Das Forum wurde aktualisiert. Wurde höchste Zeit. Wenn etwas nicht funktioniert, bitte gerne hier jederzeit melden.
(Das "alte Design" kommt wieder, wird ne Weile brauchen!)

Traffic Problem bei eingeschalteter Windowsfirewall auf Host

Hilfe bei Problemen mit der Installation und Benutzung des VMware Player.

Moderatoren: irix, stefan.becker, continuum, Dayworker, Tschoergez

Member
Beiträge: 3
Registriert: 04.11.2009, 16:15

Traffic Problem bei eingeschalteter Windowsfirewall auf Host

Beitragvon loisel » 04.11.2009, 16:57

Hallo liebes Forum:

ich betreibe folgende Konfiguration: Hostsystem Win 2k3 R2 SP2 mit dem VMwarePlayer V2.5.3.

In der VMware läuft ein XP SP3.

Ich habe von den 3 auf dem Host zur Verfügung stehenden Networkadapter 2 Stück als "custom" auf die Virtual Switches gebridged => diese stehen mir auch wunderbar in der VM zur Verfügung! Die beiden auf dem Host nach der Installation befindlichen virtuellen Networkadapter VMnet0 und VMnet8 habe ich gelöscht und die Services NAT und DHCP deaktiviert, weil ich der Meinung bin sie nicht zu brauchen!
Kommunizieren kann ich wunderbar. Also ein Ping bspw., wie auch Kommunikation über TCP/IP über beide Adapter funktioniert super in beide Richtungen. (sofern die Host-Firewall aus ist)

Anbei ist mein vmx-File:

Code: Alles auswählen

.encoding = "windows-1252"
memsize = "700"
guestOS = "winxppro"

config.version = "8"
virtualHW.version = "7"

scsi0.present = "TRUE"
scsi0:0.redo = ""
scsi0:0.present = "TRUE"
scsi0:0.fileName = "Platte.vmdk"
scsi0.pciSlotNumber = "16"

displayName = "Name der VM"

extendedConfigFile = "Name.vmxf"
nvram = "Name.nvram"

ide1:0.present = "TRUE"
ide1:0.fileName = "auto detect"
ide1:0.deviceType = "cdrom-raw"
ide1:0.autodetect = "TRUE"

floppy0.fileType = "device"
floppy0.fileName = ""
floppy0.clientDevice = "FALSE"
floppy0.autodetect = "TRUE"
floppy0.startConnected = "FALSE"

ethernet0.addressType = "generated"
ethernet0.present = "TRUE"
ethernet0.connectionType = "custom"
ethernet0.vnet = "VMnet0"
ethernet0.wakeOnPcktRcv = "FALSE"
ethernet0.generatedAddress = "00:0c:29:49:d2:5a"
ethernet0.generatedAddressOffset = "0"
ethernet0.pciSlotNumber = "18"

ethernet1.addressType = "generated"
ethernet1.present = "TRUE"
ethernet1.connectionType = "custom"
ethernet1.vnet = "VMNet2"
ethernet1.wakeOnPcktRcv = "FALSE"
ethernet1.generatedAddress = "00:0c:29:49:d2:64"
ethernet1.generatedAddressOffset = "10"
ethernet1.pciSlotNumber = "19"

usb.present = "TRUE"
usb:0.present = "TRUE"
usb:1.present = "TRUE"
usb:1.deviceType = "hub"
usb:0.deviceType = "mouse"
usb.autoConnect.device0 = ""
usb.pciSlotNumber = "17"
usb.autoConnect.device1 = ""

ehci.present = "FALSE"
ehci.pciSlotNumber = "-1"

sound.present = "FALSE"
sound.fileName = "-1"
sound.autodetect = "FALSE"
sound.pciSlotNumber = "-1"

mks.enable3d = "TRUE"

pciBridge0.present = "FALSE"
pciBridge4.present = "FALSE"
pciBridge4.virtualDev = "pcieRootPort"
pciBridge4.functions = "8"
pciBridge5.present = "TRUE"
pciBridge5.virtualDev = "pcieRootPort"
pciBridge5.functions = "8"
pciBridge6.present = "TRUE"
pciBridge6.virtualDev = "pcieRootPort"
pciBridge6.functions = "8"
pciBridge7.present = "TRUE"
pciBridge7.virtualDev = "pcieRootPort"
pciBridge7.functions = "8"
pciBridge0.pciSlotNumber = "-1"
pciBridge4.pciSlotNumber = "-1"
pciBridge5.pciSlotNumber = "21"
pciBridge6.pciSlotNumber = "22"
pciBridge7.pciSlotNumber = "23"

