Langsame Net-to-Net Verbindung zwioschen zwei PIXen

[Martin Freiberg 10]

Hallo,

 

ich habe hier einen VPN Fehler der mich zur Verzweiflung treibt. Ich weis das das eigentlich die falsche Gruppe ist, aber es gibt ja keine allg. Netzwerk-Gruppe und keine für Cisco.

 

Es geht um eine Net-to-Net Verbindung zwischen zwei Cisco PIXen. Auf der einen Seite ist ein SBS 2003, auf der anderen Seite ein LAN mit 5 Domänenclients (WinXP SP2). Die LANs haben unterschiedliche IP-Adressbereiche.

 

 

Diese Verbindung ist viel zu langsam. Vor allem wenn Datnverkehr über die Leitung geht, fangen die Ping-Zeiten an zu hopsen, ala

3000ms

220ms

2800ms

300ms

4200ms

120ms

....

 

Im Leerlauf liegt der Ping bei ca. 60ms. Bei den Remote-VPN Verbindungen zu den einzelnen PIXen liegt der Leerlaufwert so bei 40ms.

 

Die Verbindung so langsam das es fast unmöglich ist Daten über die Datei-Freigabe auszutauschen. Auch der Zugriff auf comanyweb, OWA etc. ist sehr langsam, abewr eigentlich funktionieren alle Anwendungen zumindest mal grundsätzlich irgendwie.

 

RDP über die VPN-Verbindung geht aber relativ flott, auf jedenfall kann man dran arbeiten.

 

Manchmal geht auch die DNS-Namensauflösung nicht, meist aber doch.

 

IPconfig /all zeigt nichts an was nicht sein sollte.

 

Die Clients beziehen ihre IP von der PIX, DNS-Server ist der SBS durch den Tunnel.

 

ICMP wurde auf allen NIC der beiden PIXen komplett erlaubt.

 

Kann mir bitte jemand weiterhelfen?? Wir können hier fast nicht arbeiten.

[fu123 10]

Schau doch mal bitte nach ob Duplex/Autosensing richtig eingestellt ist. War schon oefter der Fall bei aehnlichen Verbindungseinbruechen oder mal da mal nicht da Verbindungen. Und wenn du gerade dabei ist und die Einstellungen richtig sind, dann schau auch nach Interface resets oder errors. Kann auch ein Kabel sein, das defekt ist.

 

 

Fu

[Wordo 11]

Geht surfen ganz normal, sprich betriffts nur das VPN? Und kommt der Fehler erst seit kurzem oder schon immer?

[Martin Freiberg 10]

An welchen NICs soll ich das Autosensing überprüfen, an den der PIXen, intern oder extern, oder an den lokalen NIC der Clients oder des Servers??

 

Und surfen geht flott, auch der Zugriff per RemoteVPN auf die PIXen und dann auf den Server oder einen Client in beiden Netzen geht flott.

 

ALLES geht flott, nur die Net-to-Net VPN-Verbindung macht Ärger.

[Martin Freiberg 10]

und wo kann ich die NIC-Fehler überprüfen?? von wegen kapuutes Interface??

[Martin Freiberg 10]

außerdem habe ich ja icmp komplett erlaubt auf den PIXen. Die Fragmentierung dürfte dann doch nicht so das Problem sein??

[Wordo 11]

Dann tippe ich mal bind auf MTU, wobei RDP dann auch langsam laufen muesste. Wie sieht denn die Config der beiden PIXen aus?

[Martin Freiberg 10]

Ich habe die beiden PIXen per PDM konfiguriert. Soll ich die Konfig posten?

[Wordo 11]

Jo mach doch ma (IPs und PWs nicht unbedingt)

[fu123 10]

und wo kann ich die NIC-Fehler überprüfen?? von wegen kapuutes Interface??

 

Mach ein

 

sh int

 

Dann bekommst du errors und resets angezeigt.

 

 

Fu

[Martin Freiberg 10]

PIX auf Clientseite

 

PIX Version 6.3(3)

interface ethernet0 auto

interface ethernet1 100full

nameif ethernet0 outside security0

nameif ethernet1 inside security100

.....

hostname MyDomainClientseitig

domain-name myDomainClient

...

...

