Trage verbinding over VPN

Als je dan ook nog wilt bellen over deze lijn zou ik maar eens gaan denken over een SDSL lijn met QOS.

YoUNaS schreef op donderdag 17 maart 2011 @ 12:07:
Op het hoofdkantoor hebben we een ADSL verbinding van KPN zakelijk van (max) 8mb down. Hier heb ik net even vanaf een werkplek een speedtest gedaan via speedtest.net met als resultaat: 5.22 down 0.65 up.

.....

We zitten net in het kleine kantoortje dus, we wilden eerste even proberen hoe dat internet is. Voor normaal internet gebruik is het wel te doen, maar voor gebruik van VPN lijkt het te kort te schieten. Het probleem is dan ook dat inloggen(vóóral de 1e keer!), openen van bestanden op de server, ophalen email, en zelfs het toevoegen van een printer(AD) lang duurt! Bij het toevoegen van een printer lijkt het zelfs dat de pc vastloopt, waarna hij na 5 minuten opeens aangeeft gereed te zijn.

Enig idee hoe groot de meeste printerdrivers zijn en hoe lang het dan duurt om die met 0.65 door de lijn te duwen naar het bijkantoor?

Je download snelheid op je hoofdkantoor kan je eigenlijk wel even buiten beschouwing laten.
Je UPLOAD op je hoofdkantoor, die is belangrijk, aangezien alles wat een werkstation ophaalt gaat over die '1 mbit' waarvan je effectief maar volgens je speedtest 0.65 van haalt, dit is gewoon erg weinig.
ik zou nadenken over een terminal server, dat zal het werkbaarder maken.

Heb je hiernaast je sites correct ingesteld in de active directory? Het zou eigenlijk aan te raden zijn op iedere locatie minimaal één domein controlleren te plaatsen. Indien dit niet mogelijk is, kun je minimaal je sites correct instellen.

Dit zorgt er iig voor dat Active Directory snapt hoe je infra in elkaar zit.

Ik haal nergens uit het verhaal dat er meer dan één server is, laat staan meer dan één DC.

Je sites gaan dus niet helpen, die bepalen alleen je replication traffic en wat services voor zover deze daar mee overweg kunnen Sowieso, het is een SBS met 9 werkstations, meer dan één server is zware overkill...

Draytek 2900's zijn niet bijster snel met IPSEC VPN, als je een (bijvoorbeeld) Ziggo Zakelijk lijn met 6 mbit up zou hebben loop je tegen die limiet, nu echter is het meer je internetlijn

Voor diverse klanten van ons onderhouden we precies dat soort situaties. Een paar dingen zijn belangrijk:
- Upload, upload, upload
- Geen roaming profiles / redirected folders
- Nieuwe werkstations (inclusief de printerdrivers) installeer je op de hoofdlocatie
- Remote workstations downloaden hun updates (wel gecontroleerd door WSUS) rechtstreeks bij Microsoft
- Software deployment in een GPO doe je niet op de remote werkstations (beetje afhankelijk van hoe groot het is)

En dan nog blijft het traag over ADSL... Met name 'database'-achtige programma's die flat files gebruiken in plaats van een echte database (Accountview bijvoorbeeld) zijn berucht om ook over kabel erg traag te zijn.

Als het upgraden van je verbindingen geen optie is kun je het ofwel een terminal server, ofwel een 2e DC en DFS / FRS inrichten.

---

Over SBS bestaan de nodige misvattingen, dit is er één van Je kunt in een Windows domein met een SBS-server zoveel servers hangen als je wilt. Grofweg gelden enkel de volgende punten:
- De SBS moet alle FSMO-rollen hebben (hieruit volgt ook dat er maar één SBS server kan zijn)
- De SBS moet de forrest root zijn
- Je kunt geen trusts maken, en ook geen child domains
- De SBS kan geen Terminal Services in Application Mode draaien.

[ Voor 14% gewijzigd door Paul op 17-03-2011 12:37 ]

Zorg dan je op beide locaties meer bandbreedte krijgt.
( In de upload, niet de download. )

Een SDSL lijn op beide locaties is een mogelijkheid, maar je kan ook denken aan kabel abonnement waar de upload meer is. Gebruik je SDSL, dan kan je twee Cisco 888 SDSL routers plaatsen. Tussen deze routers kan je een IPSec tunnel opzetten. Heb je twee kabel abonnementen en heb je hierdoor alleen ethernet interfaces / koppelvlakken, dan kan je evt. kijken naar twee Cisco ASA's. (Bijvoorbeeld de ASA5505-50-BUN-K9. Met deze firewall kan je max. 50 interne hosts hebben. Dit kan je later nog upgraden naar een unlimited licentie.)

