PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Packet Loss zum Zweigwerk


WhiteVelvet
2018-06-29, 08:02:30
Guten Morgen zusammen,

wir haben seit einiger Zeit ein neues Zweigwerk, das per VPN an uns angebunden ist. Dabei stelle ich fest, dass wenn ich eine Datei von der Zentrale dorthin schicke (von Fileserver zu Fileserver), dann überträgt er die Datei mit etwa 125-300 KB/s (manchmal nur 85 KB/s). Erreichbar sind aber 1250 KB/s. In der Zentrale haben wir eine ADSL50 Leitung, am Zweigwerk ADSL100. Anderes ist hier auf dem Land leider nicht verfügbar.

Jetzt habe ich gestern mal mit Pandora FMS (Monitoring Server) einen Packet Loss Test dorthin gemacht. Ergebnis: 65-70%... von den Übertragungswerten kommt das ungefähr hin. Aber wie misst das Tool genau? Denn wenn ich eine normale Pingfolge per CMD absetze, dann habe ich "nur" 4% Packetloss. Da guckt er doch nur, was über 1000ms nicht zurückkommt, oder? In der Dokumentation von Pandora FMS steht "ping flood mode with 50 consecutive pings, result after 8 seconds in %". Ein CMD Ping funktioniert da ja anders...

Ich möchte nun einmal von zu Hause aus so einen kurzen Ping Flood direkt in das Netz des Zweigwerks absetzen, um auszuschließen, dass es an der Zentrale liegt. Gibt es da ein Programm für? Sonst müsste ich erst den gesamten Pandora FMS Server zu Hause aufsetzen.

Gibt es spontane Vermutungen, woher so ein Packet Loss kommen kann? Wir haben ein anderes Zweigwerk, da ist der Packet Loss fast 0... die Telekom hat die Leitung bereits mal kontrolliert und zurückgesetzt...

nalye
2018-06-29, 08:31:40
fping - sollte es auch fuer Windows geben. Ein Packetloss kann mannigfaltige Ursachen haben, einfach mal von Hop zu Hop pruefen

Corny
2018-06-29, 08:47:50
Beide Leitungen sind bei der Telekom?
Und jede Leitung für sich läuft ohne Probleme?


Dann bleibt fast nur ein Problem mit dem VPN Tunnel.



Unabhängig davon gibts auch "auf dem Land" ordentliche Leitungen für sowas :wink:

WhiteVelvet
2018-06-29, 09:27:13
Danke für den Tipp mit fping. Habe damit mal 50 Pings im Abstand von 10ms abgesetzt, aber die 70% Packetloss sehe ich damit nicht. Jetzt muss ich wohl mal direkt bei Pandora FMS nachfragen, wie genau die da prüfen und wo die Zahl herkommt...

Jepp, ist beides bei der Telekom und jede läuft für sich ok. Lange vor meiner Zeit muss es hier wohl mal eine VDSL Leitung gegeben haben, aber die war wohl einfach nur sauteuer und hatte viele Probleme.

Der einzige Fakt ist aktuell die wahnsinnig niedrige Übertragungsrate zum anderen Fileserver. Mein Systemhaus hat sich das zwar mal angesehen, aber am Ende hieß es, dass wir eine größere Firewall brauchen würden...

RaumKraehe
2018-06-29, 09:28:24
Jetzt habe ich gestern mal mit Pandora FMS (Monitoring Server) einen Packet Loss Test dorthin gemacht. Ergebnis: 65-70%... von den Übertragungswerten kommt das ungefähr hin. Aber wie misst das Tool genau? Denn wenn ich eine normale Pingfolge per CMD absetze, dann habe ich "nur" 4% Packetloss. Da guckt er doch nur, was über 1000ms nicht zurückkommt, oder? In der Dokumentation von Pandora FMS steht "ping flood mode with 50 consecutive pings, result after 8 seconds in %". Ein CMD Ping funktioniert da ja anders...