vmci0.present = "FALSE"
vmci0.pciSlotNumber = "-1"
vmci0.id = "-1296563760"

buslogic.noDriver = "FALSE"

roamingVM.exitBehavior = "go"

virtualHW.productCompatibility = "hosted"
ft.secondary0.enabled = "TRUE"

tools.upgrade.policy = "useGlobal"
tools.syncTime = "TRUE"

uuid.location = "56 4d f6 8e ff 90 2f c8-2a 99 3d 0b 48 49 d2 5a"
uuid.bios = "56 4d f6 8e ff 90 2f c8-2a 99 3d 0b 48 49 d2 5a"
uuid.action = "create"

vmotion.checkpointFBSize = "134217728"

fileSearchPath = "D:\Folder;."

checkpoint.vmState = ""


Für unten genannte Analysen habe ich einen Adapter deaktiviert, sodass der Traffic lediglich über einen Adapter gehen kann. Dieser hängt an einem Win 2k3-DC mit DHCP. Somit haben host und VM eine vom DHCP zugewiesene gültige Adresse!

Wenn ich nun die Firewall auf dem Hostsystem aktiviere, habe ich unter erheblichen Bandbreiten-Einschränkungen zu leiden. Konkretes Beispiel: wenn ich mittels bswp. ssft (http://www.whitsoftdev.com/ssft/) über einen bestimmten TCP-Port (4411) Pakete in Form einer Datei vom Host in die VM schicke, habe ich folgende traurige Performance:

23 byte/s bei eingeschalteter Host-Firewall im Vergleich zu ca. 20 MB/s bei ausgeschalteter Host-Firewall. Auf gut deutsch es kommt nichts an ;-( Die notwendigen Ausnahmen sind selbstverständlich eingetragen. (sowohl application als auch port => selbstverständlich in jeglichen Kombinationen verundet und verodert.

Im pflog der Win-Firewall steht auch nichts brauchbares drin. D.h. die IP des Listening TCP-Partners (VMware) findet sich nicht im "dropped packet" log wieder.

Die Kommunikation in die andere Richtung funktioniert. Auch kann ich mittels o.g. Tools (ssft) ohne weiteres Daten von einem Host (jeweils 2k3 R2 SP2) auf einen anderen Host bei eingeschalteter Firewall (sie ist gleich konfiguriert) schicken. Das ganze geht auch von einer VM auf eine andere VM, die sich auf dem gleichen Host befindet (auch wenn dieser die Firewall eingeschaltet hat).

Ich weiß, dass die Windows Firewall in 2k3 und XP eigentlich nur incoming blockt, was mich noch viel stutziger macht.

Darum meine Frage, hat von euch jemand eine Idee, woran diese krassen TCP/IP-Performanceeinbrüche bei eingeschalterer Firewall auf dem Host herrühren könnten?

Analysen mittels Wireshark haben mich bislang auch noch nicht wirklich weiter gebracht. Ich vermute, dass u.U. ein Timingproblem beim Virtuellen Networkadapter vorliegen könnte, habe aber leider noch nichts entsprechendes gefunden.

Danke schon mal im Voraus.

Member
Beiträge: 3
Registriert: 04.11.2009, 16:15

Beitragvon loisel » 05.11.2009, 07:57

Hat keiner eine Idee, woran es liegen könnte, dass die Host-Win-Firewall den "outgoing" Traffic so massiv einschränkt? Bin für jegliche Ideen dankbar.

Member
Beiträge: 3
Registriert: 04.11.2009, 16:15

Beitragvon loisel » 06.11.2009, 07:55

Hallo ich habe nach dezidierter Analyse mit Wireshark folgendes fetsgestellt und das Problem gelöst:

Wenn man unter den Networkadapter-Einstellungen (realtek on Board RTL8168CP) den Parameter "Large Send Offload" auf disabled setzt, bildet er keine bis zu 64kbit große TCP-Pakete sondern bleibt bei den Standardwerten (1000 byte oder 9000 byte Jumboframe) pro TCP-Paket.

Und siehe da der Traffic schnackelt auch mit eingeschalteter Windoof-Hostfirewall wie gewohnt.

=> closed

Experte
Beiträge: 1188
Registriert: 08.11.2005, 13:08
Wohnort: bei Berlin

Beitragvon e-e-e » 06.11.2009, 08:15

Hallo,

da hat anscheinend jemand an der Host-FW gespielt (MTU-Größe aus "Sicherheitsgründen" verstellt). Lies Dir mal den Artikel durch: http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html#PMTUD


Zurück zu „VMware Player“

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 2 Gäste