VPN verlangsamt lokales Internet

[trainspotting]

Ich habe eine 100 Mbit-Leitung und stelle neuerdings eine schlechte Zoom-Verbindung bei mir fest. Ich den Ookla Speedtest gemacht und folgendes festgestellt:

wenn die VPN Verbindung zum Firmennetz aufgebaut ist, habe ich 5-6 Mbit Downstream. Wenn die Verbindung geschlossen ist, 95 Mbit. Egal ob über Kabel oder WLAN.

Das würde erklären, warum das "dienstliche" Zoom so hakt, wenn ich zusätzlich auch die VPN-Verbindung offen habe. Kann ich da irgendwas tun oder ist das so üblich?

 

[madmax2010]

dann red mit eurer IT und frag warum aller traffic durch eier VPN geschickt werden muss. Warum nicht nur der interne? Zeugt von eher fauler konfiguration oder Kontrollzwang.
Internet traffic wird durchs VPN gerouted, externer nicht.

 

[just_f]

Der Teams Traffic sollte nicht in den VPN Tunnel, "Split Tunneling".

 

[Drewkev]

Kann ich da irgendwas tun oder ist das so üblich?

Am besten fragst du das die IT-Abteilung deiner Firma, schließlich betreuen diese den VPN.

Oder, du lässt bei Teams den VPN weg.

 

[trainspotting]

Hat auch das mit der Firmenkonfiguration zu tun?

 

[madmax2010]

Ja. Deine Leitung ist nicht beschnitten, nur die anbindung ans Firmennetz oder das VPN Gateway ist extrem langsam..

 

[just_f]

Wenn dein Rechner den VPN Tunnel aufbaut und dieser lt. Firma eine Bandbreitenlimitierung hat, dann ist die Gesamtbandbreite deines Rechners im Tunnel an dieses Limit gebunden.

 

[trainspotting]

Heißt das dass sich meine private, schnelle Leitung dem quasi unterordnet?

 

[Drewkev]

Dass sich meine private, schnelle Leitung dem quasi unterordnet?

Jein, sobald du einen VPN nutzt läuft dein kompletter Traffic über diesen Tunnel.

Um beides separat zu nutzen bräuchtest du zwei Netzwerkkarten und Software die diese getrennt ansprechen können, wenn ich mich jetzt nicht vertue. Und das wird bei dir halt nicht der Fall sein, oder eben durch Split-Tunneling, dafür ist aber die IT-Abteilung deines Arbeitgebers zuständig.

 

[Raijin]

Die VPN-Verbindung wird für eine RDP-Session zur Firma benötigt. Selbst wenn die RDP Session nicht läuft und die VPN Verbindung nur "steht", ist meine "private" Leitung so krass beschnitten. Hat auch das mit der Firmenkonfiguration zu tun?

Die Sachlage ist etwas anders als du es dir vorstellst. Nichts wird beschnitten, aber das Routing ändert sich.

Ohne VPN geht dein kompletter Internetverkehr logischerweise über deinen Router zu deinem Provider und weiter ins Internet, volle Bandbreite.

Mit VPN geht nun offenbar dein kompletter Internetverkehr - inkl. Teams - über die VPN-Verbindung zur Firma und erst von dort weiter ins Internet.

Sofern die VPN-Verbindung in irgendeiner Form bandbreitenlimitiert ist oder die Firma ggfs nur Schnecken-Internet hat, leidet somit auch deine "gefühlte" Internetgeschwindigkeit. Wenn du im Speedtest von theoretischen 50 Mbit/s nur noch <5 Mbit/s messen kannst, während VPN aktiv ist, sind die übrigen 45 Mbit/s nicht "weg", sondern sie können vom PC nicht genutzt werden, weil die Gegenstelle (Firmen-VPN) nicht schneller kann.

Wenn VPN nur für RDP zur Firma benötigt wird, sollte die Firmen-IT den VPN-Tunnel so konfigurieren, dass ausschließlich das Firmennetzwerk über das VPN geroutet wird. Ziele im Internet werden dann am PC weiterhin über den lokalen Router direkt ins Internet angesteuert. Das ist das, was hier als "Split Tunneling" bezeichnet wurde - FirmenDaten via VPN, Rest via lokaler Internetrouter.

 

[trainspotting]

@Raijin
Das hast du sehr gut erklärt, habe ich jetzt verstanden und weiß nun was ich der IT sagen muss. Vielen Dank!

 

[AlCiD]

Moin

Vermutlich würde eine richtige Netzwerkkonfiguration (lokal) reichen.
Stichwort: "Metric"

VPN stellt in der Regel eine (virtuelle) Netzwerkkarte zur Verfügung, entsprechend sollte die Metric da nicht auf "automatisch" stehen und das Gateway sollte auch korrekt eingetragen sein, dann klappt es auch mit den richtigen Geschwindigkeiten.

Viel Erfolg

 

[just_f]

Mach dir eine kleine virtuelle Maschine die in den VPN hängst, der Host (dein Rechner) hat dann die volle Restbandbreite. Wäre auch eine Möglichkeit

 

[Raijin]

Stichwort: "Metric"

Die Metrik funktioniert aber nur, wenn es zwei gleichwertige Standardrouten gibt. Ist eine davon jedoch spezifischer (und entsprechend aufgeteilt), wird die Metrik in keinster Weise berücksichtigt.

OpenVPN legt beispielsweise eine 0.0.0.0/1 und eine 128.0.0.0/1 Route an, die gemeinsam wie eine 0.0.0.0/0 Route funktionieren, aber selbige durch ihre /1 Subnetzmasken jeweils übertrumpfen - egal wie die Metriken der physischen und virtuellen Schnittstellen aussehen.

 

[chrigu]

Heißt das dass sich meine private, schnelle Leitung dem quasi unterordnet?

nicht unterordnen. du surfst über die firma

 

[AlCiD]

Die Metrik funktioniert aber nur, wenn es zwei gleichwertige Standardrouten gibt. Ist eine davon jedoch spezifischer (und entsprechend aufgeteilt), wird die Metrik in keinster Weise berücksichtigt.

Mache seit etlichen Jahren Kundensupport bei Firmen vom Arbeitsplatz aus und habe keine Lust über deren ihre teilweise sehr belegten Internetanbindungen oder ihrer HW-Firewalls/-Gateways zu surfen, geht schließlich keinen etwas an, wo ich was aufrufe.
Hat bei mir bis dato immer funktioniert.

 

[Raijin]

Hat bei mir bis dato immer funktioniert.

Wie gesagt, wenn es zwei gleichwertige Routen sind, greift die Metrik ja auch. Beispielsweise dann, wenn bei zwei Schnittstellen einfach nur ein Standardgateway eingestellt wird. Das ergibt mehrere 0.0.0.0/0 Routen und daraufhin entscheidet die Metrik. Wenn der VPN-Client aber nicht mit Standardgateway arbeitet, sondern zwei /1er Routen, ist die Metrik irrelevant. Der Teufel steckt wie so oft im Detail.