VPN lenta con ASA 5505 e Cisco VPN Client

[atxkors]

Salve a tutti!
Innanzitutto sono molto contento perchè sono riuscito ad installare e far funzionare il mio primo firewall di un certo livello, un ASA 5505 e anche a far funzionare una VPN tramite il Cisco VPN Client.

Premetto che ancora non ho preso in considerazioni tematiche legate alla sicurezza.

Sto notando però una estrema lentezza quando utilizzo programmi che accedono a file remoti tramite VPN, mentre se ad esempio navigo i file delle cartelle condivise in VPN la velocità è più che accettabile. Ho dimenticato qualcosa nella configurazione? oppure qualche errore da pivello?

Vi schematizzo anche la situazione: la sede accede ad internet tramite un modem IAD di Albacom con IP pubblico fisso e sottorete interna 192.168.1.x su cui ho fatto aprire le porte 4500 UDP, 500 UDP e 22 TCP e fatte forwardare all'indirizzo IP dell'ASA; all'unica presa di rete del modem Albacom è attacato l'ASA che ha come outside l'IP 192.168.1.197 e come inside 192.168.0.1; all'ASA è poi attaccato uno switch a cui si collegano le postazioni interne.

Vi posto la config dell'ASA sperando in un vostro prezioso supporto:

Codice: Seleziona tutto

Result of the command: "show config"

: Saved
: Written by enable_15 at 14:30:36.599 UTC Mon Jun 30 2008
!
ASA Version 7.2(3) 
!
hostname companynamefw
domain-name default.domain.invalid
enable password ***** encrypted
names
!
interface Vlan1
 nameif inside
 security-level 100
 ip address 192.168.0.1 255.255.255.0 
!
interface Vlan2
 nameif outside
 security-level 0
 ip address 192.168.1.197 255.255.255.0 
!
interface Ethernet0/0
 switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
passwd ******* encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name default.domain.invalid
access-list acl_icmp extended permit icmp any any 
access-list companyname_splitTunnelAcl standard permit any 
access-list inside_nat0_outbound extended permit ip any 192.168.0.160 255.255.255.240 
pager lines 24
logging asdm informational
mtu inside 1500
mtu outside 1500
ip local pool RemoteClientPool 192.168.0.160-192.168.0.169 mask 255.255.255.0
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-523.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 1 0.0.0.0 0.0.0.0
access-group acl_icmp in interface outside
route outside 0.0.0.0 0.0.0.0 192.168.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 192.168.0.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac 
crypto dynamic-map outside_dyn_map 20 set pfs 
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-SHA
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map interface outside
crypto isakmp enable inside
crypto isakmp enable outside
crypto isakmp policy 10
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 86400
crypto isakmp nat-traversal  20
telnet timeout 5
ssh timeout 5
console timeout 0

!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect rsh 
  inspect rtsp 
  inspect esmtp 
  inspect sqlnet 
  inspect skinny 
  inspect sunrpc 
  inspect xdmcp 
  inspect sip 
  inspect netbios 
  inspect tftp 
!
service-policy global_policy global
group-policy companyname internal
group-policy companyname attributes
 dns-server value 212.17.192.217 212.17.192.45
 vpn-tunnel-protocol IPSec 
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value companyname_splitTunnelAcl
username user1 password *********** encrypted privilege 0
username user1 attributes
 vpn-group-policy companyname
tunnel-group companyname type ipsec-ra
tunnel-group companyname general-attributes
 address-pool RemoteClientPool
 authorization-server-group LOCAL
 default-group-policy companyname
tunnel-group companyname ipsec-attributes
 pre-shared-key *
prompt hostname context 
Cryptochecksum:9bb971bfe4f70014848512c3062c80d1

[Wizard]

Il wizard del adsm x la config delle vpn è sempre comodo...

Cmq x la velocità non è colpa della config ma forse della banda...

[atxkors]

Wizard, come sempre grazie per le tue veloci risposte.

Purtoppo non penso sia un problema di banda, ho provato ieri dal mio uffico dove abbiamo un'ADSL di Libero a 8 mega mentre dall'altra parte hanno un ADSL Albacom da 10 mega...

pensi possa dipendere dagli MTU? Oppure dal fatto che il pc su cui gira il client è su un dominio di windows diverso? oppure dal fatto che nel wizard del VPN non ho messo i WINS?

Aggiungo che la navigazione dei file è veloce, ma il loro copia-incolla è tremendamente lento... sembra come se ci mettesse una vita a stabilire la connessione, poi quando parte il copiaggio è relativamente accettabile...

