[VF West] Paketverluste bei Durchleitung von VPN-Verbindungen

[Fortune-74]

Hallo zusammen,

Situation:

office Internet BK Anschluß 200 down 20 up / IP V6 abgeschaltet
Fritzbox 6591 SW 7.29
dahinter sophos UTM SG125
dahinter 2 über sophos SD-RED20 ( VPN-Geräte) anschlossene externe Filialen
Die Verbindungen von SG125 und SD-RED20 sind proprietäres IPSec VPN
Die Fritzbox hat ausser DOCSIS zu IP und umgekehrt nichts zu tun.
Telefonie wird nicht genutzt. Außer der SG125 ist
nichts anschlossen.


Mit Anschluß der ersten externen Filale ging es los.
Wenn diese einen Traffic von 1 .. 2MBit/s verursacht, geht der Durchsatz durch die
Fritzbox merklich zurück. Latenzen gehen hoch auf 150 .. 200 .. 300ms
Ping aus dem WAN auf die WAN-IP der Fritzbox bringt
über längere Zeit gemittelt ca. 5% Paketverluste.

Anschluß der 2. Filale führt dann schon zu 10 .. 20 % Paketverlusten.
Telefonie über die VPN-Verb. ist unterirdisch.


Hotline von VF: bestätigt die Verluste im WAN und schickt
Servicedienstleister solutions 30 vor Ort.
Was alles schon getauscht wurde, zähle ich nicht auf.
Die Fritzbox ist auf DOCSIS Seite immer stabil, immer synchron.
Ob man in der Fritzbox die SG125 als Exposed Host definiert oder nicht
hat keine Auswirkung. Trotzdem sieht es so aus, als ob die Fritzbox
die UDP-Pakete des VPN als zu bremsende UDP-Flut ansieht.
Unklar ist, warum sie dann sogar TCP nicht mehr zügig bedienen kann.

Seit mehreren Monaten geht das nun so.
2nd Level Support wird von VF abgelehnt.
Tausch der FB 6591 gegen ein Kabelmodem ebenso mit der Begründung: Arris Geräte
haben wir nicht mehr und was anderes sei eh ungeeignet.


Hat jemand eine solche oder ähnliche Konfiguration stabil am Laufen?


gruß
hardy

--------

Hier mal was gerade so läuft:

Ping aus DTAG Netz an die WAN-IP

Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Antwort von 37.XXX.YYY.157: Bytes=32 Zeit=52ms TTL=54
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Antwort von 37.XXX.YYY.157: Bytes=32 Zeit=43ms TTL=54
Zeitüberschreitung der Anforderung.
Antwort von 37.XXX.YYY.157: Bytes=32 Zeit=42ms TTL=54
Antwort von 37.XXX.YYY.157: Bytes=32 Zeit=48ms TTL=54
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Antwort von 37.XXX.YYY.157: Bytes=32 Zeit=46ms TTL=54
Antwort von 37.XXX.YYY.157: Bytes=32 Zeit=48ms TTL=54
Zeitüberschreitung der Anforderung.
Antwort von 37.XXX.YYY.157: Bytes=32 Zeit=49ms TTL=54
Zeitüberschreitung der Anforderung.
Antwort von 37.XXX.YYY.157: Bytes=32 Zeit=34ms TTL=54
Zeitüberschreitung der Anforderung.
Antwort von 37.XXX.YYY.157: Bytes=32 Zeit=46ms TTL=54
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Antwort von 37.XXX.YYY.157: Bytes=32 Zeit=42ms TTL=54
Antwort von 37.XXX.YYY.157: Bytes=32 Zeit=48ms TTL=54
Zeitüberschreitung der Anforderung.
Antwort von 37.XXX.YYY.157: Bytes=32 Zeit=46ms TTL=54
Antwort von 37.XXX.YYY.157: Bytes=32 Zeit=42ms TTL=54
Antwort von 37.XXX.YYY.157: Bytes=32 Zeit=121ms TTL=54
Zeitüberschreitung der Anforderung.
Antwort von 37.XXX.YYY.157: Bytes=32 Zeit=75ms TTL=54
Zeitüberschreitung der Anforderung.
Antwort von 37.XXX.YYY.157: Bytes=32 Zeit=89ms TTL=54
Zeitüberschreitung der Anforderung.
Antwort von 37.XXX.YYY.157: Bytes=32 Zeit=99ms TTL=54
Zeitüberschreitung der Anforderung.
Antwort von 37.XXX.YYY.157: Bytes=32 Zeit=192ms TTL=54
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Antwort von 37.XXX.YYY.157: Bytes=32 Zeit=67ms TTL=54
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Antwort von 37.XXX.YYY.157: Bytes=32 Zeit=215ms TTL=54
Antwort von 37.XXX.YYY.157: Bytes=32 Zeit=62ms TTL=54
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Antwort von 37.XXX.YYY.157: Bytes=32 Zeit=54ms TTL=54
Zeitüberschreitung der Anforderung.
Antwort von 37.XXX.YYY.157: Bytes=32 Zeit=39ms TTL=54
Zeitüberschreitung der Anforderung.
Antwort von 37.XXX.YYY.157: Bytes=32 Zeit=31ms TTL=54
Zeitüberschreitung der Anforderung.
Antwort von 37.XXX.YYY.157: Bytes=32 Zeit=66ms TTL=54
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Antwort von 37.XXX.YYY.157: Bytes=32 Zeit=44ms TTL=54
Antwort von 37.XXX.YYY.157: Bytes=32 Zeit=41ms TTL=54
Zeitüberschreitung der Anforderung.
Antwort von 37.XXX.YYY.157: Bytes=32 Zeit=48ms TTL=54
Zeitüberschreitung der Anforderung.
Antwort von 37.XXX.YYY.157: Bytes=32 Zeit=47ms TTL=54
Zeitüberschreitung der Anforderung.
Antwort von 37.XXX.YYY.157: Bytes=32 Zeit=38ms TTL=54
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.

[Fortune-74]

Update

1. hat sich am 1.2.22 erstmals der Level 2 Support von Vodafone aus Bochum tel. gemeldet.
Das Problem konnte einigermaßen nachvollzogen werden - Lösung gabs keine.
Man will prüfen, ob der Fritzbox-Verwendungs-Zwang ausgesetzt werden kann, um
andere Geräte ( Arris, Hitron) anschließen zu können.

2. ist die im 1. Post gemachte Angabe :
Die Verbindungen von SG125 und SD-RED20 sind proprietäres IPSec VPN
so nicht ganz richtig. Es ist ein proprietäres von sophos selbst entwickeltes Protokoll, das auf OSI Layer 2
arbeitet. Aber die verschlüsselte Nutzlast wird - wie bei IPSec auch, wenn ESP in UDP gekapselt wird - mit UDP Paketen übertragen.