...

access-list outside_access_in permit icmp host <IP-AdresseDummy5>any

access-list outside_access_in permit icmp any any echo

access-list outside_access_in permit icmp any any echo-reply

access-list outside_access_in permit ip 192.168.58.0 255.255.255.192 192.168.57.0 255.255.255.0

access-list outside_access_in permit ip host <IP-AdresseDummy5>any

access-list outside_access_in permit tcp <IPAdresseDummy10> 255.255.255.252 host <IP-AdresseDummy3> eq 3299

access-list outside_access_in permit ip 192.168.137.0 255.255.255.0 any

access-list inside_outbound_nat0_acl permit ip 192.168.57.0 255.255.255.0 192.168.58.0 255.255.255.192

access-list inside_outbound_nat0_acl permit ip 192.168.57.0 255.255.255.0 192.168.137.0 255.255.255.0

access-list outside_cryptomap_dyn_20 permit ip any 192.168.58.0 255.255.255.192

access-list vpnclients_splitTunnelAcl permit ip 192.168.57.0 255.255.255.0 192.168.58.0 255.255.255.192

access-list outside_cryptomap_20 permit ip host <IP-AdresseDummy3> <IPAdresseDummy10> 255.255.255.252

access-list outside_cryptomap_40 permit ip 192.168.57.0 255.255.255.0 192.168.137.0 255.255.255.0

..

logging on

logging buffered informational

icmp permit any outside

icmp permit any inside

mtu outside 1500

mtu inside 1500

ip address outside <IP-AdresseDummy4> 255.255.255.248

ip address inside 192.168.57.254 255.255.255.0

..

ip local pool vpncippool 192.168.58.1-192.168.58.32

.....

arp timeout 14400

global (outside) 1 interface

nat (inside) 0 access-list inside_outbound_nat0_acl

nat (inside) 1 192.168.57.0 255.255.255.0 0 0

static (inside,outside) <IP-AdresseDummy3> 192.168.57.10 netmask 255.255.255.255 0 0

access-group outside_access_in in interface outside

route outside 0.0.0.0 0.0.0.0 <IPAdresseDummy11> 1

...

......

no snmp-server location

no snmp-server contact

snmp-server community public

no snmp-server enable traps

floodguard enable

sysopt connection permit-ipsec

crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac

crypto dynamic-map outside_dyn_map 20 match address outside_cryptomap_dyn_20

crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-MD5

crypto map outside_map 20 ipsec-isakmp

crypto map outside_map 20 match address outside_cryptomap_20

crypto map outside_map 20 set peer <IP-AdresseDummy1>

crypto map outside_map 20 set transform-set ESP-3DES-MD5

crypto map outside_map 40 ipsec-isakmp

crypto map outside_map 40 match address outside_cryptomap_40

crypto map outside_map 40 set peer <IP-AdresseDummy2>

crypto map outside_map 40 set transform-set ESP-3DES-MD5

crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map

crypto map outside_map client authentication LOCAL

crypto map outside_map interface outside

isakmp enable outside

isakmp key ******** address <IP-AdresseDummy1> netmask 255.255.255.255 no-xauth no-config-mode

isakmp key ******** address <IP-AdresseDummy2> netmask 255.255.255.255 no-xauth no-config-mode

isakmp identity address

isakmp nat-traversal 20

isakmp policy 20 authentication pre-share

isakmp policy 20 encryption 3des

isakmp policy 20 hash md5

isakmp policy 20 group 2

isakmp policy 20 lifetime 86400

vpngroup vpnclients address-pool vpncippool

vpngroup vpnclients split-tunnel vpnclients_splitTunnelAcl

vpngroup vpnclients idle-time 1800

vpngroup vpnclients password ********

...

username ************ password ************* encrypted privilege 15

username *********** password ************* encrypted privilege 3

[fu123 10]

An welchen NICs soll ich das Autosensing überprüfen, an den der PIXen, intern oder extern, oder an den lokalen NIC der Clients oder des Servers??

 

Und surfen geht flott, auch der Zugriff per RemoteVPN auf die PIXen und dann auf den Server oder einen Client in beiden Netzen geht flott.

 

ALLES geht flott, nur die Net-to-Net VPN-Verbindung macht Ärger.

 

Um alles auszuschliessen wuere ich immer schauen, das ich verschiedenes Test. Also auf der Pix und auf den Clients auch. Kann ja sein, das du immer vom gleich Client aus testest und der das Problem mit der Karte hat. Aber ich meine das hast du schon ausgeschlossen, indem du geschrieben hast, das ist fuer alle Clients gleich.