Grazie mille in anticipo
Francesco

[Wizard]

MTU non direi poichè sul firewall è configurato a 1500 e va bene (sul router riesci a controllare?)

Per i server wins invece prova ad inserirli

[atxkors]

ammetto la mia ignoranza sui WINS... cosa ci devo mettere? l'IP di un PC qualunque della rete? o cos'altro?

grazie mille per i tuoi suggerimenti

Ciao
Francesco

[Wizard]

No, ci dovresti mettere gli IP dei server wins...
Di solito è il server DC e DNS dalla rete interna...

Controlla prima sul server però!

[atxkors]

Le ho provate tutte, anche un po' a casaccio... niente da fare... non riesco a capire, in VPN il desktop remoto va una meraviglia, navigo velocemente le cartelle, connetto unità di rete... ma se solo mi azzardo a fare tasto destro su un file qualunque, piccolo o grande che sia, a fare un copia e incolla, oppure ad utilizzare un Access con delle tabelle collegate in rete, ho dei tempi di latenza dell'ordine dei 2 minuti.... cosa può essere?

Grazie mille per i suggerimenti
Francesco

[atxkors]

Aggiungo un po' di info... cercando bene su google ho trovato anche altre casistiche praticamente identiche alla mia, pare che il problema non sia la VPN ma Windows !!! è un bug conosciuto il fatto di grandi latenze quando si accede a risorse di rete... il problema è che me lo fa sia con Vista Home che Win XP Pro SP2 quando mi collego ad un NAS di rete in VPN.

A nessuno di voi è mai capitato un problema del genere?? Sono io il primo? Ho provato anche a downgradare il VPN client alla 4.6, ma niente, sempre stesse latenze...

Aggiungo inoltre che potrei modificare qualunque impostazione della rete cui voglio collegarmi in VPN recandomi fisicamente lì, tranne i settings del router di Albacom che è protetto, per policy di Albacom, da password.
Nella rete non c'è nessun server WINS nè DNS (per i DNS si utilizzano gli IP forniti da Albacom), lo schema è:

Internet -> Router ISP -> ASA 5505 -> 3 Switch in cascata cui sono collegate 10 postazioni circa più un NAS e una stampante di rete

Una di queste postazioni è accesa H24 e in teoria potrebbe essere utilizzata come "server" nel caso per risolvere il mio problema debba installare qualcosa che giri sempre...

Grazie mille a tutti,
Francesco

[Wizard]

Che router è quello del ISP? Un Cisco?

[atxkors]

Il router dell'ISP è uno IAD Aethra SV1042 (l'ISP è BT Italia - ex Albacom) su cui ho fatto forwardare la 4500 UDP, la 500 UDP e la 22 TCP sulla outside dell'ASA, ovvero 192.168.1.197; l'IP del router dell'ISP è 192.168.1.1

...sono ad un punto morto... la VPN va una bomba ma i programmi in rete si piantano per questa odiosa latenza... poco mi importa della lentezza nel copiare/incollare... ma il motivo principale dell'installazione di una VPN è proprio l'utilizzo remoto di questi programmi... tutto il lavoro fatto rischia di essere vanificato...

Qualche idea o suggerimento?

Grazie mille per il vostro tempo
Francesco

[atxkors]

Allora, ho studiato, mi sono documentato, e penso di essere arrivati a delle conclusioni:

1) Il problema di Access non è dovuto alla VPN stessa, ma alla poca banda disponibile nel mio contesto in quanto il motorino JET di Access mal si presta a lavorare su connessioni lente -> possibile soluzione usare Terminal Server oppure migrare il Back End su SQL Server

2) Il fenomeno del copia-incolla e del tasto destro su alcuni PC, con stessa versione del VPN client, è più che accettabile, di conseguenza il problema è delle impostazioni di Windows XP/Vista e non della VPN (dovrebbe essere legato alla sincronizzazione dei file o roba simile...)

Di fatto la VPN che ho tirato su, sicurezza a parte, funziona bene considerata la banda a disposizione.

Wizard, avevi ragione nel tuo primo post di risposta, grazie per il supporto.
A questo punto, c'è modo nell'ASA 5505 di "risevare" banda per determinati servizi / protocolli?

Un salutone a tutti
Francesco

[Wizard]

A questo punto, c'è modo nell'ASA 5505 di "risevare" banda per determinati servizi / protocolli?

Yeah!
Puoi configurare una bella regola di QOS per servizi, regole...

Intanto prepara una bella serie di acl per il traffico che devi prioritizzare e postala