FortiClient VPN ist eine robuste Lösung für sicheren Remote-Zugriff, doch viele Nutzer klagen über Langsamkeit: langsame Downloads, verzögerte Videokonferenzen oder stockende Webseiten. In den meisten Fällen liegt das Problem nicht an der Hardware, sondern an Konfigurationsdetails. Seit IPsec als Standard (FortiOS 7.6+) und FortiClient 7.4+ hat sich viel verbessert, aber klassische Stolpersteine bleiben. Hier die häufigsten Performance-Probleme und praxisnahe Lösungen.
1. Full-Tunneling frisst Bandbreite und Latenz
Problem: Alles Internet-Traffic (YouTube, Teams, private Mails) geht durch den Firmen-Tunnel → hohe Latenz (oft >100 ms), Bandbreitenengpässe am FortiGate, gefühlte Geschwindigkeit sinkt auf 10–20 % der lokalen Leitung.
Lösung:
- Split-Tunneling aktivieren (seit jeher empfohlen): Nur Firmen-Subnetze (z. B. 10.0.0.0/8, 192.168.x.x) durch den Tunnel routen. In FortiGate: VPN > IPsec Wizard oder CLI: set split-tunneling enable + set ipv4-split-include mit Adressgruppen.
- Inverse Split-Tunneling für Cloud-Dienste: Microsoft 365, Salesforce direkt routen (exclude-Listen in FortiClient EMS).
- Effekt: Bis zu 3–5× höhere Internet-Geschwindigkeit, weniger CPU-Last am Gateway. Tests zeigen: 500 Mbit/s lokal → 400+ Mbit/s mit Split vs. 50 Mbit/s Full-Tunnel.
2. MTU- und Fragmentierungsprobleme
Problem: Pakete > Path-MTU (oft 1400–1420 Byte bei IPsec-Overhead) werden fragmentiert oder gedroppt → TCP-Retransmits, extrem langsame Transfers (z. B. Datei-Uploads stocken bei 1–2 MByte/s).
Lösung:
- MTU anpassen: Tunnel-Interface auf 1400 setzen (FortiGate CLI: config vpn ipsec phase1-interface → set interface-mtu 1400 oder FortiClient EMS-Profil: Advanced > MTU 1400).
- TCP MSS Clamping aktivieren: config system interface → set tcp-mss-sender 1350 / set tcp-mss-receiver 1350 – verhindert große TCP-Pakete.
- PMTUD testen: Mit ping -f -l 1472 vpn-server-ip Path-MTU ermitteln und anpassen.
- Häufig bei PPPoE (DSL/Fibre): MTU 1492 → Tunnel-MTU 1400–1420 ideal.
3. DTLS nicht verhandelt (bei Legacy-SSL oder Übergang)
Problem: SSL-VPN (älter) ohne DTLS (UDP) läuft nur über TCP → TCP-over-TCP-Meltdown bei Packet-Loss → Durchsatz kollabiert.
Lösung:
- Zu IPsec migrieren (Standard seit 7.6.3): Besserer Overhead, IKEv2 + TCP-Transport (Port 443) für Firewall-Freundlichkeit.
- Falls SSL noch genutzt: DTLS aktivieren (VPN > SSL-VPN Settings > Enable DTLS), UDP-Ports freigeben (10443 oder custom).
- Effekt: Bis zu 50 % mehr Throughput bei mobilen Verbindungen.
4. Hohe Latenz durch Always-On / Auto-Connect in schlechten Netzen
Problem: Always-On reconnectet ständig in schwachen WLANs/Mobilfunk → hohe CPU-Last, Flattern, Traffic-Drops.
Lösung:
- On-Fabric Detection nutzen: VPN nur außerhalb Firmennetz (defined via EMS oder IP-Ranges) aktivieren.
- DPD (Dead Peer Detection) optimieren: Kurze Intervalle (z. B. 10s) für schnelle Erkennung, aber nicht zu aggressiv (vermeidet unnötige Rekeys).
- Fallback-Gateways konfigurieren: Mehrere FortiGate-IPs/FQDNs → automatischer Switch bei Ausfall.
5. Weitere häufige Fallen und schnelle Fixes
- Web-Filter / AV-Extension im Browser: Deaktivieren (FortiClient > Settings > Disable Web Filter Extension) – löst oft „langsame Webseiten“.
- IPv6-Konflikte: IPv6 deaktivieren (Windows/macOS), wenn nicht benötigt – vermeidet Routing-Probleme.
- FortiClient GUI / EMS-Telemetry belastet: Neueste Version (7.4.5+) nutzen; bei macOS IPv6 abschalten.
- CPU/Queue-Overload am FortiGate: NPU-Offloading prüfen (NP7-Modelle), Verschlüsselung auf AES-256-GCM reduzieren (schneller als CBC).
- Diagnose-Tools: diagnose debug flow filter addr <user-ip> + diagnose debug enable – zeigt Drops; get vpn ipsec tunnel details für Stats.
Fazit: Meistens Konfiguration statt Hardware
Die Top-3-Fixer (Split-Tunneling + MTU-Anpassung + IPsec-Migration) lösen 80 % der „VPN ist langsam“-Tickets. Testen Sie Änderungen schrittweise (z. B. per EMS-Gruppen), messen Sie mit Speedtest vor/nach. In modernen Setups (2026) mit IPsec, Split und ZTNA läuft FortiClient VPN oft flüssiger als die lokale Leitung – Nutzer beschweren sich selten.
Wenn Tickets bleiben: Logs prüfen (FortiClient VPN > Logging) und FortiAnalyzer / FortiGate-Diagnose nutzen. Die meisten Probleme sind in 15–30 Minuten behoben – und die Zufriedenheit steigt enorm.