Das Problem wird sein das die unterschiedlichen Programme unterschiedliche Schwellenwerte für den Timeout benutzen. Wie viele ms das beim Ping Befehl sind weiß ich nicht. Aber 1000 halte ich für zu niedrig.

Mein Monitoring hat einen Schwellwert von 5000 ms. Da ich auch Standorte habe die per UMTS oder schlechter angebunden sind, sind Zeiten um die 3000-4000 ms nicht unüblich.

Corny
2018-06-29, 10:03:07
Jepp, ist beides bei der Telekom und jede läuft für sich ok. Lange vor meiner Zeit muss es hier wohl mal eine VDSL Leitung gegeben haben, aber die war wohl einfach nur sauteuer und hatte viele Probleme.



aktuell sind es VDSL Leitungen, sonst könntest du keine Bandbreiten von 50M oder 100M (asymetrisch) erreichen.

Vielleicht hattet ihr vorher eine Standleitung (symmetrisch), normal laufen diese schon zuverlässiger, vor allem wenn es direkte Standortvernetzungen sind.



Effektiv kannst du zum Zweigwerk mit 10M senden, mit 40M empfangen, das sollte jede halbweg aktuelle Firewall schaffen.

WhiteVelvet
2018-06-29, 11:44:12
Hast Recht, hatte kurz im Kopf, dass VDSL synchron sei... Quark... aktuell ist es VDSL natürlich.

Die neue Firewall wurde über die massive CPU Auslastung argumentiert. Wir haben im anderen Werk ausschließlich ThinClients im Einsatz, also jede Menge Datenverkehr. Komisch ist nur, dass ich diese 100% CPU-Last noch nicht selbst gesehen habe... witzigerweise soll in einem Jahr noch ein Werk dazukommen... ich hab keine Ahnung, wo ich die Bandbreite hernehmen soll... die Telekom kann hier nicht vor 2020 schnelleres Internet liefern... aber wir schweifen ab :)

lumines
2018-06-29, 11:53:56
100 Mbit/s zu routen schafft jede popelige MIPS-CPU, solange man nicht die Firewall komplett fehlkonfiguriert. Du wirst wortwörtlich auf einer Müllhalde praktisch keine CPU finden, die damit überfordert wäre. Nur einmal so als Einschätzung, was man da heute erwarten kann.

Interessant wäre aber natürlich, wie der Endpunkt für das VPN so ausgestattet ist. AES in Software ist für einige kleinere MIPS- und ARM-CPUs schon etwas aufwendig und eventuell limitiert das. Das würde jedenfalls auch den Packet Loss erklären. Wenn du die CPU darin rausfinden könntest, dann könnte man das relativ einfach überprüfen. Man findet für die allermeisten CPUs Benchmarks für die Performance bei AES-Verschlüsselung.

Ich bin mir allerdings auch nicht ganz sicher, wie sich eine zu stark ausgelastete CPU bei VPNs verhält. Es ist gar nicht so unwahrscheinlich, dass sie bei realer Nutzung nie die 100% Last erreicht, aber trotzdem mit der Bandbreite überfordert ist. Packet Loss bedeutet z.B. für TCP, dass es selbständig ganz heftig die Bandbreite zurückfährt, bis kein signifikanter Packet Loss mehr auftritt. Ich könnte mir deshalb gut vorstellen, dass man da gewisse "Spikes" auf 100% hätte, aber gemittelt nie annähernd 100% Last erreicht. Nur so einmal ins Blaue getippt.

Bei wenig Bandbreite sind Traffic Shaping und Fair Queuing deine Freunde. Ist natürlich kein Ersatz für mehr Bandbreite, aber so verhält sich die Leitung unter Last sehr viel "gutmütiger", wenn man das so sagen kann. Traffic Shaping ist leider auch sehr CPU-intensiv.

