Wenn ich von Zuhause über VPN Tomedo benutze, dauert das Öffnen einer Akte 8-10 Sekunden. Die Leitung müsste eigentlich ausreichend schnell sein.

Gibt es irgend welche "Schrauben" an welchen man drehen könnte? Wie kann man herausfinden wo das Problem zu finden wäre? Log Files?
Gefragt in Frage von (2.9k Punkte)
Bearbeitet von
0 Punkte
Wir haben ein ähnliches, um nicht zu sagen gleiches Problem. Sophos in der Praxis mit einer 100er Leitung, Tunnelblick im Homeoffice. Der Download einer neuen Datenbank kann schon Stunden dauern, wie auch das Herunterladen von PDFs aus der Kartei. Im weltenweiten Netz gibt es auch Hinweise, dass Tunnelblick ein Problem mit Big Sur und dem M1 Prozessor hat. Tunnelblick weist darauf auch selbst hin.

Ein Abschalten aller Firwall-Systeme bringt nichts. Das Problem muss im Antwortverhalten des Servers auf den Request des Gerätes im Homeoffice sein. Ich starte Tunelblick, dann Tomedo, der Download "rast" für ein paar Sekunden los und bleibt dann bei 0 Byte, hin und wieder zuckt er mit 50-60 Byte, das wars.Mit Amphetamin verhindere ich das Einschlafen des Rechners.

Abhilfe - manueller Art - bringt das Trennen des VPN und die sofortige neue Verbindung. Dann rennt die Verbindung wieder für ein paar Sekunden und schläft dann fast ein. Das mache ich so 3-4 mal und dann ist der Client vollständig geladen. Ich habe schon Stunden mit dem Support verbracht und vermute, dass die Sophos nicht sauber konfiguriert ist. Das ist nicht nur technisch unschön, sondern auch rechtlich. Die meisten User sind nicht in der Lage nachzuvollziehen, wie so eine Firewall einzurichten ist und müssen sich auf ihre Support verlassen. Und wenn der keine Ahnung hat, kann das böse Folgen haben. Drum sollte jder Praxisverantwortlche ein Minimum an Kenntnissen und Routinen beherrschen, um zu verhindern, dass die Praxis nicht "mit offener Hose" im Netz steht. Hierzu gehört zB der Netzwer-Check von Heise

https://www.heise.de/security/dienste/Netzwerkcheck-2114.html

Sonntägliche Grüße vom Arztgatten, RA J. Frotscher
Hallo Herr Frotscher,

das von Ihnen beschrieben Problem kommt mir bekannt vor. Mir ist dies einmal bei einem Privatanschluss von Unitymedia (Kabelanschluss / DOCSIS) untergekommen. Das Problem war hier, dass die VPN Verbindung über UDP aufgebaut wurde und Unitymedia diese Ports nach kurzer Zeit blockte (wohl um Datentransferkosten zu sparen). Da die VPN Gegenstelle und auch Tunnelblick realtiv lange (knapp 2 Minuten lang) nicht mitbekommen haben dass die Verbindung nicht funktionierte (UDP normales Verhalten) führte dies zu den genannten Fehlern. Abhilfe konnte dann das Umstellen auf eine TCP Verbindung für das VPN bringen (klein wenig langsamer als über UDP). Manche VPN Konfigurationen bieten auch die Einstellung von Timeout Zeiten an. Hier empfiehlt sich kleine Abstände (ca 10-15 sekunden) zu wählen (Standard ist oft 60-180 Sekunden).

Leider kenne ich mich nicht gut genug mit Sophos aus um Ihnen hier einen Tipp zu geben wo Sie dies einstellen können. Aber vielleicht hilft Ihnen der Hinweis.
Kurze Anmerkungen (insebsondere für die Sophos Anwender, die an dieser Diskussion beteiligt sind):

Es gibt eine ganze Reihe von Faktoren, die EInfluss auf die Performance haben.

1) Die Leitung, vor allem der Upload (Bandbreite) auf der Praxisseite

2) Router und Firewall: meist kommt erst ein Router zum Einsatz, dahinter eine Firewall.

