Avatar billede wiking Nybegynder
01. december 2010 - 09:04 Der er 9 kommentarer og
1 løsning

Cisco VPN turhput, fra Windows XP

Hejsa folkens.
Længe siden jeg sidst har været her inde! Men nu har jeg virkeligt brug for noget inspiration!

Jeg har den her simple installation, med 2 ASA5505 Unlimited firewalls.
Jeg har en 10/10 mbit i den ene ende og en 40/40 i den anden.

Der er VPN site2site mellem de 2 lokationer.

Men! Når jeg til 40/40 sitet kører VPN fra en Windows XP maskine (Der sidder på 100/100), får jeg kun 2-10mbit igennem (Via. en Windows 2003 server deling).
Når jeg kører FTP virker det med 40mbit.

Samtidigt virker fil delingen også perfekt når det er med en Windows 7 maskine.

Ved site2site VPN'en kommer der aldrig mere end 2 mbit igennem fra XP maskienr, Windows 7 igen, virker perfekt.
Avatar billede wiking Nybegynder
01. december 2010 - 09:05 #1
Ja, ved godt der er tastefejl. Hehe. :)
Avatar billede loke-liscom Nybegynder
01. december 2010 - 10:13 #2
Svaret og løsningen er RFC1323!! ;-)

Det er nok heller ikke lige meget, hvilken FTP-klient du bruger fordi SO_RCVBUF og SO_RCVBUF er, så vidt jeg husker det 8K(default), når et program i Windows XP beder om en TCP-socket.

Samtidig er XP elendig til at håndtere pakketab, nok bl.a. grunden til de 8K.

Giv lidt mere info. Evt. noget konkret.

/Klaus
Avatar billede wiking Nybegynder
01. december 2010 - 10:28 #3
Hehe.
Hvad vil du vide?

Du skal vide at uanset hvad, er der bare en Windows 7 maskine, så virker det hele normalt via. Windows shares.

Men XP-XP eller 2003-2003 kommer VPN hastigheden aldrig ret højt op.

Jeg har haft Cisco på sagen, de siger at de ikke kan se noget.
Vi har prøvet at lave flere ændringer i VPN kryptering, reg. database på PC og server mm.

Det der kører optimalt er Windows shares, og det er det de skal bruge.
FTP virker perfekt! En båndbrede test til en ISP virker også perfekt.
Jeg har en næsten ens firewall et andet sted, der kan XP klienter uden problemer bruge VPN, med 30/30mbit.

Men skriv hvad du vil vide. Så svarer jeg hurgist muligt. :)
Avatar billede mcb2001 Nybegynder
01. december 2010 - 10:38 #4
teknisk set skal al data du sender via VPN jo krypteres og sendes som krypteret, dekrypteres i den anden ende og så sendes videre. Det kan sagtens give et stort overhead.

FTP kører jo "uden" kryptering og bruger derfor en meget større del af den reele båndbredde.
Avatar billede wiking Nybegynder
01. december 2010 - 10:48 #5
Hej MCB.
Enig, men det forklarer ikke hvorfor at det virker fint til en Windows 7? Over samme forbindelse og samme filer?
Desuden tester vi med FTP via. VPN forbindelsen, så det bliver vel lige præcist krypteret lige meget!

Til info kører firewallen med 12-14% CPU når vi krypterer en 40mbit data strøm. Så firewallen har ingen problemer.
Og selve interfacet til ydersiden viser også at der ikke er max traffik. Overhead eller ej, så viser interfacet ALT traffik på interfaced. VPN eller ikke VPN.
Avatar billede wiking Nybegynder
01. december 2010 - 10:51 #6
Loke-> Min kollega fortæller at han har været igang med Window sizes, det ændrede desværre ikke så super meget.
Når linjerne i reg. databasen bliver ændret i serveren, kan man uploade hurtigere, men download er stadig samme langsomme hastighed.
Avatar billede loke-liscom Nybegynder
01. december 2010 - 14:14 #7
Det du oplever, er TCP-windowsize. Den letteste måde at konstatere det på, er at lave flere samtidige TCP-sessioner fra samme eller flere maskiner, og se hvad den samlede trafikmængde kommer op på.