Zum Benchen kann ich übrigens noch netperf empfehlen. ICMP (ping in allen Ausführungen) ist nicht gerade das beste Protokoll für solche Zwecke. Iperf ist auch in Ordnung und zum schnellen Prüfen absolut nicht verkehrt, aber wenn man die Edge Cases ausloten will (was man bei euch wahrscheinlich will), dann kommt man um netperf nicht herum. Einige darauf aufbauende Skripte findet man hier: https://github.com/richb-hanover/CeroWrtScripts

netperfrunner.sh habe ich einmal benutzt und es ist definitiv sehr aufschlussreich. Wenn man einmal sein Netzwerk quälen will, dann ist man da genau richtig.

EDIT: Flent sieht auch interessant aus: https://flent.org/

Wenn ihr General-Purpose-Hardware / Software für die Firewall und / oder den VPN-Endpunkt benutzt, dann könnte euch auch WireGuard interessieren (https://www.wireguard.com/). AFAIK wird das mittlerweile von allen aktuellen Linux-Versionen unterstützt, es ist ultrasimpel, sicherer als alle Alternativen und in Software bedeutend schneller als IPSec / OpenVPN, weil es ChaCha20-Poly1305 statt AES benutzt.

RaumKraehe
2018-06-29, 12:14:53
Wenn die CPU beim verschlüsseln überfordert ist kommt es zu Paketverlusten? Warum. Meine Beobachtung: Ist die CPU überfordert kann sie halt nur ein bestimmte Bandbreite bieten. Aber warum da Pakete verloren gehen sollen ist mir unklar.

Meine Erfahrungen mit Geräten die ich kenne. Kann sein das es bei anderen Geräten auch anders sein kann. ;)

WhiteVelvet
2018-06-29, 13:21:34
Ich danke Dir für die ausführliche Antwort, lumines! Ich arbeite mich da mal rein... interessante Sache mit der CPU in Bezug auf den VPN-Tunnel und AES.

Corny
2018-06-29, 13:24:51
Bei mehreren Standorten würde ich eine ordentliche MPLS Lösung nehmen. Einfacher zu warten, sicherer und du brauchst dir um die Hardware keine Gedanken machen. Kostet halt etwas mehr als eine handvoll VDSL Anschlüsse.

RaumKraehe
2018-06-29, 13:37:42
Soweit würde ich nun nicht unbedingt gehen, weil teilweise einfach unötig.

Ich würde im beruflichen Umfeld allerdings auf jeden Fall auf "Business" Anschlüsse setzten.

WhiteVelvet
2018-06-29, 13:53:10
Das ungewöhnliche an meiner Firma hier ist eben, dass sie mitten im Wohngebiet eines Dorfes ist. Die Produktion ist ausgelagert woanders, das sind die Zweigwerke. Ich bin ja schonmal froh, dass man hier damals 3 getrennte DSL Anschlüsse gelegt bekommen hat... So eine schöne Glasfaser-Standleitung wie damals in Frankfurt bekomme ich hier nicht :D

RaumKraehe
2018-06-29, 13:56:29
Das ungewöhnliche an meiner Firma hier ist eben, dass sie mitten im Wohngebiet eines Dorfes ist. Die Produktion ist ausgelagert woanders, das sind die Zweigwerke. Ich bin ja schonmal froh, dass man hier damals 3 getrennte DSL Anschlüsse gelegt bekommen hat... So eine schöne Glasfaser-Standleitung wie damals in Frankfurt bekomme ich hier nicht :D

Naja, heute bekommt man überall vernünftige Anschlüsse. Wird dann teilweise nur eben sehr teuer wenn für die Kabel extra gebuddelt werden muss. Wir haben schon Glasfaser mitten in der Pampa auf einem Gestüt bekommen. Das buddeln war halt nicht billig. ;)

Corny
2018-06-29, 14:01:32
Wenn VDSL 50 geht, bekommt man meist auch die Glasfaser kostenfrei ausgebaut, bei Bestellung einer Standleitung.