Videostreaming im Netzwerk beeinflusst VPN

[Selter]

Hallo zusammen,

ich habe einen 400/200er FTTH-Anschluss.
Als Router läuft eine FB7490, daran hängt ein Netgear GS116E Switch. Alle Clients sind per LAN-Kabel verbunden.

Mir ist aufgefallen, dass eine VPN-Verbindung (auf einem Laptop, der auch per Kabel verbunden ist), über die mittels RDP auf eine Azure-VM zugegriffen wird ziemlich langsam wird, wenn über einen aktuellen Amazon Fire-TV Stick Prime-Video gestreamt werden.

Es ist nur die VPN-Verbindung, die langsam wird - alles andere auf dem Laptop - incl. Youtube lokal im Browser läuft problemlos.

Gibt es da irgendeinen Zusammenhang?

Danke
Selter

 

[Untertan]

Die FB7490 ist jetzt auch nicht mehr das neueste Modell. Du kannst auf der Fritzbox unter System>Energiemonitor>Statistik Dir mal die CPU Auslastung ansehen.

Was für ein VPN Clienl läuft den auf Deinem Notebook und was hat die Fritzbox für eine SW-Version ? Dann gibt es auch noch die Moglichkeit das Notebook netzwerkseitig in der Fbox zu priorisieren.

 

[Wilhelm14]

Hallo.
Als erstes würde ich den Netgear entfernen (wirklich alles abziehen und aus) und testweise mit den 4 Ports der Fritzbox alleine testen. So siehst du erstmal, ob es an der Fritzbox liegt oder nicht.
Als zweites würde ich den Netgear wieder einbinden und in ihm etwas tüfteln, Flow Control, IGMP,... QoS. Ich weiß auch nicht, wie sich die Priorisierungen von Netgear und Fritzbox beeinflussen.
https://community.netgear.com/t5/Sm...es/Verbindungsabbrüche-GS116E-v2/td-p/1280909

 

[hildefeuer]

Die Geschwindigkeit des WAN-Ports bei der FB7490 ist von der Kindersicherung abhängig. Stehen da viele urls drin, wird die langsamer. Benutzt Du die Kindersicherung? Offiziell soll der WAN Port ja gigabit machen, aber ohne Kindersicherung.
Also erst mal das machen was Wilhelm14 gepostet hat, um rauszukriegen, ob es am Switch oder an der Fritze liegt. Kriege auch von DG400/200. Werde auch eine FB7490 verwenden.
ipsec vpn geht doch nur via ipv4 bei der FB7490. Welchen Provider hast Du der Dir ipv4 liefert?
Du könntest auch abwarten. Warscheinlich kommt das neue Fritz OS mit Wireguard und ipsec für ipv6 auch für die 7490. Frage ist nur wann? Dann wird kannst Du das vpn auf Wireguard umstellen und das ist dann wesentlich schneller auch bei diesem alten Modell.
Ipsec vpn ist langsamer, weil der Schlüssel immer mit übermittelt wird. Bei Wireguard wird das über Zertifikate gemacht und das belastet die cpu des Routers weniger.

 

[honky-tonk]

was man auch berücksichtigen sollte ist, dass RDP usw. sehr auf latenzen ansprechen. daher, dass es sich dann schnell nicht mehr flüssig anfühlt. bei video streaming ist die latenz relativ egal. wenn nebenher bspw. ein download läuft muss die fritzbox die VPN/RDP session priorisieren auf latenz. ggf erkennt sie das nicht korrekt.

was passiert denn wenn du auf einem anderen PC mal ein video streamst ggf selbe auflösung wie am fernseher...ggf 4k?...auch laggs via RDP?

 

[FlaTLin3]

QoS (Quality of Service) ist das Zauberwort und ein Kaninchenbau in den man stürzen kann.
Das reicht von Regeln im Router (Traffic Shaping) bis zu QoS-Regeln in Betriebssystemen und Switchen (ToS im IP-Header und IEEE 802.11p bei Ethernet-Frames) wenn man es auf die Spitze treiben will. Kurz: Nichts was ein Laie mal eben einrichtet.

Vielleichthauch noch verschärft durch eine schlechte VPN-Lösung, die mit TCP Tunnelt. (Stichwort TCP Meltdown)

Sollte es keinen künstlichen Flaschenhals durch die FB oder den Switch geben, dann würde ich einfach die Streaming-Qualität/-Auflösung am Fire-TV runter stellen. Das wäre vermutlich das einfachste.

Ich kenne die QoS-/Traffic-Shaping-Fähigkeiten der FB nicht. Aber selbst wenn, dann ist das vermutlich zu kompliziert. Und am VPN wirst du vermutlich auch nichts ändern können.

 

[Selter]

Die FB7490 ist jetzt auch nicht mehr das neueste Modell. Du kannst auf der Fritzbox unter System>Energiemonitor>Statistik Dir mal die CPU Auslastung ansehen.

Was für ein VPN Clienl läuft den auf Deinem Notebook und was hat die Fritzbox für eine SW-Version ? Dann gibt es auch noch die Moglichkeit das Notebook netzwerkseitig in der Fbox zu priorisieren.

Fritz OS ist 7.29
Die Auslastung ist soweit ok - in den letzten Stunden nicht über 70%

Der VPN-Client ist ein "Sophos SSL VPN-Client" - scheinbar nicht mehr das allerneueste ...
OpenVPN 2.3.8 i686-w64-mingw32 [SSL (OpenSSL)] [LZO] [IPv6] built on Oct 30 2018
library versions: OpenSSL 1.0.2l 25 May 2017, LZO 2.09

MANAGEMENT: TCP Socket listening on [AF_INET] xxxxxx


Wie gesagt, Bandbreite ins Internet ist eigentlich genug vorhanden - es scheint irgendwelche Kollisionen/Probleme im LAN zu geben.

