Zugriff aufs interne NAS via SMB sehr langsam - per FTP aber sehr flott?

[Balloni]

Ich habe eine ext. HDD (4TB / ext2 / USB3) am hinteren USB meiner FB7590 als NAS.
Wenn ich über SMB2/3 zugreife, ist Schreiben + Lesen mit max. 3Mb/s sehr lahm. Per FTP habe ich die ca. 10-fache Geschwindigkeit, mutmaßlich also das technisch Mögliche. Anbindung per LAN am Win10 PC.
Warum ist der Zugriff per SMB so langsam?

 

[PeterPawn]

Ich rate mal, daß da die (optionale) Verschlüsselung für SMB-Verbindungen aktiviert ist und genutzt wird. Dafür ist aber das verwendete SoC zu schwach - irgendwo hier hatte ich das mal gemessen/verglichen … damals, als AVM auf den zugekauften SMB-Server umgestellt hat.

Ich habe es wiedergefunden: https://www.ip-phone-forum.de/threa...-os-der-labor-reihe-07-19.305167/post-2351429 - wie groß der Einfluss der Verschlüsselung heute noch ist (immerhin 6 Jahre später und mittlerweile wird ja bei den GRX-Prozessoren auch die Krypto-Hardware genutzt), müßte man ggf. neu ermitteln - mit passenden Linux-Kommandos ja leicht zu realisieren.

 

[Balloni]

Könnte man die SMB-Verschlüsselung deaktivieren, wenn sie doch "optional" ist? Ggf. über die export-Datei?

 

[PeterPawn]

Erst messen bzw. die Hypothese überprüfen und DANN überlegen, ob/wie man die Verschlüsselung bei SMB3 deaktivieren könnte.

Ich kenne jedenfalls keine Möglichkeit, die Verschlüsselung beim nqcs per Konfigurationsoption in der Sicherungsdatei zu deaktivieren - wenn sie überhaupt das Problem hier ist.

 

[Balloni]

Ich habe jetzt mal auf dem PC SMB2(+3) deaktiviert und SMB1 wieder aktiviert! In der FB7590 ebenfalls SMB1 erlaubt.
Der Zugriff rennt wie blöd - sogar fast noch schneller als per FTP.
Ob ein reales Sicherheitsrisiko wg. SMB1 bestehen könnte, denke ich demnächst nochmal nach. Mein internes Netzwerk ist überschaubar und auch mit SMB1 sicher - denke ich.

 

[GNUMAS]

Kurze Anfrage bitte dazu. Wie hast du bitte SMB2 und 3 deaktiviert?

 

[Balloni]

Update:
- Ich habe am PC (win10) und an der FB SMB1 wieder deaktiviert.
- Am PC SMB2/3 wieder aktiviert und nur die Verschlüsselung ausgeschaltet!
- via powershell (als admin):

Get-SmbServerConfiguration​

Set-SmbServerConfiguration -EnableSMB1Protocol $false​

Set-SmbServerConfiguration -EnableSMB2Protocol $true​

Set-SmbServerConfiguration -EncryptData $False​

Get-SmbServerConfiguration (zur Kontrolle)​

- Neustart PC
Dann wird ausgehend vom PC SMB nicht mehr verschlüsselt, was die CPU der FB offenbar deutlich entlastet.
Eingehen am PC werden aber nur SMB verschlüsselt akzeptiert. Wer das nicht möchte, muß
RejectUnencryptedAccess noch auf $false setzten!

 

[GNUMAS]

Leider unter Windows 11 kein Erfolg. Die Geschwindigkeit bleibt langsam. Nur via ftp über 100mb drin

 

[Balloni]

...unter Windows 11 kein Erfolg.

Ich kann es nicht prüfen, weil ich keine Win11-Maschine hier habe. Aber es sollte da genau so funktionieren!
Was zeigt Get-SmbServerConfiguration nach dem Neustart des PC bzw. 'Restart-Service -Name "LanmanServer"'?