2a) Router: stellt nur die DSL Verbindung her (evtl. Telefonie für alte TK Anlagen), hier sollte KEIN VPN aktiv sein und kein myFritz, wenn eine Firewall folgt, Portfreigaben auf die Firewall einstellen, gerade bei Fritz nicht NUR ein ExposedHost

2b) Firewall: muss vom Sizing stimmen, also für die Praxis/Anwender richtig dimensioniert sein. Kommt nicht nur auf die Anzahl der Plätze oder VPN Verbindungen an, sondern auch die Regeln, die mehr Leistung ziehen (Pakete entschlüsseln, Web-Filtering, IPS, usw....)

3) gerade bei Sophos kann man IPSec VPN einrichten, Vorteil: KEIN Tunnelblick auf den Rechnern, sondern VPN im Betriebssystem. Schneller und stabiler bei Systemupdates usw.

Eine Firewall ist nicht gerade günstig, aber den wesentlichen Unterschied macht die Betreuung. Richtig dimensioniert und eingestellt, sollten die VPN Verbindungen problemlos funktionieren. Es haben sich ja einige Vertriebspartner hier beteiligt.

Viel Erfolg

3 Antworten

Sehr geehrter Herr Mauch,

bei VPN ist per se nicht die Leitung das Problem sondern das VPN, also das Verschlüsseln und Entschlüsseln, und das kommt zusätzlich zur Internetverbindung (Geschwindigkeit und Latenz meist viel schlechter als im lokalen Netz) noch auf die Zeit drauf... jeweils für Hin und Rückrichtung.
Beantwortet von (60.5k Punkte)
0 Punkte
Wir benutzen in der Praxis Sophos als Firewall, und ich baue die Verbindung zu Hause mit Tunnelblick auf. Das läuft völlig ohne Zeitverzögerung, ich bemerke keinen Unterschied zu den Clients in der Praxis.
Schnelle Einwahl klingt interessant, können Sie Näheres zu der Sophos-Lösung sagen? Auch Kosten?

Danke und Grüße!
Wir nutzen ebenfalls Sophos mit Tunnelblick. Auch ich kann keine wirklichen Geschwindigkeiteinbußen erkennen. Sogar Signieren von KIM, eAU, eRezept funktioniert über VPN von zu Hause.

Man muss auf dem Mac lediglich Tunnelblick installieren und den VPN SSL Zugang in der Sophos einrichten. Danach ist es ein Klick.
Und was sind die Kosten? Klingt sehr spannend!
Die Frage nach den Kosten hat Herr Tubbesing ja dankenswerter Weise unten schon beantwortet.
Lieber Herr Fischer und Herr Stenger!

Wie sind denn die Daten Ihres Internet-Anschlusses in der Praxis? Down-/ Upload-Geschwindigkeit?

Und ist Tunnelblick tatsächlich besser/anders als die direkte VPN-Verbindung per Systemeinstellung vom Mac?
Hallo Herr Cepin,

sowohl in der Praxis als auch zu Hause hab ich eine 50/15 MBit/s VDSL Leitung. Zu Hause ist die Leitung von Quix/inexio in der Praxis Telekom. Die 50/15 kommen auch tatsächlich an.

Ob Tunnelblick jetzt besser ist, kann ich nicht sagen. Wir haben bisher nur Tunnelblick genutzt und ich bin damit sehr zufrieden. Bisher hatte ich keine Probleme. Funktioniert auch Problem über iPhone-Hotspot. Vorteil ist, dass man gleichzeitig mit einem VPN Account am Mac und z.B. iPhone eingeloggt sein kann.
Das Bottleneck ist in solchen Fällen meistens nicht die Downloadgeschwidigkeit zu Hause, sondern die Uploadgeschwidigkeit in der Praxis.
Beantwortet von (51.7k Punkte)
0 Punkte
Moin Herr Dr. Mauch,

um das wirklich beurteilen zu können, warum Ihre VPN nicht so richtig schnell ist, fehlen ein paar Infos.
Darum nur ein paar allgemeine Bemerkungen, die vielleicht helfen können.

Es gibt grundsätzlich 2 Systeme, wie man die VPN aufbauen kann: a) man verbindet zwei Netzwerke, das macht Sinn, wenn man mehr als ein Gerät in dem anzubindenden Netzwerk hat b) im Sinne einer Client Server Architektur wird ein Gerät per VPN mit dem Router / der Hardware Firewall der Praxis verbunden (das ist in der Regel sehr performant).

