Puncte:4

De ce unii clienți VPN încetinesc conexiunea la rețea chiar și atunci când nu o folosesc?

drapel ng

Lucrez ca I.T. consultant și adesea trebuie să instalez diverși clienți VPN pe computerul meu pentru a mă conecta la rețelele clientului; începând din martie 2020, am început să lucrez mereu de acasă din motive bine cunoscute.

Până acum câteva luni aveam o conexiune la Internet ADSL de 100 Mb/s, așa că nu am observat niciodată ce descriu în continuare; apoi mi-am actualizat conexiunea la o conexiune FTTH de 1 Gb/s, care atinge în mod normal o viteză de descărcare de 800-900 MB/s și o viteză de încărcare de 100 Mb/s.

Cu toate acestea, când instalez niște clienți VPN, și anume FortiClient și ForcePoint, se întâmplă ceva ciudat: viteza mea de descărcare este limitată la aproximativ 400 MB/s, chiar dacă nu este stabilită nicio conexiune VPN și chiar dacă opresc toate procesele legate de VPN și opresc toate servicii asemanatoare; chiar dacă software-ul client VPN nu este în uz și chiar dacă nu rulează niciun proces pentru acesta, conexiunea mea la rețea este în continuare încetinită îngrozitor; singura modalitate de a rezolva acest lucru este dezinstalarea completă a software-ului client VPN.

La început am întâlnit această problemă doar cu ForcePoint, dar apoi am fost martor la ea din nou cu FortiClient; nu au apărut probleme cu alți clienți VPN, cum ar fi Cisco AnyConnect sau CheckPoint.

De ce se întâmplă asta? Cum se poate întâmpla acest lucru, dacă software-ul este instalat, dar nu este efectiv utilizat?

Sistemul de operare este Windows 10 21H1 x64, cu cele mai recente actualizări.


Addendum.

Acesta nu este un caz izolat pe PC-ul meu, l-am observat pe mai multe computere diferite și a fost raportat de alte persoane folosind software-ul pe care l-am menționat; aceasta pare a fi o problemă legată de instalarea acelor pachete de client VPN specifice, se observă doar atunci când aveți de fapt o conexiune rapidă la Internet (încetinirea pare să o limiteze la aproximativ 400 Mb/s, nici nu o veți observa deloc dacă conexiunea dvs. este mai lentă de la început) și se întâmplă imediat ce software-ul este instalat, indiferent de utilizarea reală a acestuia; singura soluție este dezinstalarea software-ului ofensator.

Actualizați

Se pare că problema este cauzată de driverele de filtru de rețea care în timpul instalării sunt instalate și legat de toate adaptoarele de rețea din sistem, inclusiv NIC-urile fizice și alte adaptoare virtuale care nu au nicio relație cu clientul VPN pe care îl instalați.

Specific:

  • ForcePoint instalează a Driver client VPN ForcePoint și îl leagă la toate adaptoarele de rețea din sistem.
  • FortiClient instalează a Driver de filtru de pachete FortiClient NDIS 6.3 și îl leagă la toate adaptoarele de rețea din sistem.

Dacă driverele respective nu sunt legate de NIC-urile, problema dispare și viteza completă a conexiunii revine.

Alți clienți VPN (Cisco, CheckPoint) nu fac așa ceva și nu creează acest tip de încetinire.

Acum întrebarea devine: pot acele drivere să fie deconectate în siguranță de NIC-urile reale fără a afecta funcționarea clientului VPN sau sunt necesare în schimb?
Este documentat asta undeva?

joeqwerty avatar
drapel cv
Am observat același comportament ciudat cu clientul Sonicwall GlobalVPN. De îndată ce este instalat, pare să provoace încetinirea conectivității la internet, chiar dacă VPN-ul nu este activ/conectat.
Massimo avatar
drapel ng
@anx S-ar putea să te gândești la ceva aici. Tocmai testat acum cu ForcePoint: dezactivarea adaptorului de rețea virtuală asociat nu face nimic, dar programul de instalare leagă, de asemenea, un „Driver client VPN ForcePoint” la *toate* adaptoarele din sistem. Dezactivarea *care* remediază problema.
Massimo avatar
drapel ng
Același lucru este valabil și pentru FortiClient, care leagă un „Driver de filtru de pachete FortiClient NDIS 6.3” la toate adaptoarele din sistem; dezactivarea *care* rezolvă și problema.
Massimo avatar
drapel ng
Nu cred că sunt de fapt buggy; asta seamănă mai degrabă cu „vom prelua controlul complet asupra întregii rețele tale cu un fel de driver de filtru, desigur că este pentru securitatea ta”. Pe care nimeni nu le-a cerut cu adevărat.
anx avatar
drapel fr
anx
Sunt acei 400 MB/s constant, este un singur nucleu CPU atins la maxim sau jumătate din conductă minus supraîncărcarea? Tipul de blocaj ar putea fi un indiciu...
Massimo avatar
drapel ng
Bine bănuit @anx. Când rulați un test de viteză cu unul dintre acești clienți VPN instalați, există o mulțime de utilizare a procesorului și primul nucleu al procesorului (din opt) este atins la maximum.
Puncte:2
drapel ng

Pot confirma prin teste empirice că acești clienți VPN instalează un driver de rețea care este activat automat pe fiecare interfață de rețea.

Dezactivarea acestui driver în proprietățile NIC (pe NIC-urile care nu sunt legate de acel VPN specific) rezolvă problema, iar clientul VPN încă funcționează.

Nu voi face inginerie inversă, dar cel puțin asta a scăpat de acel limite de viteză îngrozitor fără a dezinstala software-ul VPN de fiecare dată.

Puncte:0
drapel as

Problema este filtrul ușor DNE al Citrix. Îl poți dezactiva, dar apoi conexiunea VPN nu va funcționa. Nu știu ce a făcut Citrix, dar șoferul lor fie scapă, fie reduce cumva lățimea de bandă a internetului.

Există un fel de remediere pentru conexiunile wifi, dar nimic pentru ethernet.

Puncte:0
drapel fr
anx

Sorry, these are only speculation:

  1. The drivers attached the the network adapters may be buggy or configured to cause traffic amplification or excessive fragmentation, even in disabled state:

    Bring up the full list with PowerShell Get-NetAdapterBinding, and check in the individual adapter settings which devices have which bindings enabled. Disable network Adapters generally not used, and individually disable bindings not needed on specific adapters (there is a high probability the VPN software A can and does correctly handle the case where it is not attached to the virtual network adapter of VPN Software B).

  2. There is something awfully wrong around RSC or MTU configuration:

    Bring up the list of adapter options via PowerShell get-netadapter | Format-list -property "*" and compare whether any option is changed with a specific softwares drivers enabled. Lowering MTU settings would a far from elegant but easily tested & reverted method of working around a wide range of bugs and incompatible configurations.

  3. Your physical NIC driver is bad. They all are, so at least upgrade it to remove older bugs.

Massimo avatar
drapel ng
Am încercat sugestia ta, folosind un singur client VPN problematic la un moment dat (deci nu există conflicte între diferiți clienți); dezactivarea legării driverului său la NIC-urile fizice rezolvă eficient problema.În afară de aceste legături, nu se modifică absolut nimic în configurația NIC-urilor la instalarea software-ului client VPN.
Massimo avatar
drapel ng
De asemenea, toate driverele NIC sunt actualizate.
anx avatar
drapel fr
anx
Nu *rezolvă problema* dacă trebuie să editați opțiunile adaptorului de fiecare dată când doriți să utilizați un alt software, nu?
Massimo avatar
drapel ng
Nu chiar, dar este un pas sigur înainte de a instala și dezinstala continuu (ceea ce de obicei necesită o repornire).

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.