Gelöst
IPsec VPN über Speedink 5501 / Fiber 100 Anschluss
vor 8 Jahren
Wir haben zur Partner-Firma einen IPsec Tunnel im täglichen Einsatz. Der Tunnel wird durch eine GateProtect Firewall aufgebaut und lief bisher über eine CompanyConnect 2Mbit/s Leitung ohne Probleme. Bei CompanyConnect hat man direkt eine öffentliche IP.
Da die Geschwindigkeit beschränkt war, haben wir jetzt eine DeutschlandLAN IP Voice/Data Premium Leitung über Fiber 100. Damit hängt nun zusätzlich ein Zyxel Speedlink 5501 zwischen Glasfaser-Modem und der GateProtect.
Die Portfreigaben sind eingerichtet, wie schon hier im Forum beschrieben: IPsec: UDP 500,45 / NAT Traversal: TCP/UDP 4500
Der Tunnel wird auch ohne Probleme durch den Speedlink aufgebaut und steht.
Jetzt das Problem: Nutzdaten werden nur sporadisch übertragen. Es gehen mal ein paar HTTP-Requests, dann geht wieder nichts mehr, d.h. es kommt keine Antwort. (wir machen nur HTTP-Requests auf Port 8080)
Was kann die Ursache sein???
- Es gibt im Speedlink unter Internetzugang eine Einstellung "Router-Beschleunigung aktivieren". Kann die hier schädlich sein?
- Der Netzexperte der Gegenstelle meinte, dass man die Segment-Size der Pakete reduzieren soll, da IPsec noch Overhead anhängt.... Keine Ahnung wo und wie ich das einstellen könnte.
Kann mir jemend helfen???
(Das Testen ist nur etwas schwierig, da der Tunnel eigentlich immer läuft und ich mich bei Änderungen mit den Kollegen und der Gegenstelle im Nachbarland abstimmen muss. Jetzt läuft es jedenfalls vorläufig wieder über CompanyConnect)
1348
13
Das könnte Ihnen auch weiterhelfen
vor 10 Jahren
19383
0
2
vor 12 Jahren
23021
0
18
vor 4 Jahren
686
0
2
vor 8 Jahren
Warum haben Sie überhaupt eine Speedlink dafür genommen? Ist der nicht für Fiber 100 etwas zu schwach auf der Brust? Alleine schon durch das 100 MBit - LAN-Interface ist das Gerät schon eingeschränkt.
2
Antwort
von
vor 8 Jahren
@Kalle2014 das stimmt nicht was du schreibst.
der Speedlink hat zwei 2 Gigabit-Ethernet Ports.
Antwort
von
vor 8 Jahren
Sorry, ich hätte doch nachsehen sollen. Ich habe es mit einem anderen Zyxel verwechselt.
Uneingeloggter Nutzer
Antwort
von
vor 8 Jahren
Noch eine Ergänzung: Ping geht über den IPsec-Tunnel an den Ziel-Server. Nur eben HTTP nicht richtig.
Alles andere läuft ordentlich (transparent) über den Zyxel: Internet-Zugang, Mail, VPN -SSL
Bin weiter ratlos...
7
Antwort
von
vor 8 Jahren
schön, dass Sie den Weg in unserer Community gefunden haben.
Ich gehe nicht davon aus, dass der Speedlink die Probleme bereitet.
Sie sollten den Tipp des Experten überprüfen:
Der Netzexperte der Gegenstelle meinte, dass man die Segment-Size der Pakete reduzieren soll, da IPsec noch Overhead anhängt.... Keine Ahnung wo und wie ich das einstellen könnte. Kann mir jemend helfen???
Damit ist der MTU-Wert der Tunnel-Verbindung gemeint. Diese darf bei IPsec nicht höher als 1418 sein. Diesen Wert verändern Sie in den VPN -Einstellungen der Firewall. Suchen Sie dort einmal nach "MTU" und geben dort einen kleineren Wert ein.
Guß Jörg D.
Uneingeloggter Nutzer
Antwort
von
Akzeptierte Lösung
akzeptiert von
vor 8 Jahren
schön, dass Sie den Weg in unserer Community gefunden haben.
Ich gehe nicht davon aus, dass der Speedlink die Probleme bereitet.
Sie sollten den Tipp des Experten überprüfen:
Der Netzexperte der Gegenstelle meinte, dass man die Segment-Size der Pakete reduzieren soll, da IPsec noch Overhead anhängt.... Keine Ahnung wo und wie ich das einstellen könnte. Kann mir jemend helfen???
Damit ist der MTU-Wert der Tunnel-Verbindung gemeint. Diese darf bei IPsec nicht höher als 1418 sein. Diesen Wert verändern Sie in den VPN -Einstellungen der Firewall. Suchen Sie dort einmal nach "MTU" und geben dort einen kleineren Wert ein.
Guß Jörg D.
0
Akzeptierte Lösung
akzeptiert von
vor 8 Jahren
sind Sie weitergekommen?
Konnten Sie den MTU-Wert der Tunnel Verbindung prüfen?
@Kalle2014 sprach schon die Digitalisierungsbox an. Einen VPN -Tunnel über eine Digitalisierungsbox aufzubauen, könnte auch eine Lösung für Sie sein. Diese legt die MTU-Werte für die Tunnelverbindung automatisch fest.
Gruß Jörg D.
0
Uneingeloggter Nutzer
Frage
von