Technisch ist für den Internetzugang nur der Upload von Bedeutung, nicht die Downloadrate, die sonst immer das Maß für die Geschwindigkeit ist. Also in einem System mit 50 MB Download und 5 MB Upload wird die Anforderung mit 5 MB vom Client zum Server übertragen und ebenso geht es dann mit den Upload aus der Praxis über den tomedo Server wieder zurück an den Client.

Das die Qualität der Internetverbindung hier auch eine wichtige Rolle spielt, sei der Vollständigheit halber mit erwähnt.

Das Beispiel, welches die Praxen von Herrn Fischer und Herrn Stenger hier anführen ist nahe an einer Musterlösung, denn technisch verbindet sich ein Client mit einer Hardware Firewall als Server. Ob das Sophos, Securepoint oder Lancom ist, spielt so gut wie keine Rolle, da alle diese Systeme von Ihrer Architektur darauf getrimmt sind, optimale und leistungsstarke (und extrem sichere) Verbindungen aufzubauen. Eine einfache Hardwarefirewall kostet mit einem 5 Jahres Pflegevertrag und der Einrichtung Konfiguration um die 3000 Euro netto.

Wie könnte man nun testen, wo es klemmt?

Das einfachste wäre ein Ping Befehl - also man gibt im Terminal auf dem Client Rechner nacheinander die IP vom lokalen Router, dem entfernten Router und am besten auch vom tomedo Server ein. Beispiel: ping 192.168.100.254 für den lokalen Router.
Im lokalen Netzwerk sollte die Antwort bei 1 bis 2 Millisekunden liegen, per VPN sollten die entfernten Systeme zwischen 34 und 110 Millisekunden antworten.

Als nächstes würde ich den Rechner per iPhone mit den Internet verbinden, also einen Hotspot nutzen. Wenn die Übertragung dann signifikant schneller ist, dann ist damit klar, dass das Problem auf der Seite des lokalen Netzwerks liegen müsste. Bleibt alles langsam, dann ist mit hoher Wahrscheinlichkeit das Problem in der Praxis zu suchen. Um eine Fehlerquelle am Rechner auszuschliessen, würde der Test einen Alternativsystems mehr Klarheit bringen.

Bei Praxen mit mehr Usern mit VPN ist natürlich immer auch noch die Frage, ob das geschilderte Verhalten an allen VPN Plätzen auftritt.

Mit bestem Gruß

Axel Tubbesing
tubbeTEC GmbH - Hamburg
tubbeTEC Süd GmbH - Germering
Beantwortet von (7.8k Punkte)
0 Punkte
Habe gerade mal den ping von zu Hause (iPhone im WLAN) gemessen: zur sophos in der Praxis 59ms im Durchschnitt, zum tomedo Server 60ms.

iPhone zu Router im Heimnetz 7ms.

Sowohl in der Praxis als auch zu Hause hab ich eine 50/15 MBit/s VDSL Leitung.
Macbook via WLAN zur Fritzbox zu Hause, per VPN zum Lancom-Router in der Praxis ping= 39ms

Vodafone -Netz, Speedtest sagt 406 Download, 24 Mbps Upload, Ping 20ms

Bei Anbindung eines VPN-Clienten an das Praxisnetz scheint die Netzwerktopologie des Providers und seiner backbones nicht ganz unwichtig zu sein. Bei meiner telekombasierten VPN-Verbindung braucht der 20er Ping vom Server (VDSL 100/40) zum Clienten (VDSL 100/30) länger (103 ms) als der Ping vom Clienten zum Server (84 ms), bei gleicher Standardabeichung von 40 ms. Grundsätzlich lädt damit aber die Kartei sehr flott, nur längere Dateianhänge brauchen entsprechend beim ersten Mal.

Stürmische Grüße aus dem wilden Harz

Hmmm, wo ist bei mir der Knoten?

Von zu Hause VPN zum LANCOM in der Praxis. Kann den Server per Bildschirmfreigabe öffnen. Aber Ping im Terminal zur Serveradresse ergibt nur Timeout ???
Hallo Herr Cepin,

das kann ich beantworten, weil Sie unser Kunde sind, das haben wir als eine der Schutzmaßnahmen eingedämmt.

Lg Axel Tubbesing
tubbeTEC Süd GmbH - Germeringen und tubbeTEC GmbH - Hamburg
10,111 Beiträge
16,335 Antworten
25,772 Kommentare
4,768 Nutzer