VPN-Verbindungen nutzen nur den DSL-Anteil Sophos Firewall

      VPN-Verbindungen nutzen nur den DSL-Anteil Sophos Firewall

      Guten Morgen zusammen,

      da ich eure Posts schon längere Zeit verfolge und mittlerweile auch ein paar Probleme mit Hybrid habe hoffe ich hier nun Hilfe zu finden.

      Folgender Aufbau: Speedport Hybrid -> Sophos UTM 9.4 Firewall (IPv6 deaktiviert) -> restliches Netzwerk (IPv4)

      Die UTM läuft virtualisiert auf einem ESXi 5.5

      Grundsätzlich ist die Hybrid-Verbindung super, im Download je nach Uhrzeit zwischen 80 und 100MBit und im Upload ~15MBit.
      Ich habe noch einen Rootserver, zu dem ich zur Verwendung der festen öffentlichen IP-Adresse für Mailing einen VPN-Tunnel aufbauen möchte. Auf dem Server läuft auf einem ESXi 5.0 ebenfalls eine virtualisierte Sophos.
      Wenn ich nun einen IPSec-Tunnel aufbaue wird, warum auch immer nur die DSL Bandbreite des Hybrid-Anschlusses verwendet. Daraufhin habe ich eine Red-Verbindung gebastelt, sodass sich die Hybrid-Sophos nur zum vorhandenen VPN-Server verbinden muss. Das hat bisher auch mit synchron ~10MBit funktioniert. Mit dem neuen Update wird hierfür nur noch die DSL Bandbreite verwendet, LTE wird nicht mehr dazugeschalten.

      Am Speedport habe ich bisher (noch) nichts gebastelt, die Paketgröße habe ich auf dem Standardwert von 1500 Byte stehen lassen

      Habt ihr eine Idee was man noch anpassen könnte, damit auch der LTE-Anteil zugeschalten wird? Bin für jeden Tipp dankbar.


      Viele Grüße und eine schöne Woche!
      stefan29
      Hallo stricted,

      danke für die zügige Antwort! Die Vermutung habe ich leider auch, warhscheinlich kommt er mit der Paketgröße durch die ganzen Header nicht mehr klar.

      Deshalb habe ich testweise auch einen Red-Tunnel aufgebaut (ist vergleichbar wie wenn man sich von einem Client aus zu einem VPN-Server verbindet), da lief die Verbindung mit der alten Firmware dann auch ausreichend und ich war eigentlich schon glücklich.

      Ich verstehe nur nicht ganz was die telekom mit dem neuen Update wieder alles angepasst hat, denn der Verbindugnsaufbau zu einem x-belibigen VPN-Server sollte ja auch weiterhin mit dem LTE Anteil funktionieren; das Rad werden die Damen und Herren mit dem Update ja wohl nicht neu erfunden haben....

      Vielleicht kommst du in nächster Zeit noch auf eine Idee wenn du dir Firmware genauer sichten konntest oder ein anderer Leidensgenosse meldet sich noch zu Wort.
      Die MTU-größe hatte ich testweise auf 1440 verkleinert, da mit dieser Größe keine Fragmentierung mehr vorhanden war. Hat allerdings nichts gebracht, weshalb ich wieder auf 1500 hoch bin.

      Den Wert 1344 hab ich bisher noch nicht ausprobiert. Dann werd ich heut abend nochmals mit den MTU/MSS Werten spielen gehn

      Danke dir für den Tipp!
      Guten Morgen zusammen,

      übers Wochenende hatte ich Zeit übrig und hab mich mit der Thematik auseinandergesetzt. Folgendes Ergebnis:

      Eine Änderung der MTU auf 1280 und 1344 brachte VPN-technisch leider keine Besserung. Es wird nach wie vor nur der DSL Anteil genutzt. Was ich allerdings beobachten konnte: Wenn ich den Router ohne angeschlossenes DSL Kabel starte, sodass der LTE Anteil zuerst hochkommt und das DSL Kabel später einstecke nutzen VPN-Verbindungen den Hybrid-Anteil, wenn auch nur sehr schwankend.

      Mit dieser Erkenntnis hab ich dann mal ein Update auf die V3 gemacht - gleiches vorgehen - beim Download wird LTE zugeschalten und läuft sogar recht konstant, beim Upload leider nicht.

      Wenn noch jemand einen Tipp hat, jederzeit gerne, ansonsten würde ich versuchen mit den Anleitungen mal den Tunnel zu brechen und zu schauen wie sich das dann verhält.
      Hallo,

      ich weiß nicht ob es dir hilft, aber ich hatte ein ähnliches Problem, dass ich mit Veränderung des MTU-Wertes und einer Verschiebung des Uplink-SOAPs mehr oder weniger lösen konnte. Siehe: Forum

      Mein Problem war, dass Open-VPN-Traffic im Upload immer beim DSL-Anteil blieb. In meinem Fall ca. 2 MBit im Vergleich mit 10-12 MBit über LTE/Hybrid 800. Geholfen hat mir, wie im Thread zu sehen, eMKay77. Per Telnet habe ich mir ein Skript gebastelt, dass alle 10 Sekunden den SOAP-Wert wie im Thread beschrieben setzt. DSL-SNR muss ich eigentlich nicht verschieben. MTU habe ich in OpenVPN folgendermaßen gesetzt:

      Quellcode

      1. ​tun-mtu 1412
      2. fragment 1300
      3. mssfix


      Allerdings habe ich hinter dem SPH auch noch eine Fritzbox, die vermutlich die MTU zusätzlich reduziert, da Doppel-NAT stattfindet.

      Mit diesem Szenario habe ich im Uplink bis zu 10 Mbit, allerdings schwankend, aber dass kann auch an der Zelle und ihrer Auslastung liegen...

      Hoffe es hilft...
      Guten Morgen zusammen,

      kann mich leider jetzt erst melden, da mein Hybrid-Router die Grätsche gemacht hat und die Telekom etwas Zeit benötigt hat um mir einen richtigen Austausch-Router zuzusenden...
      Verwendete Router-Firmware: 050124.02.00.012

      Hab die Lösung gefunden - der Tipp mit der MTU auf 1280 zu stellen hat beim neuen Router geholfen. Falls jemand eine ähnliche konstellation am laufen hat oder betreiben möchte:
      In der Sophos Firewall das WAN Interface auf 1280, das RED Interface ebenfalls auf 1280 und das RED-Interface der Gegenseite ebenfalls auf 1280 stellen, dann im Hybrid-Router die DSL Verbindung kurz trennen, sodass die LTE-Verbindung vor dem DSL Anteil aufgebaut ist.

      Resultat:
      Download über den Tunnel ~20MBit
      Upload über den Tunnel ~20MBit

      Über den zusätzlich vorhandenen SSL VPN-Tunnel der Sophos komme ich im Up- und Download auf rund 11MBit.

      Da die Geschwindigkeiten so für mich ausreicht nehm ich erstmal keine weiteren Optimierungsversuche vor und leb ich in der Hoffnung, dass die Telekom in nächster Zeit keine Updates vornimmt und die Konsturktion wie sie jetzt ist möglichst lange läuft.

      Vielen dank für eure Hilfe und eine schöne Woche
      stefan29