- Beitrag abonnieren
- Beitrag stummschalten
- Beitrag als ungelesen kennzeichnen
- Beitrag als gelesen kennzeichnen
IPsec VPN über Speedink 5501 / Fiber 100 Anschluss
Wir haben zur Partner-Firma einen IPsec Tunnel im täglichen Einsatz. Der Tunnel wird durch eine GateProtect Firewall aufgebaut und lief bisher über eine CompanyConnect 2Mbit/s Leitung ohne Probleme. Bei CompanyConnect hat man direkt eine öffentliche IP.
Da die Geschwindigkeit beschränkt war, haben wir jetzt eine DeutschlandLAN IP Voice/Data Premium Leitung über Fiber 100. Damit hängt nun zusätzlich ein Zyxel Speedlink 5501 zwischen Glasfaser-Modem und der GateProtect.
Die Portfreigaben sind eingerichtet, wie schon hier im Forum beschrieben: IPsec: UDP 500,45 / NAT Traversal: TCP/UDP 4500
Der Tunnel wird auch ohne Probleme durch den Speedlink aufgebaut und steht.
Jetzt das Problem: Nutzdaten werden nur sporadisch übertragen. Es gehen mal ein paar HTTP-Requests, dann geht wieder nichts mehr, d.h. es kommt keine Antwort. (wir machen nur HTTP-Requests auf Port 8080)
Was kann die Ursache sein???
- Es gibt im Speedlink unter Internetzugang eine Einstellung "Router-Beschleunigung aktivieren". Kann die hier schädlich sein?
- Der Netzexperte der Gegenstelle meinte, dass man die Segment-Size der Pakete reduzieren soll, da IPsec noch Overhead anhängt.... Keine Ahnung wo und wie ich das einstellen könnte.
Kann mir jemend helfen???
(Das Testen ist nur etwas schwierig, da der Tunnel eigentlich immer läuft und ich mich bei Änderungen mit den Kollegen und der Gegenstelle im Nachbarland abstimmen muss. Jetzt läuft es jedenfalls vorläufig wieder über CompanyConnect)
Gelöst! Gehe zu Lösung.
07.12.2016 10:57
sind Sie weitergekommen?
Konnten Sie den MTU-Wert der Tunnel Verbindung prüfen?
@Kalle2014 sprach schon die Digitalisierungsbox an. Einen VPN-Tunnel über eine Digitalisierungsbox aufzubauen, könnte auch eine Lösung für Sie sein. Diese legt die MTU-Werte für die Tunnelverbindung automatisch fest.
Gruß Jörg D.
28.11.2016 10:47
schön, dass Sie den Weg in unserer Community gefunden haben.
Ich gehe nicht davon aus, dass der Speedlink die Probleme bereitet.
Sie sollten den Tipp des Experten überprüfen:
Der Netzexperte der Gegenstelle meinte, dass man die Segment-Size der Pakete reduzieren soll, da IPsec noch Overhead anhängt.... Keine Ahnung wo und wie ich das einstellen könnte. Kann mir jemend helfen???
Damit ist der MTU-Wert der Tunnel-Verbindung gemeint. Diese darf bei IPsec nicht höher als 1418 sein. Diesen Wert verändern Sie in den VPN-Einstellungen der Firewall. Suchen Sie dort einmal nach "MTU" und geben dort einen kleineren Wert ein.
Guß Jörg D.
25.11.2016 20:03
Warum haben Sie überhaupt eine Speedlink dafür genommen? Ist der nicht für Fiber 100 etwas zu schwach auf der Brust? Alleine schon durch das 100 MBit - LAN-Interface ist das Gerät schon eingeschränkt.
26.11.2016 11:20
26.11.2016 11:43
Sorry, ich hätte doch nachsehen sollen. Ich habe es mit einem anderen Zyxel verwechselt.
28.11.2016 07:58
Noch eine Ergänzung: Ping geht über den IPsec-Tunnel an den Ziel-Server. Nur eben HTTP nicht richtig.
Alles andere läuft ordentlich (transparent) über den Zyxel: Internet-Zugang, Mail, VPN-SSL
Bin weiter ratlos...
28.11.2016 10:47
schön, dass Sie den Weg in unserer Community gefunden haben.
Ich gehe nicht davon aus, dass der Speedlink die Probleme bereitet.