 

Fu

[Wordo 11]

Ich weiss nicht obs bei PIX auch sowas wie adjust-mss gibt, wenn nein, wuerd ich mal die inside MTU testweise auf 1300 runterschrauben. Und schau mal mit "sh logg" ob interner ICMP Verkehr irgendwie gedroppt wird (nach dem runterschrauben)

[Martin Freiberg 10]

PIX auf Serverseite

-------------------------------------

 

PIX Version 6.3(5)

interface ethernet0 auto

interface ethernet1 100full

nameif ethernet0 outside security0

nameif ethernet1 inside security100

 

access-list inside_outbound_nat0_acl permit ip 192.168.137.0 255.255.255.0 LAN_AndesnichtinBetrieb 255.255.255.0

access-list inside_outbound_nat0_acl permit ip 192.168.137.0 255.255.255.0 LAN-VomCLIENT 255.255.255.0

access-list inside_outbound_nat0_acl permit ip host SBS 192.168.136.0 255.255.255.224

access-list outside_cryptomap_20 permit ip 192.168.137.0 255.255.255.0 LAN_AndesnichtinBetrieb 255.255.255.0

access-list inside_access_in permit ip any any

access-list outside_cryptomap_40 permit ip 192.168.137.0 255.255.255.0 LAN-VomCLIENT 255.255.255.0

access-list outside_access_in permit ip LAN_AndesnichtinBetrieb 255.255.255.0 any

access-list outside_access_in permit ip LAN-VomCLIENT 255.255.255.0 any

access-list outside_access_in permit icmp 192.168.136.0 255.255.255.224 host SBS

access-list outside_access_in permit tcp 192.168.136.0 255.255.255.224 host SBS eq 3389

access-list outside_access_in permit tcp 192.168.136.0 255.255.255.224 host SBS eq 445

access-list outside_access_in permit tcp 192.168.136.0 255.255.255.224 host SBS eq www

access-list outside_access_in permit tcp 192.168.136.0 255.255.255.224 host SBS eq https

access-list outside_access_in permit udp 192.168.136.0 255.255.255.224 host SBS eq domain

access-list outside_access_in permit tcp 192.168.136.0 255.255.255.224 host SBS eq domain

access-list outside_access_in permit tcp 192.168.136.0 255.255.255.224 host SBS eq 4125

access-list outside_cryptomap_dyn_20 permit ip any 192.168.136.0 255.255.255.224

access-list VPNGroupServer_splitTunnelAcl permit ip host SBS any

pager lines 24

icmp permit any outside

icmp permit any inside

mtu outside 1456

mtu inside 1500

ip address outside pppoe setroute

ip address inside 192.168.137.254 255.255.255.0

ip audit info action alarm

ip audit attack action alarm

ip local pool VPNServerIP 192.168.136.1-192.168.136.30

..

arp timeout 14400

global (outside) 1 interface

nat (inside) 0 access-list inside_outbound_nat0_acl

nat (inside) 1 0.0.0.0 0.0.0.0 0 0

access-group outside_access_in in interface outside

access-group inside_access_in in interface inside

..

floodguard enable

crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac

crypto dynamic-map outside_dyn_map 20 match address outside_cryptomap_dyn_20

crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-MD5

crypto map outside_map 20 ipsec-isakmp

crypto map outside_map 20 match address outside_cryptomap_20

crypto map outside_map 20 set peer <IP-Dummy-1>

crypto map outside_map 20 set transform-set ESP-3DES-MD5

crypto map outside_map 40 ipsec-isakmp

crypto map outside_map 40 match address outside_cryptomap_40

crypto map outside_map 40 set peer <IP-Dummy-2>

crypto map outside_map 40 set transform-set ESP-3DES-MD5

crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map

crypto map outside_map client authentication LOCAL

crypto map outside_map interface outside

isakmp enable outside

isakmp key ******** address <IP-Dummy-2> netmask 255.255.255.255 no-xauth no-config-mode

isakmp key ******** address <IP-Dummy-1> netmask 255.255.255.255 no-xauth no-config-mode

isakmp policy 20 authentication pre-share

isakmp policy 20 encryption 3des

isakmp policy 20 hash md5

isakmp policy 20 group 2

isakmp policy 20 lifetime 86400

vpngroup VPNGroupServer address-pool VPNServerIP

vpngroup VPNGroupServer dns-server SBS

vpngroup VPNGroupServer wins-server SBS

vpngroup VPNGroupServer split-tunnel VPNGroupServer_splitTunnelAcl

vpngroup VPNGroupServer idle-time 1800

vpngroup VPNGroupServer password ********

 

vpdn group pppoe_group request dialout pppoe

vpdn group pppoe_group localname *********

vpdn group pppoe_group ppp authentication pap

vpdn username ********* password *********

[Martin Freiberg 10]

Bin gleich wieder da, muss mal mit Hundi raus ;-)