Kerio Control 9.4.4 / Bemerkungen zu GRO

Kerio Control ist wie auch Kerio Connect eine zuverlässige und verhältnismäßig leicht zu administrierende Lösung. Im Gegensatz zu Kerio Connect läuft sie jedoch mittlerweile ausschließlich auf einem Linuxunterbau. Damit ist diese Firewalllösung unabhängig von Schwachstellen in Windows (Server) oder macOS. Allerdings muss auch hier ab und zu ein Kernel Upgrade erfolgen. Dieser Schritt wurde durch GFI mit Version 9.4 vollzogen, war aber von erheblichen Problemen begleitet. Insgesamt ist die derzeitige Version 9.4.4 stabil, performant und von wenigen nervenden Bugs geplagt.

Hier soll nicht die gesamte Release History der vergangenen zwei Jahre aufgearbeitet werden, Version 9.4 erschien am 10.5.2022, sondern es sollen einige wichtige Merkmale der Versionen bis zur aktuellen beleuchtet werden. Auch wenn sie mittlerweile so selbstverständlich scheinen, dass die Erwähnung kaum mehr erstaunen dürfte:

  • neuer Kernel (v9.4 – 9.4.2 patch1, letztere mit Fehlerbeseitigungen der 9.4.0)
  • AppManager Support (ab 9.4.3, mit diversen Bugfixes bis zur aktuellen Version)
  • UEFI-Support (führte in Version 9.4.3 zu Boot-Problemen mit älteren Geräten, mit 9.4.3 Patch 1 behoben)
  • VPN Client für macOS unterstützt die neue M1/M2-Prozessoren von Apple sowie Intel-Mac mit einem Universal Binary. Außerdem läuft der VPN-Client mittlerweile auf Netzwerkebene (und nicht mehr als Kernel Extension), so dass die Installation etwas einfacher ist.
  • IPSec IKEv2 Clientverbindungen wurden implementiert (mit Version 9.4.4)
  • GRO-Konfigurations-Optionen in der GUI.

Zu letzterem Punkt eine separate Bemerkung. GRO bedeutet Generic Receive Offload. Dahinter verbirgt sich eine Technologie, die die CPU-Belastung während der Verarbeitung des Netzwerkverkehrs reduzieren soll, indem Netzwerkpakete gebündelt werden. Sie fasst eingehende Pakete aus demselben Datenstrom zu einem größeren Einzelpaket zusammen. Dieser Prozess reduziert den Overhead, der bei der Verarbeitung jedes einzelnen Pakets entsteht, und führt zu einem verbesserten Durchsatz und einer geringeren CPU-Auslastung.

Wo ist dies nützlich? (GRO aktivieren)

GRO ist besonders vorteilhaft in Umgebungen mit hohem Durchsatz, in denen der Server mit einem erheblichen eingehenden Netzwerkverkehr konfrontiert ist. Dazu gehören:

  • Unternehmensnetzwerke mit hoher Bandbreite.
  • Rechenzentren, die einen erheblichen eingehenden Datenverkehr verwalten.
  • Webserver-Umgebungen, die zahlreiche gleichzeitige Verbindungen verarbeiten.

Wo hat GRO einen negativen Einfluss? (GRO ausschalten)

  • Netze mit geringer Bandbreite oder geringem Datenverkehr: Hier ist der Overhead der Paketaggregation möglicherweise nicht gerechtfertigt.
  • Netze, die eine Datenverarbeitung in Echtzeit erfordern: GRO kann aufgrund der Paketaggregation eine geringe Latenzzeit verursachen, was bei Echtzeitanwendungen unerwünscht sein kann.

Der letzte Punkt äußert sich in ständigen Paket-Neuübertragungen (retransmit), die zu Performanceeinbrüchen bei Kerio Control Installationen in einer VM bzw. bei Versionen 9.4.2 Patch 1 auch bei Hardwareboxen führen. Außerdem wurde von uns beobachtet, dass Websites sehr langsam bis gar nicht reagierten (z.B. www.subreport-elvis.de).

Um die GRO-Einstellung für jede Schnittstelle in Kerio Control zu ändern, geht man wie folgt vor:

  • Man rufe die Administration der Kerio Control und dort die Schnittstelleneinstellungen auf.
  • Als nächstes wechselt man zur jeweiligen Schnittstellenkonfiguration.
  • Dort klickt man auf „die“Erweitert…“
  • Hier kann man dann die GRO-Einstellungen ändern.

Danach sollte man die Netzwerkperformance und die CPU-Auslastung überwachen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert