Performance Problem mit VNC



  • Guten Morgen,

    ich habe mich in diesem Forum angemeldet, da ich als langjähriger Nutzer einer anderen Linux Firewall distribution (ALIX board) auf pfsense gewechselt bin (mit neuem PcEngines APU2 board) und gleich ein PROBLEM habe mit dem ich mich an euch wenden möchte bzw. wenden muss.

    Meine Freundin hat einen "Firmen"-Laptop mit welchem sie auf Dateien im Unternehmensnetzwerk zugreifen kann - das funktioniert normalerweise bei ihr Zuhause (0815-Router ohne Firewall) prima. Aber sobald sie sich bei mir einloggt treten gewaltige Verzögerungen / Lags auf und das Arbeiten gestaltet sich schwierig.

    Sie hat keinen Plan wie ihre Verbindung zustandekommt und wollte mir auch nicht den Laptop zum herumprobieren geben  ::) also habe ich geschaut über welche Ports sie kommuniziert. Es waren Prot 5800 und Port 5900 - bedeutet das also dass sie über VNC auf ihren Arbeitsplatz zugreift? Wäre jetzt die beste Möglichkeit hier Portforwarding zu betreiben? Wenn ja, nach diesen Schemata:

    Interface-WAN
    Protocol-TCP
    Destination-WAN Adress
    Destination Port range- 5800
    target-IP- interne IP
    Redirect target port -5800

    Ich wäre sehr dankbar für jede Hilfe, da sie ansonsten über das Mobiltelefon ins Internet geht und das kann es ja wohl nicht sein  ;D

    kurz meine Konfiguration mit der die Internetanbindung zu Stande kommt:
    MODEM > ROUTER (APU2 mit pfsense, PPoE) > SWITCH > AP (um das W-Lan herzustellen)

    Beste Grüße


  • LAYER 8 Moderator

    Sie hat keinen Plan wie ihre Verbindung zustandekommt und wollte mir auch nicht den Laptop zum herumprobieren geben  ::) also habe ich geschaut über welche Ports sie kommuniziert. Es waren Prot 5800 und Port 5900 - bedeutet das also dass sie über VNC auf ihren Arbeitsplatz zugreift? Wäre jetzt die beste Möglichkeit hier Portforwarding zu betreiben? Wenn ja, nach diesen Schemata:

    Wäre eine Möglichkeit, aber das würde auch heißen, dass es EXTREM unsicher ist, wenn du die Kommunikation via 5900 auf dem WAN siehst. VNC wird nicht verschlüsselt, und sowas in eine Firma zur Steuerung vom Arbeitsplatz zu öffnen ist grob fahrlässig ohne VPN oder ähnliche Sicherung vornedran zu haben. Zumal da VNC keine Blockade gegen Brute Forcing hat.

    Ein Portforwarding ist aber unsinnig, denn das ZIEL muss via 5900 erreichbar sein. Nicht der Laptop als Client. Der macht nur abgehend die Verbindung zum Ziel:5900 auf. Fertig. Da muss AUF den Laptop gar nichts erlaubt werden. Woher die Verzögerungen und Lags kommen kann man schlecht sagen, da du nichts über irgendwelche Geschwindigkeiten oder sonstwas gesagt hast, zumal auch nicht klar ist WIE deine Freundin auf das Netz/den PC zugreift der dann langsam sein soll.

    Ich sehe da eher ein Netz/Anwendungsproblem, keines der Firewall, denn sonst würde die Verbindung gar nicht klappen.



  • Danke für die Antwort. Ok, portforwarding bringt nichts da sie ja eh bereits eine Verbindung mittels VPN Tunnel herstellen kann - das habe ich jedenfalls in den  Win10 Adaptereinstellungen erspähen können. 30 Mb/s download und 3 Mb/s upload ist die Geschwindigkeit welche mir von meinem ISP auch konstant geliefert wird. Sie hat bei sich zuhause gerade einmal eine uralte 3.000er Leitung  und da funktioniert es auch flüssig.

    Werde ich heute schauen ob das Problem nur vorübergehend aufgetreten ist.


  • LAYER 8 Moderator

    Bei Remote Desktop jeglicher Art hängt viel von den Einstellungen ab die ausgehandelt werden. Evtl. baut sie ihr VPN auf (hoffe ich) und VNC sieht dann die 30MBps im Downstream und denkt er kann auf volle Grafikleistung schalten. Dann wären solche Aussetzer normal. Oder du hast noch nebenbei was laufen was die Leistung drückt, im Gegensatz dazu wenn sie zu Hause ist, macht sie ja sonst nichts anderes auf der Leitung. Das sind alles Faktoren zur Berücksichtigung. Wenn das VNC ist (hoffentlich! über VPN), dann einfach mal versuchen die Grafikeinstellungen zu reduzieren und schauen ob nebenbei noch was läuft was die Leitung zu macht.

    Gruß



  • Zum einen gibt es bei VNC auch crypto-Plugins. Also ist es prinzipiell möglich, auch auf 5800 verschlüsselt zu kommunizieren. Wie sicher das ist, weiß ich natürlich nicht, hatte sowas selber meist getunnelt per SSH oder VPN.

    Und, wie JeGr schreibt, ist VNC per default schlecht bei geringer Bandbreite oder hoher Latenz. Da performen RDP oder andere Tools wie TeamViewer oder Webex deutlich besser.

    VNC kann aber getunt werden - falls du die Möglichkeit dazu hast. Ich verrate dir, was ich nach langem Rumprobieren herausgefunden habe. :) Benutze "Tight" oder "Jpeg" als Einstellung, das hat bei mir schonmal die gefühlte Verbindungsqualität um den Faktor 5 verbessert. Das war fast schon alles.. aber natürlich kann man hier noch probieren. Am Ende war es fast so brauchbar wie RDP, was wiederum von TeamViewer leicht geschlagen wird. Es gibt dann eben leichte Artefakte im Bild.


Log in to reply