Sie sollten den Tipp des Experten überprüfen:
Der Netzexperte der Gegenstelle meinte, dass man die Segment-Size der Pakete reduzieren soll, da IPsec noch Overhead anhängt.... Keine Ahnung wo und wie ich das einstellen könnte. Kann mir jemend helfen???
Damit ist der MTU-Wert der Tunnel-Verbindung gemeint. Diese darf bei IPsec nicht höher als 1418 sein. Diesen Wert verändern Sie in den VPN-Einstellungen der Firewall. Suchen Sie dort einmal nach "MTU" und geben dort einen kleineren Wert ein.
Guß Jörg D.
03.12.2016 14:44
Leider läuft es noch nicht richtig.
Die Tipps mit der MTU scheinen aber das Problem zu treffen. Offensichtlich stellt die Telekom am Fiber 100 eine geringere MTU bereit als am CompayConnect:
- CC: ping n.n.n.n -f -l 1472 geht maximal: also MTU 1500
- Fiber: ping n.n.n.n -f -l 1464 geht maximal: also MTU 1492
Ich schätze mal, dass es mit MTU 1500 sauber laufen würde. Warum schränkt hier die Telekom den Anschluss ein? - Es ist ja immerhin auch ein Geschäftskunden-Produkt (DeutschlandLAN...)
@ Telekom: Geht das zu ändern? - oder ist hier vielleicht doch der Speedlink das beschränkende Teil?
Am Tunnel selbst können wir leider im Moment nichts betreffs MTU einstellen. (Zumindest nicht über die uns zugängliche Konfig-Oberfläche. Wir wählen nur das eine oder andere Interface aus)
03.12.2016 14:56
Weil es mich interessierte habe ich mal nachgesehen: Die bintec be.IP plus (wird wohl bei der Digitalisierungsbox nicht anders sein) ermittelt die MTU Größe über PMTU - Discovery. Ob der Speedlink das auch macht, weiß ich nicht.
03.12.2016 17:40 Zuletzt bearbeitet: 03.12.2016 19:21 durch den Autor
Offensichtlich stellt die Telekom am Fiber 100 eine geringere MTU bereit als am CompayConnect:
- CC: ping n.n.n.n -f -l 1472 geht maximal: also MTU 1500
- Fiber: ping n.n.n.n -f -l 1464 geht maximal: also MTU 1492
Ich schätze mal, dass es mit MTU 1500 sauber laufen würde. Warum schränkt hier die Telekom den Anschluss ein? - Es ist ja immerhin auch ein Geschäftskunden-Produkt (DeutschlandLAN...)
@ Telekom: Geht das zu ändern? - oder ist hier vielleicht doch der Speedlink das beschränkende Teil? Der
MTU ist immer max 1500 ,liegt daran das Netzwerke in der Regel nicht mehr können.
Dein Company Connect hat max MTU 1500
dein Fiber Anschluss hat max MTU 1492 das liegt daran weil noch 8 Byte für PPPoE benötigt werden. Zusammen sind es wieder die 1500.
@Kalle2014 der Speedlink ermittelt die MTU Größe auch mit Path MTU Discovery. Der Speedlink ist es also auch nicht.
03.12.2016 22:18
meine Aussage bezog sich nicht nur auf die Internet-Verbindung, sondern auch auf den VPN - Tunnel. Da der Speedlink selbst kein VPN unterstützt, muss die MTU - Festlegung für die Tunnelverbindung von anderen Systemen kommen.
05.12.2016 07:46
dein Fiber Anschluss hat max MTU 1492 das liegt daran weil noch 8 Byte für PPPoE benötigt werden. Zusammen sind es wieder die 1500.
Danke für den Hinweis. - Das leuchtet ein.
Also müssen wir uns um unsere eigenen Tunnel-Einstellungen kümmern...
07.12.2016 10:57
sind Sie weitergekommen?
Konnten Sie den MTU-Wert der Tunnel Verbindung prüfen?
@Kalle2014 sprach schon die Digitalisierungsbox an. Einen VPN-Tunnel über eine Digitalisierungsbox aufzubauen, könnte auch eine Lösung für Sie sein. Diese legt die MTU-Werte für die Tunnelverbindung automatisch fest.
Gruß Jörg D.