 

[GNUMAS]

Habe alles ausgetestet jetzt

Set-SmbServerConfiguration -EncryptData $False und RejectUnencryptedAccess mit SMB1 und 2. Immer mit einen neustart und nachdem Neustart zeigt mit Get-SmbServerConfiguration Beides Deaktiviert und einmal SMB1 oder 2 an. Trotzdem in beide Richtungen nur höchstens 11 mb.

Netzlaufwerk nutze ich dafür zum testen bei Windows 11

Spoiler: SMB

AnnounceComment :
AnnounceServer : False
AsynchronousCredits : 64
AuditClientCertificateAccess : False
AuditClientDoesNotSupportEncryption : False
AuditClientDoesNotSupportSigning : False
AuditInsecureGuestLogon : False
AuditSmb1Access : False
AutoDisconnectTimeoutInMinutesV1 : 15
AutoDisconnectTimeoutInSecondsV2 : 900
AutoShareServer : True
AutoShareWorkstation : True
CachedOpenLimit : 10
DisableCompression : False
DisableSmbEncryptionOnSecureConnection : True
DurableHandleV2TimeoutInSeconds : 180
EnableAuthenticateUserSharing : False
EnableAuthRateLimiter : True
EnableDirectoryHandleLeasing : True
EnableDownlevelTimewarp : False
EnableForcedLogoff : True
EnableLeasing : True
EnableMailslots : False
EnableMultiChannel : True
EnableOplocks : True
EnableSecuritySignature : False
EnableSMB1Protocol : True
EnableSMB2Protocol : False
EnableSMBQUIC : True
EnableStrictNameChecking : True
EncryptData : False
EncryptionCiphers : AES_128_GCM, AES_128_CCM, AES_256_GCM, AES_256_CCM
InvalidAuthenticationDelayTimeInMs : 2000
IrpStackSize : 15
KeepAliveTime : 2
MaxChannelPerSession : 32
MaxMpxCount : 50
MaxSessionPerConnection : 16384
MaxThreadsPerQueue : 20
MaxWorkItems : 1
NullSessionPipes :
NullSessionShares :
OplockBreakWait : 35
PendingClientTimeoutInSeconds : 120
RejectUnencryptedAccess : False
RequestCompression : False
RequireSecuritySignature : False
RestrictNamedpipeAccessViaQuic : True
ServerHidden : True
Smb2CreditsMax : 2048
Smb2CreditsMin : 128
Smb2DialectMax : None
Smb2DialectMin : None
SmbServerNameHardeningLevel : 0
TreatHostAsStableStorage : False
ValidateAliasNotCircular : True
ValidateShareScope : True
ValidateShareScopeNotAliased : True
ValidateTargetName : True

 

[stoney]

Vergleicht ihr auch beide das selbe FRITZ!Box Modell mit selben Firmware-Stand?

Falls nicht, wäre es ein Test wert, die Hardware-Beschleunigung testweise zu deaktivieren > http://fritz.box/support.lua (Layer2 kann im Normalfall an bleiben, aber auch hier etwas zu spielen kann nicht schaden).

 

[GNUMAS]

5690 , Hardware Beschleunigung ist aus weil ich sonst nicht volle Download Glasfiber Speed (1000 AON) bekomme. Habe es schon Fritz gemeldet

 

[stoney]

5690 oder die Pro und welcher Firmware-Stand (dem TE geht's ja um eine 7590, ob AX oder nicht wurde noch nicht erfragt/erwähnt)?

 

[GNUMAS]

5690 mit neuster inhaus

Sollte das nicht egal sein? Man fummelt doch bei Windows rum und nicht bei der Box

 

[Balloni]

EnableSMB1Protocol : True
EnableSMB2Protocol : False
...
EncryptData : False

Damit wäre ja nur SMB1 aktiv. K.A. wie schnell das unter Win11 ist!

 

[GNUMAS]

Wie geschrieben. Beides getestet. Das war nur ein Abbild mit smb1.

Einmal das eine an einmal das andere wie geschrieben