Jeg har haft en advisery sag kørende hos Microsoft netop ang. CIFS og SO_SNDBUF/SO_RCVBUF. Microsoft har, for at få lidt mere fart på, bla. fastsat de to parametere til 64K, derfor kan man ikke på en Windows XP hverken løfte eller sænke værdierne for CIFS. Deres anbefaling - skift til Windows 7. Windows XP understøtter f.eks. Window scaling(en del af RFC1323) men da CIFS er låst fast på en værdi, så ændre det sådan set ikke noget.

Men der er mange ting i det! RTT er den største parameter. Du kan jo desværre ikke ændre vinduet(CIFS), derfor er RTT den mest fleksible ;-) Jeg har set flere routere, hvor når du pinger igennem dem så har du en RTT, men nå du så belaster den, så ændre RTT sig noget i negativ retning. Wireshark kan hjælpe her.

Nåh ja. De fleste nyere Cisco routere bruger ikke CPU på VPN, jeg kunne forestille mig at ASA5505 har noget offload, så du vil ikke kunne se det på CPU, hvis du belaster MAX.

(Dårligt skrevet, men jeg har ikke lige tid til at fordybe mig)

/Klaus
Avatar billede wiking Nybegynder
01. december 2010 - 15:48 #8
Avatar billede loke-liscom Nybegynder
10. december 2010 - 10:18 #9
Den advisory sag jeg kørte hos Microsoft, endte med at de anbefalede at opgradere til Windows 7.

Grunden var at SMB version noget(den i XP) sætter SO_SNDBUF og SO_RCVBUF til 65535 og lige meget hvad man gør, så kan man ikke ændre det. Altså Windows XP understøtter RFC1323 og mange programmer kan få gavn af det, men Microsoft har låst værdierne i SMB, og det bliver ikke ændret.

/Klaus
Avatar billede wiking Nybegynder
17. december 2010 - 23:01 #10
Hej Loke. Jeg har ikke været her inde i noget tid, men vi fandt uf af hvad det var.

Her er lidt tekst, til hvis nogen anden senere skulle få brug for denne viden!

Det er som du skriver, noget med XP og SMB.
Men nærmere beskrevet er det ca. sådan her (Ud fra en artikel jeg fandt).

Problemet er: Internet forbindelsen.
Det er en skyline forbindelse, altså via. trådløs.
Linjen kan nu køre 10/10, men computerne der kører XP (Og dermed SMB 1.0) kan kun køre 3 mbit igennem via. SMB.
7 computere der kører SMB 1.0 kan køre meget hurtigere.
SMB versionen bestemmes af den laveste fællesnævner.
XP-XP = 1.0
XP-7 = 1.0
7-7 = 2.0

Jeg ved ikke hvorfor 7 er det hurtigere, da den jo også kører 1.0 til en 2003 server. Men jeg kan forklare hvorfor XP er langsomt.
Årsagen er hvordan XP giver besked om at der skal sendes mere data.

Høj latency (Ping tider) er svaret. Og her er hvorfor.

En HTTP sesion virker ca. sådan her.
Klient: Jeg skal bruge filen "FIL.ZIP" = 1MB.
Server: Fino her er filen (Og så sender den 1MB).

SMB 1.0:
Klienten: Jeg skal bruge Filen "FIL.ZIP" = 1MB.
Serveren: Det er super, du henter bare.
Klienten: Send mig den første del af filen.
Serveren: Del 1 her.
Klienten: Send mig anden del af filen.
Serveren: Del 2 her.
Osv. Dette sker vist 18 gang i alt for 1MB.
Hvis der så er høj ping tid (LAN <1MS, Skyline 50-60MS).
Bliver disse beskeder sendt LANGSOMT igennem, dermed kører overførseln også langsommere!

Vi lavede samme test, med XP og "fiber - fiber" forbindelse.
Vi fik self. meget lavere ping tider.
Vi satte så ydersiden på vores test firewall til 10Mbit, og her efter kunne XP-XP kopiere 7mbit.

Det er i grove træk.
Jeg fandt denne info i en artikel via. google.

Loke, tak for hjælpen. Du får point for denne. :-)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester