:strip_icc():strip_exif()/u/264022/sharks_60x60.jpg?f=community)
De situatie is als volgt:
Op onze hoofdvestiging staan een aantal Citrix servers. Nevenvestigingen connecten hiernaartoe, normaal gesproken via een managed VPN verbinding. Nu is er één lokatie die nog niet zo'n verbinding heeft. Als tijdelijke situatie laten we die via een LAN-to-LAN IPSEC verbinding connecten. Hiertoe staat er op de vestiging een Cisco ASA (waarschijnlijk 5510? Is door andere partij in beheer) en op de hoofdvestiging een VPN concentrator 3005.
De tunnel opbouwen gaat prima met de volgende instellingen:
Encryptie: AES-128
IKE proposal: IKE-AES128-SHA
Authentication: ESP/SHA/HMAC-160
Tot zover alles in orde. Data versturen e.d. gaat ook allemaal prima. Het vreemde treedt op zodra we binnen een citrix sessie een website openen via Internet Explorer. De betreffende website bevat een bewegend flash onderdeel. Zodra dit gebeurt, schiet de CPU load van onze VPN Concentrator 3005 (dus niet van de citrix server!) ineens naar 100%. Websites als google e.d. gaan prima, maar bewegende beelden gaan mis. Dit probleem treedt zelfs op bij maar 1 enkele citrix-sessie, waarmee een bandbreedteprobleem mij vrijwel uitgesloten lijkt op een 6 mbit down/2 mbit up verbinding.
Wat heb ik geprobeerd?:
- Andere encryptie instellen voor de tunnel. Zelfs DES icm MD5 is geprobeerd. Het frappante is dat de sterkste encryptie van degenen die we hebben geprobeerd (AES-128) het minste problemen oplevert
- RDP in plaats van Citrix. Dit leverde dezelfde resultaten op.
- Aantal kleuren van 16-bits naar 256 kleuren. Hielp niets.
- Logs bekijken in de concentrator. Geen vreemde logmeldingen gevonden.
- Grote pings (30kb) sturen om te kijken of dit ook invloed heeft op het CPU-gebruik. Dit was niet het geval. Het beperkte zich puur tot het openen van bepaalde websites
- "Gewoon" werken: Outlook, Word e.d. opstarten en aan het werk gaan. Ook dit ging prima, zolang maar niemand bewegende plaatjes in Internet Explorer in beeld had.
Mijn vraag is voornamelijk hoe het kan dat bewegende beelden de CPU load van mijn concentrator op 100% kan brengen. Als het nou de load van de server was, viel het nog te begrijpen wellicht, maar ik zie de link met de VPN concentrator niet. Heeft iemand wellicht nog goede tips/dingen om uit te testen/oplossingen?
Op onze hoofdvestiging staan een aantal Citrix servers. Nevenvestigingen connecten hiernaartoe, normaal gesproken via een managed VPN verbinding. Nu is er één lokatie die nog niet zo'n verbinding heeft. Als tijdelijke situatie laten we die via een LAN-to-LAN IPSEC verbinding connecten. Hiertoe staat er op de vestiging een Cisco ASA (waarschijnlijk 5510? Is door andere partij in beheer) en op de hoofdvestiging een VPN concentrator 3005.
De tunnel opbouwen gaat prima met de volgende instellingen:
Encryptie: AES-128
IKE proposal: IKE-AES128-SHA
Authentication: ESP/SHA/HMAC-160
Tot zover alles in orde. Data versturen e.d. gaat ook allemaal prima. Het vreemde treedt op zodra we binnen een citrix sessie een website openen via Internet Explorer. De betreffende website bevat een bewegend flash onderdeel. Zodra dit gebeurt, schiet de CPU load van onze VPN Concentrator 3005 (dus niet van de citrix server!) ineens naar 100%. Websites als google e.d. gaan prima, maar bewegende beelden gaan mis. Dit probleem treedt zelfs op bij maar 1 enkele citrix-sessie, waarmee een bandbreedteprobleem mij vrijwel uitgesloten lijkt op een 6 mbit down/2 mbit up verbinding.
Wat heb ik geprobeerd?:
- Andere encryptie instellen voor de tunnel. Zelfs DES icm MD5 is geprobeerd. Het frappante is dat de sterkste encryptie van degenen die we hebben geprobeerd (AES-128) het minste problemen oplevert
- RDP in plaats van Citrix. Dit leverde dezelfde resultaten op.
- Aantal kleuren van 16-bits naar 256 kleuren. Hielp niets.
- Logs bekijken in de concentrator. Geen vreemde logmeldingen gevonden.
- Grote pings (30kb) sturen om te kijken of dit ook invloed heeft op het CPU-gebruik. Dit was niet het geval. Het beperkte zich puur tot het openen van bepaalde websites
- "Gewoon" werken: Outlook, Word e.d. opstarten en aan het werk gaan. Ook dit ging prima, zolang maar niemand bewegende plaatjes in Internet Explorer in beeld had.
Mijn vraag is voornamelijk hoe het kan dat bewegende beelden de CPU load van mijn concentrator op 100% kan brengen. Als het nou de load van de server was, viel het nog te begrijpen wellicht, maar ik zie de link met de VPN concentrator niet. Heeft iemand wellicht nog goede tips/dingen om uit te testen/oplossingen?
Vicariously I live while the whole world dies
/u/96077/crop5b8d7c89bae9d_cropped.png?f=community)
:strip_icc():strip_exif()/u/4167/bacall8.jpg?f=community)