Verder kan je aan Citrix denken op één locatie.
Een andere mogelijkheid is het toepassen van WAN optimalisatie.
( Mocht de upgrade van de internetlijn niet voldoende blijken. )

Denk dan aan Cisco WAAS of Riverbed Steelheads.
Hiermee kan je de benodigde bandbreedte over je IPSec tunnel zo'n 60 tot 95% reduceren.
( Afhankelijk van het type verkeer wat over de lijn gaat. Windows filesharing reduceert vrij aardig. Citrix verkeer is nog wel te optimaliseren, maar hier is veel minder winst te halen. )

Door netwerkverkeer te optimaliseren op je IPSec tunnel, creëer je bandbreedte voor VoIP verkeer.
( Wat niet te optimaliseren is. Afgezien van wat signaling VoIP verkeer. )
Met QoS kan je voorrang verlenen aan VoIP verkeer t.o.v. ander verkeer.
Dit kan je in de Riverbed Steelheads instellen.

Wil je nog verder optimaliseren, dan kan je kijken welke codec gebruikt wordt om VoIP te encoded.
Afhankelijk van je VoIP oplossing kan je een andere codec kiezen, die minder bandbreedte vereist.
Hou er dan wel rekening mee, dat de gesprekskwaliteit achteruit kan gaan.

Aangezien dit een tijdelijke situatie is, kan je kijken of je de WAN optimalisatie appliances kan kopen bij een partij die hierin gespecialiseerd is. Zitten jullie later in één pand, dan kan de partij die de apparatuur geleverd heeft, deze misschien bij een andere klant plaatsen. Maar dit moet je van tevoren wel duidelijk vast laten leggen natuurlijk...

[ Voor 7% gewijzigd door Bl@ckbird op 17-03-2011 23:09 ]

Bl@ckbird schreef op donderdag 17 maart 2011 @ 22:57:
[....heel enterprise verhaal...]

Je hebt het hier wel over een klein MKB toko'tje he.

Je hebt ook appliances die maar 1 of 2 Mbps throughput halen. (Geoptimaliseerde bandbreedte.) Er is ook software om verkeer vanaf laptops (die via VPN inloggen) te optimaliseren. Verder weet ik dat er wat ISP's en andere partijen zijn, die dit als managed dienst aanbieden.

Als je niet meer bandbreedte kan krijgen is optimalisering van wat je hebt eigenlijk de enigste optie.
( Door Citrix / RDP, Proxy servers of WAN optimalisatie. )

[ Voor 16% gewijzigd door Bl@ckbird op 19-03-2011 16:50 ]

LAN gebruikers zijn het aantal unieke IP adressen (hosts) die van het interne LAN segment het Internet bezoeken, binnen 24 uur. Access points, routers, etc die geen contact hebben met Internet hoef je niet mee te tellen. Cisco heeft dit onderscheid om dit apparaat goedkoper in de markt te kunnen zetten. Deze meeste features van de ASA5505 komen overeen het de grotere modellen ASA's. Dit systeem werd vroeger ook bij de PIX gebruikt.

De ASA kan je beheren met de ASDM die standaard wordt meegeleverd. Wil je complexere situaties configureren, dan kan je de commandline gebruiken.

Het UPC Fiber Power 60 abbo heeft een upload van 6 Mbps, het Fiber Power 25 abbo heeft een upload van 2.5 Mbps. Vanuit het 2e kantoor kan je dus met 2,5 Mbps bestanden uploaden. Downloaden gaat met 6 Mbps.

Zorg wel dat je 5 IP's aanvraagd, en niet het standaard UPC-zakelijk.

Bij het UPC zakelijke pakket doet je modem gewoon NAT en routeert ie, dat is niet uit te zetten.

Met een /29 heb je 5 bruikbare IP adressen, maar, belangrijker, is je modem router voor je subnet en kun je zelf een router gebruiken.

In het kader van de IP4 tekorten is dat dus een erg logische denkwijze van UPC: Neem vooral extra IP's als je wat fatsoenlijks wil, waar je ook met 1 IP af had gekund, als hun niet dat ding dichtspijkerde