Securepoint Support Forum

Hallo, 

ich arbeite gerade in unserer Laborumgebung mit mehreren Firewalls und VPNs untereinander (für einfachen Zugriff auf die Laborumgebung). Hierbei ist mir folgendes aufgefallen: Datenübertragungen per VPN scheinen bei 25-40 Mbit/s gedeckelt zu sein, selbst wenn eine höhere Leitungskapazität zur Verfügung steht.

Beispiel:

Labor (RC300 mit 1 Gbit/s Linespeed) <--> BlackDwarf VPN (Telekom 100 Mbit/s VDSL, 40 Mbit/s Upload)

von Labor zu BD: max 32 Mbit/s, von BD zu Labor: max 25 Mbit/s

Das zweite könnte ich verstehen (40 Mbit/s Upload abzüglich normaler Traffic) aber das erste ist mir unverständlich: nur knapp 30% der möglichen Leitungskapazität ist verfügbar (SSL VPN)

Zweites Beispiel:

Labor (RC300 mit 1Gbit/s Linespeed) <--> BlackDwarf UTM (DG Business Anschluss mit 200 Mbit/s symmetrischer Leitung):

von Labor zu BD: max. 35-40 Mbit(s von BD zu Labor: max 35 - 40 Mbit/s

wenn ich nun aber eine direkte Verbindung über das Internet herstelle (z.B. SFTP oder FTP Verbindung) kann ich die vorhandene Leitungskapazität (200 Mbit/s) voll auschöpfen (abzüglich 2-5 Mbit(s) die Verbindung ist hier ebenfalls SSL VPN.

Laut Datenblatt soll die BlackDwarf bis zu 300 Mbit/s als VPN Durchsatz schaffen. Ich werde morgen mal einen Test mit IPSec aufbauen - aber ist das bekannt, dass es hier zu Performanceeinbußen kommt?

Die RC300 steht bei uns im Rechenzentrum und ist unser Laborgateway und ist mit 2x1 Gbit/s (zweite Leitung Failover) an den 10 Gbit/s Verteiler vom RZ angeschlossen.

Moin!

Der Durchsatz laesst sich weiter optimieren: Die Tunnel-MTU kann per CLI auf 9000 angehoben werden. (Das Webinterface setzt das auf 1600 zurueck, also Vorsicht) Die Staerke der Verschluesselung kann herunter gestuft werden. Zudem ist es moeglich, die LZO-Kompression einzuschalten. So sollte eine Auslastung des Black Dwarf zu 100% moeglich sein. Auch kann der Durchsatz !unter Umstaenden! verbessert werden, wenn TCP statt UDP verwendet wird. (In dem Fall wird moeglicherweise die Latenz etwas steigen)

Mit der kommenden v12 werden die OpenSSL-Libarys wieder eingepflegt (Auf Grund von "Heartbleed" wurde vor ein paar Jahren auf Libre-SSL umgestellt). Zudem kommt eine 64Bit-Unterstuetzung. Wir werden dann auch die Durchsaetze erneut ermitteln. Die aktuelle Angabe bezieht sich auf die in internen Tests erreichten Durchsaetze bei Release der G3-Hardware.

In Zwischen sind da ja einige Dinge passiert. Neben Heartbleed gab es auch Meltdown und Spectre, was sehr viele CPUs betrifft. 

Hallo,

ich habe das gleiche bei uns beobachtet. Per SSL-VPN BlackDwarf <-> Client bekomme ich auf einer symmetrischen 100 MBit/s Verbindung nur so um die 35 MBits/s. Per IPsec auf der gleichen Strecke an die 77 MBit/s. An der SSL VPN Verschlüsselung habe ich schon rumgespielt, das hat jedoch nicht geholfen. Schafft der BlackDwarf nicht mehr per SSL VPN?

35 Mbits sind bei SSL-VPN und dem Black Dwarf aktuell realistisch. Mit Setzen einer hoeheren MTU ueber die CLI und Umstellen auf TCP + LZO ist vielleicht noch ein wenig mehr moeglich.

Mit der kommenden v12 wird unter Umstaenden der Durchsatz ebenfalls ansteigen.

Danke für die schnelle Antwort. Welche UTMs von Ihnen könnten denn 100 MBit/s per SSL VPN? Auf secureopint.de finde ich nur den "VPN Durchsatz" angegeben und der ist bei allen, auch dem BlackDwarf, jenseits der 100MBit/s aber es steht nichts zur Technik und Verschlüsselung dabei.
Per TCP haben sich die Antwortzeiten leider verdoppelt und der Geschwindigkeitsgewinn war minimal.

Bei SSL-VPN scheinen die Geraete bei der 11.8.13 AES 256 GCM/ SHA2 384 und RSA2048 Bit auszuhandeln (Letzteres entspricht der Schluesselaenge des verwendeten Zertifikates.)

Bei TCP erhoehen sich die Antwortzeiten, da nun Pakete zusammen gefasst werden. Dies kann man theoretisch unterbinden ("Keine Verzoegerung" aktivieren), jedoch wuerde es die Last wieder erhoehen.

Versuchen Sie AES128 und SHA256 mit einem Zertifikat mit 2048 Bit Schluessellaenge. So sollte die Auslastung der Firewall sinken/ der Durchsatz steigen.

Wie bereits erwaehnt kann sich das Bild bei Erscheinen der v12 noch aendern.

Alternativ IPSEC probieren, wenn dies keine Probleme bereitet (AD Anbindung der Firewall ueber den Tunnel)