio di indirizzamento differente. Ma di solito in questo caso il software non tira neanche su il tunnel. Pero lo specifico che non si sa mai.

ciao

Maninabox · 03-05-2007, 17:53

Scusate se non sono stato preciso ma ho scritto un pò di fretta.

I due apparecchi sono uno zyxel 661h-d e un 3com firewall vpn entrambe con un indirizzo pubblico statico.

Il tunnel si apre quasi subito.

C' è un modo per testare la velocità pura della vpn?

Tenete conto che non sono per niente esperto. E' già molto che i pc si vedano

...effettivamente la 1723 non centra niente ma ho chiesto lo stesso, non si sa mai

Il tracert è ok, mi da 13 passaggi.
Il ping mi da durata media 90ms e Time To Live 241.

Anche secondo me, dato che i pc si vedono, non è un problema di rete.
Il problema può essere dato dal programma proprietario che potrebbe non essere configurato come si deve ma questo me lo dirà il programmatore lunedi.

Grazie a tutti.

scostante · 03-05-2007, 21:00

Purtroppo sul sito di Zyxel la documentazione è un po' scarna... mi aspettavo di più dalla Zyxel... vabbè...

Per mia esperienza ti posso dire che l'unico modo veramente efficace per diagnosticare una vpn è guardare i log e... tanti auguri! IMHO se il tunnel sale e il trasferimento di un file funziona (male, ma funziona...) il routing è sano, però hmetal ha ragione: devi tenere conto del fatto che la vpn è proprio una rete a parte con le sue politiche di firewalling e routing, quindi è anche possibile che ci sia qualcosa di storto lì.

Per tentare di capire cosa non va puoi iniziare facendo un confronto trasferendo un file da uno share all'altro in windows e poi trasferendo lo stesso file in ftp. Prova con tagli diversi: 500k, 1 mega, 5 mega, 10 mega. Annota le differenze ed eventuali "pattern" del problema (tipo il file da x Mb rallenta dopo 10 secondi per un minuto e poi si ripende, di nuovo 10 sec, 1 minuto e riprende...).

Il traceroute ti può aiutare a non perdere i capelli nel caso il problema non dipenda da te... quello di sistema va benissimo, magari un tool tipo visularoute può esserti più utile a vedere l'andamento degli hop prima, durante e dopo i trasferimenti - non è un metro affidabilissimo ma può darti un'idea.

Non fa male anche fare dei tentativi con delle distro live o con un bartpe giusto per escludere a priori problemi del sistema operativo

03-05-2007, 11:48	#1
Maninabox Senior Member Iscritto dal: Apr 2002 Città: Milano Messaggi: 1875	vpn praticamente ferma Ciao a tutti. Vengo subito al problema. Ho configurato un firewall vpn che gestisce fino a 50 tunnel e una decina di router con funzionalità di endpoint per effettuare vpn ipsec. I computer dietro agli apparecchi si vedono subito e comunicano ma la connessione è praticamente ferma (con dumeter misura 0.2kb con picchi di 20kb ogni tanto e per trasferire un file da 5mb ci mette qualche ora). Questo anche attivando un solo tunnel alla volta. La navigazione internet è sempre ottima quindi mi sento di escludere problemi di portante. Può creare problemi il fatto di avere due operatori adsl differenti per le due sedi? (telecom e tiscali, la prima da 4mb e la seconda da 20). So che dipende moltissimo dalla velocità di upload ma il tempo impiegato secondo me è veramente tantissimo anche per una 256kb. Ho ipotezzato quindi qualche impostazione di rete non corretta. Qualcuno sa se magari bisogna aprire qualche porta particolare magari per migliorare la comunicazione, tenendo conto che non è una vpn software, cioè fatta da windows bensì gestita dall' hardware? Oppure bisogna aprire ugualmente la porta 1723 e/o 500? Grazie Ciao Ultima modifica di Maninabox : 03-05-2007 alle 13:04.

03-05-2007, 16:48	#3
hmetal Senior Member Iscritto dal: Apr 2006 Città: Sydney - Hmetal up your ass! Messaggi: 987	se il tunnel ti va su ma non c'è traffico probabilmente manca la regole che ti permetta il traffico delle reti private sul tunnel. ovviamente le reti private devo stare su spazio di indirizzamento differente. Ma di solito in questo caso il software non tira neanche su il tunnel. Pero lo specifico che non si sa mai. ciao __________________ ...e poi i sistemi informativi sono come le donne, se hanno esperienza è meglio [cit] Il mio blog: thekangarootamer.wordpress.com "Già solo il fatto che tu sia indeciso sul da farsi è grave, sei un debole e quindi un sonaro..." [cit]

03-05-2007, 17:53	#4
Maninabox Senior Member Iscritto dal: Apr 2002 Città: Milano Messaggi: 1875	Scusate se non sono stato preciso ma ho scritto un pò di fretta. I due apparecchi sono uno zyxel 661h-d e un 3com firewall vpn entrambe con un indirizzo pubblico statico. Il tunnel si apre quasi subito. C' è un modo per testare la velocità pura della vpn? Tenete conto che non sono per niente esperto. E' già molto che i pc si vedano ...effettivamente la 1723 non centra niente ma ho chiesto lo stesso, non si sa mai Il tracert è ok, mi da 13 passaggi. Il ping mi da durata media 90ms e Time To Live 241. Anche secondo me, dato che i pc si vedono, non è un problema di rete. Il problema può essere dato dal programma proprietario che potrebbe non essere configurato come si deve ma questo me lo dirà il programmatore lunedi. Grazie a tutti.

03-05-2007, 21:00	#5
scostante Member Iscritto dal: Oct 2006 Messaggi: 249	Purtroppo sul sito di Zyxel la documentazione è un po' scarna... mi aspettavo di più dalla Zyxel... vabbè... Per mia esperienza ti posso dire che l'unico modo veramente efficace per diagnosticare una vpn è guardare i log e... tanti auguri! IMHO se il tunnel sale e il trasferimento di un file funziona (male, ma funziona...) il routing è sano, però hmetal ha ragione: devi tenere conto del fatto che la vpn è proprio una rete a parte con le sue politiche di firewalling e routing, quindi è anche possibile che ci sia qualcosa di storto lì. Per tentare di capire cosa non va puoi iniziare facendo un confronto trasferendo un file da uno share all'altro in windows e poi trasferendo lo stesso file in ftp. Prova con tagli diversi: 500k, 1 mega, 5 mega, 10 mega. Annota le differenze ed eventuali "pattern" del problema (tipo il file da x Mb rallenta dopo 10 secondi per un minuto e poi si ripende, di nuovo 10 sec, 1 minuto e riprende...). Il traceroute ti può aiutare a non perdere i capelli nel caso il problema non dipenda da te... quello di sistema va benissimo, magari un tool tipo visularoute può esserti più utile a vedere l'andamento degli hop prima, durante e dopo i trasferimenti - non è un metro affidabilissimo ma può darti un'idea. Non fa male anche fare dei tentativi con delle distro live o con un bartpe giusto per escludere a priori problemi del sistema operativo

Strumenti
Mostra una versione stampabile Invia questa pagina per email