Onderwerp: Netwerk topologie met VPN Tunnel

Ik weet veel van netwerken maar helaas kom ik niet uit onderstaande.

Ik heb zojuist in het datacenter een simpel DrayTek 2130 neergezet een aangesloten op zowel het interne als externe netwerk. Thuis/kantoor heb ik ook een DrayTek 2130n (wireless) waarover ik internet.

Instellingen Thuis/kantoor
IP-range: 192.168.0.0
Netmask: 255.255.255.0
IP Router/gateway: 192.168.0.100

In het datacenter zijn alle servers uiteraard aangesloten op het externe netwerk (internet) en ook allemaal op een intern netwerk. Dit werkt ook perfect, ik kan onderling alle servers pingen e.d.

Instellingen intern netwerk DC
IP-range: 192.168.100.0
Netmask: 255.255.255.0
IP Router/gateway: 192.168.100.1

Nu heb ik de router in zowel het DC als thuis de zelfde configuratie onder VPN LAN-to-LAN (IPSec keys e.d.) gegeven, behalve het Remote IP uiteraard.

De verbinding wordt netjes tot stand gebracht en alles lijkt goed te werken. Ik kan vanaf kantoor kan ik de router in het DC (192.168.100.1) pingen, echter de servers erachter niet. En vanuit het DC kan ik niets pingen op kantoor.

Ik ga er vanuit dat ik ergens nog wat routes moet configureren dat elke PC weet dat als hij naar de 192.168.x.x range wil hij dit via de VPN verbinding op stand moet brengen, maar helaas heb ik hier weinig kaas van gegeten en is op google weinig te vinden over LAN-to-LAN VPN connections.

Heeft er iemand een suggestie wat ik kan doen?

Is er niet ergens een optie als "Use default gateway on remote network."
Ik weet dat zoiets bv. een optie in de VPN client van Windows XP is. Op zo'n manier kun je bv. al het internetverkeer via een VPN server laten verlopen. Wie weet is zoiets dergelijks hierop ook wel van toepassing.

De servers zullen als default gateway die van de provider in het DC hebben, je moet daar dus een static route configureren zodat het VPN verkeer over het interne netwerk gaat. Je pingt vanaf kantoor nu de server over intern maar deze zal de reply over het externe netwerk proberen te sturen.

iets van route add -p 192.168.0.0 mask 255.255.255.0 192.168.100.1 metric 11

@gjtje
Je hebt het helemaal bij het rechte eind! Deze route toegevoegd en werkt als een trein.

Helaas vind ik de verbinding wel wat traag. Ondanks UPC FiberPower 60 kom ik zowel up als down niet over de 1 Mb p/s uit. Maar dat mag voorlopig denk ik niet de pret drukken.

Oorspronkelijk geplaatst door Polderdijk

@gjtje

Helaas vind ik de verbinding wel wat traag. Ondanks UPC FiberPower 60 kom ik zowel up als down niet over de 1 Mb p/s uit. Maar dat mag voorlopig denk ik niet de pret drukken.

Hoe is de verbinding opgezet? toevallig tcp i.p.v udp?
Tcp met z'n crc is flink overhead.

Inderdaad heel apart dat je maar 1Mbps haalt, ik heb thuis op mijn router een openvpn client naar mn firewall in het DC, met mn Ziggo (120Mbit) haal ik makkelijk de volle snelheid over de VPN.

Oorspronkelijk geplaatst door cyberbootje

Hoe is de verbinding opgezet? toevallig tcp i.p.v udp?
Tcp met z'n crc is flink overhead.

Wat wou je daarmee suggereren? Dat TCP niet hoger kan komen?
Als ik het goed begrijp wil hij kantoor werkzaamheden uitvoeren via de vpn, dus ik zou nu iig niet overstappen op udp.

Als er namelijk ruis op de lijn zit, waardoor TCP niet hoger zou komen, dan is het enige wat je met UDP gaat bereiken dat je je eigen netwerk volstampt met data die niet aankomt.

Ik heb nog even de opties doorgelopen welke ik voor de LAN-to-LAN VPN kan instellen, maar helaas zijn daar geen opties mogelijk m.u.v. welke security codes en versies.

Even mee zitten spelen maar geen enkele instelling heeft invloed op de snelheid.

Heel vreemd ook aangezien de verbinding zeer stabiel is. Een ping vanaf thuis naar het DC zit altijd zo rond de 15 ms, en van een paar minuten lang pingen geen enkel packet loss. De kwaliteit van UPC en de VPN is dus zeer hoog.

Wat ik morgen wel ga testen als ik bij een klant zit om een losse VPN verbinding op te zetten naar het DC, en niet via de LAN-to-LAN functie. Kijken wat dit voor performance geeft.

Oorspronkelijk geplaatst door marsipulami

Wat wou je daarmee suggereren? Dat TCP niet hoger kan komen?

Dat wil ik niet zeggen maar zodra je vanuit een vpn over tcp bestanden wil openen en opslaan dan is dat heel erg vertragend bij bijvoorbeeld word/excel.(eigen ervaring)
Punt is dat die dingen teveel checks doen en wachten op onnodige dingen waardoor het soms wel 40 sec kan duren om een word doc van 130KB te openen!

Is je CPU van je routers wel snel genoeg voor een hogere snelheid? Misschien trek je hem met 1 mbit wel gelijk naar 100%? Verder geen ervaring met Drayteks, maar misschien dat je de cpu load kunt aflezen in de webinterface?

Ik heb het even getest en idd piekt hij tegen de 50% aan als ik bestanden aan het overzetten ben. Mogelijk dus toch prestatieproblemen helaas.

Toch ga ik het even wagen om support van DrayTek te mailen, kijken wat hun aangeven en eventueel kan ik hier nog wat extra snelheid bereiken.