Ergänzung (5. April 2022)

Welchen Provider hast Du der Dir ipv4 liefert?

Ich bin bei Deutsche Glasfaser.
Das mit IPV4 bzw. DSlite ist, soweit ich weiß, nur relevant, wenn Du z.B. mit dem Smartphone unterwegs per VPN auf dein Heimnetz zugreifen willst. Das funktioniert dann nicht mehr.

Benutzt Du die Kindersicherung?

Kindersicherung benutze ich nicht (zumindest keine Blacklist/Whitelist)
Ich habe nur bei einigen Smarthomedevices den kompletten Internetzugriff gesperrt.

 

[hildefeuer]

Aha also open vpn via ipv6. Das ist also außen vor und belastet die 7490 kaum. Kann also nur am Switch+ Fritzbox und dessen QoS-/Traffic-Shaping-Fähigkeiten liegen.
Betätige mal den Schalter unter WLAN Funkkanal WLAN-Übertragung für Live TV optimieren. Wo steht der?

 

[Wilhelm14]

Erstmal ja, der VPN-Software-Client auf dem Laptop verbindet sich mit dem VPN-Server des Arbeitgebers (oder ähnlich). Da hat das VPN der Fritzbox nichts mit zu tun und auch IPv4/IPv6 des Anschlusses ist egal. Der VPN-Server muss erreichbar sein und der steht ja "auf der anderen Seite".
Und ja, zum Netgear wurde noch gar nicht geantwortet.

 

[Selter]

Betätige mal den Schalter unter WLAN Funkkanal WLAN-Übertragung für Live TV optimieren. Wo steht der?

WLAN habe ich an der FB deaktiviert - die mobilen Clients verbinden sich mit 2 Unifi-APs.

Als erstes würde ich den Netgear entfernen (wirklich alles abziehen und aus) und testweise mit den 4 Ports der Fritzbox alleine testen. So siehst du erstmal, ob es an der Fritzbox liegt oder nicht.

Das muss ich noch ausprobieren - aktuell ist das Problem nicht mehr da.

 

[Wilhelm14]

Alle Clients sind per LAN-Kabel verbunden.

Dann dürfte WLAN oder die Accesspoints auch kein Problem darstellen. Sind Amazon Stick und Lapatop tatsächlich nicht im WLAN? Du hättest sonst drei Fehlermöglichkeiten, AP, Switch, Router.

 

[Selter]

Sind Amazon Stick und Lapatop tatsächlich nicht im WLAN?

Definitiv - der Fire Stick geht über einen USB-LAN-Adapter ins Netz und am Laptop ist das WLAN deaktiviert.

 

[chrigu]

versuche mal statt den usb-lan-adapter direkt lan-port

 

[Untertan]

Wie gesagt, Bandbreite ins Internet ist eigentlich genug vorhanden - es scheint irgendwelche Kollisionen/Probleme im LAN zu geben.

Das machst Du woran fest ?
Du könntest das Notebook mit dem VPN testweise allein über das Fritzbox Gast-LAN betreiben um die Kollisionsprobleme zu checken müsste dann einwandfrei funktionieren wenn nicht die Fritzbox der Flaschenhals ist.

 

[FlaTLin3]

Der VPN-Client ist ein "Sophos SSL VPN-Client" - scheinbar nicht mehr das allerneueste ...
OpenVPN 2.3.8 i686-w64-mingw32 [SSL (OpenSSL)] [LZO] [IPv6] built on Oct 30 2018
library versions: OpenSSL 1.0.2l 25 May 2017, LZO 2.09

Hier wäre es spannend zu wissen, wie dieser sich mit der Firma verbindet. Denkbar wäre (weil SSL im Namen) das hier ein TLS/SSL-Tunnel (und damit TCP) verwendet wird. Was zu der von mir bereits benannten TCP-Meltdown Problematik führt.

Das sollte den verantwortlichen für das VPN eigentlich bekannt sein. Wird aber trotzdem gemacht, da restriktive Firewalls (beim Anwender/Kunden/anderen Firmen) unter Umständen andere Verbindungen blockieren. Häufig wird dafür TCP-Port 443 (HTTPS) verwendet, da dieser aus offensichtlichen gründen selten blockiert wird.

Warum ist VPN mit einem TCP-Tunnel ein Problem? Wenn ein TCP-Paket vom Tunnel verloren geht (weil gerade die nächsten 10 Sekunden vom 4k Blockbuster an den Fire-TV zum puffern gesendet werden) dann stockt der gesamte VPN-Tunnel-Verkehr, bis das fehlende Paket erneut übertragen wurde. Das alleine ist noch nicht schlimm. Aber wenn im VPN-Tunnel wiederum TCP-Verbindungen (wie RDP sie auch nutzt) überträgt, dann registrieren die den Aussetzer auch und glauben ebenfalls das die Pakete verloren sind. Das stimmt aber nicht, da der TCP-Tunnel sicherstellt das diese trotzdem ankommen. Das führt zu einigem durcheinander an TCP-Paketen und -Acknowledges was die Bandbreite und die Latenz der TCP-Verbindung im VPN-Tunnel exponentiell verschlechtert. Das wird TCP-Meltdown genannt.

In deinem normalen Daheim-Umfeld sollte ein VPN über eine UDP-Verbindung kein Problem darstellen. Möglicherweise gestattet die Firma das durch alternative Einstellungen für das VPN.

 

[Selter]

versuche mal statt den usb-lan-adapter direkt lan-port

Der Fire-TV Stick hat aber keine LAN-Buchse.

Hier wäre es spannend zu wissen, wie dieser sich mit der Firma verbindet.

Das muss ich dann mal mit der IT klären.