Paketverlust im VPN-Tunnel kann die Performance von Remote-Access-Verbindungen massiv beeinträchtigen. Um die Ursache zu identifizieren, muss zwischen Underlay Loss (Netzwerkprobleme unterhalb des Tunnels) und Crypto Bottlenecks (Überlastung der Verschlüsselung oder Tunnelprozesse) unterschieden werden. Dieses Tutorial zeigt praxisnah, wie Paketverlust analysiert, die Ursachen differenziert und Lösungen implementiert werden können.

Underlay Packet Loss erkennen

Underlay Loss bezeichnet Paketverluste im zugrunde liegenden Netzwerk, bevor die Daten den VPN-Tunnel erreichen. Ursachen sind Link-Ausfälle, Überlastung, Routing-Probleme oder fehlerhafte Hardware.

Symptome

• Packet Loss auf allen Protokollen, nicht nur IPsec/SSL
• Hohe RTT und Jitter
• Abbrüche bei großen File Transfers oder Streaming
• ICMP-Pings an die Tunnelendpunkte schlagen fehl oder zeigen verlorene Pakete

Debugging Schritte

• Ping und Traceroute durch das Underlay-Netzwerk
• Monitoring von Link-Auslastung, Error-Counts und Dropped-Paketen
• Prüfung von Routing-Tabellen auf asymmetrische Pfade
• Netzwerkgeräte auf Hardware-Fehler oder Queue-Overload prüfen

Beispiel CLI

ping 203.0.113.1
traceroute 203.0.113.1
show interface GigabitEthernet0/1
show ip route

Crypto Bottleneck erkennen

Crypto Bottlenecks entstehen, wenn die VPN-Verschlüsselung oder Tunnelprozesse die maximale Kapazität erreichen. Dies führt zu Paketverlust nur im Tunnel, während das Underlay selbst stabil ist.

Symptome

• Packet Loss nur im VPN-Tunnel, externe ICMP-Pings stabil
• Hohe CPU- oder Hardware-Kryptolast auf VPN-Gateways
• Abbrüche bei hoher Session-Anzahl oder hohen Durchsatz
• Fehler in Crypto-Engine oder IPSec SA Logs

Debugging Schritte

• CPU- und Crypto-Engine Auslastung prüfen
• IPsec SA-Limits und Session-Tables überwachen
• Throughput-Tests mit unterschiedlichen Paketgrößen durchführen
• Logs für Retransmits oder Dropped-Pakete im Tunnel prüfen

Beispiel CLI Cisco ASA

show crypto ipsec sa
show crypto engine connections
show conn count
show vpn-sessiondb detail
show logging

Trennung von Underlay Loss und Crypto Bottleneck

Um gezielt Maßnahmen zu ergreifen, muss klar zwischen Underlay Loss und Crypto Bottleneck unterschieden werden.

Analyse-Methoden

• Vergleich von ICMP-Ping auf Tunnelendpunkt und hinter Firewall/VPN
• Durchsatz-Tests ohne Verschlüsselung (Direct Path) vs. Tunnel
• Monitoring der CPU-/Crypto-Engine-Last während Peak-Last
• Traceroute zur Identifikation asymmetrischer Pfade im Underlay
• Logs der Tunnel auf Paketverlust prüfen

Beispiel Test

# Test Underlay
ping 203.0.113.1 size 1400
traceroute 203.0.113.1
Test Tunnel
ping 10.10.10.1 source 10.20.0.1

iperf3 -c 10.10.10.1 -t 60

show crypto ipsec sa

Monitoring und Performance-Metriken

Kontinuierliches Monitoring hilft, Paketverlust frühzeitig zu erkennen und zu differenzieren.

Empfohlene Metriken

• Packet Loss im Underlay vs. Tunnel
• CPU- und Crypto-Engine-Auslastung
• Session Table und IPsec SA Auslastung
• Round-Trip-Time (RTT) und Jitter
• Peak Concurrent Users und Bandbreitenverbrauch

Beispiel CLI Monitoring Cisco ASA

show interface
show crypto ipsec sa
show crypto engine connections
show vpn-sessiondb summary
show conn count

Subnetz- und IP-Planung

Eine saubere IP-Planung erleichtert das Debugging und die Performance-Analyse, insbesondere bei vielen Remote-Clients.

Beispiel Subnetzplanung

Remote VPN Clients: 10.10.10.0/24
Corporate Resources: 10.20.0.0/24
Internet via NAT: 203.0.113.10/30
Management: 10.30.10.0/24

Subnetzberechnung für Concurrent Users

Beispiel: 250 gleichzeitige VPN-User

Hosts = 250, BenötigteIPs = 250 + 2 = 252
2^n ge 252
n = 8 → 256 IPs (/24)

Best Practices Paketverlust-Analyse

• Systematisches Vorgehen: Underlay prüfen → Tunnel/Encryption prüfen
• Monitoring von CPU-, Crypto-Engine-Last und Session Tables
• Ping, Traceroute und Throughput-Tests gezielt einsetzen
• MTU/MSS beachten, um Fragmentierung zu vermeiden
• Logs auf Dropped Packets, Retransmits und Crypto-Fehler prüfen
• Subnetzplanung sauber dokumentieren und Segmentierung verwenden
• Alerting bei Tunnel-Packet Loss und Underlay-Loss einrichten
• Regelmäßige Tests unter Last durchführen

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

• Professionelle Konfiguration von Routern und Switches

• Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

• Erstellung von Topologien und Simulationen in Cisco Packet Tracer

• Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

• Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

• Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

• Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

• Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.