为什么有些 VPN 客户端即使不使用也会降低网络连接速度?

为什么有些 VPN 客户端即使不使用也会降低网络连接速度?

我是一名 IT 顾问,为了连接到客户的网络,我经常需要在计算机上安装各种 VPN 客户端;从 2020 年 3 月开始,出于众所周知的原因,我开始一直在家工作。

直到几个月前,我才拥有一个 100 Mb/s 的 ADSL 互联网连接,因此我从未注意到我接下来描述的内容;然后我将我的连接升级到 FTTH 1Gb/s 连接,通常可实现 800-900 MB/s 的下载速度和 100 Mb/s 的上传速度。

但是,当我安装一些 VPN 客户端(即 FortiClient 和 ForcePoint)时,发生了一些奇怪的事情:我的下载速度被限制在 400 MB/s 左右,即使没有建立 VPN 连接,即使我终止所有与 VPN 相关的进程并停止所有相关服务;即使没有使用 VPN 客户端软件,甚至没有为其运行任何进程,我的网络连接仍然会变得非常慢;解决这个问题的唯一方法是彻底卸载 VPN 客户端软件。

起初我只在使用 ForcePoint 时遇到了这个问题,但后来在使用 FortiClient 时我又遇到了这个问题;使用其他 VPN 客户端(例如 Cisco AnyConnect 或 CheckPoint)时没有出现任何问题。

为什么会发生这种情况?如何如果软件已安装但实际上并未使用,是否会发生这种情况?

操作系统是 Windows 10 21H1 x64,具有最新更新。


附录。

这不是我电脑上的个别案例,我在几台不同的电脑上都发现过这种情况,而且使用我提到的软件的其他人也报告过这种情况;这似乎是与安装那些特定的 VPN 客户端包有关的问题,只有当你有快速的互联网连接时才会注意到(网速减慢似乎会限制在 400 Mb/s 左右,如果你的连接速度一开始就比较慢,你甚至不会注意到这一点),而且这种情况会在安装软件后立即发生,无论其实际使用情况如何;唯一的解决办法是卸载有问题的软件。

更新

看起来该问题是由在安装过程中安装的网络过滤驱动程序引起的,并且绑定到系统中的所有网络适配器,包括与您正在安装的 VPN 客户端完全没有任何关系的物理网卡和其他虚拟适配器。

具体来说:

  • ForcePoint 安装ForcePoint VPN Client Driver并将其绑定到系统中的所有网络适配器。
  • FortiClient 安装FortiClient NDIS 6.3 Packet Filter Driver并将其绑定到系统中的所有网络适配器。

如果将这些驱动程序与 NIC 解除绑定,问题就会消失,并且连接速度将恢复正常。

其他 VPN 客户端(Cisco、CheckPoint)不会做这样的事情,也不会造成这种速度减慢。

现在的问题是:这些驱动程序是否可以安全地与真实 NIC 解除绑定,而不会影响 VPN 客户端操作,还是必须使用它们?
这在某处有记录吗?

答案1

我可以通过实证测试确认这些 VPN 客户端安装了网络驱动程序,该驱动程序会在每个网络接口上自动启用。

在 NIC 属性中禁用此驱动程序(在与该特定 VPN 无关的 NIC 上)可解决该问题,并且 VPN 客户端仍然可以工作。

我不会对此进行逆向工程,但至少这可以摆脱那个可怕的速度上限,而不需要每次都卸载 VPN 软件。

答案2

遇到了同样的问题...为了方便启用/禁用 FortiClient NDIS 数据包过滤器驱动程序,我创建了两个 Powershell 命令:

使能够:

powershell -Command "Enable-NetAdapterBinding -Name Ethernet -ComponentID ft_fortifilter"

禁用:

powershell -Command "Disable-NetAdapterBinding -Name Ethernet -ComponentID ft_fortifilter"

您必须将名称参数更改为以太网适配器的名称或将其重命名为“以太网”。

将每个命令保存在.bat 文件中并以管理员身份打开。

答案3

抱歉,这些只是猜测:

  1. 连接到网络适配器的驱动程序可能有错误,或者配置为即使在禁用状态下也会导致流量放大或过度碎片化:

    使用 PowerShell 调出完整列表Get-NetAdapterBinding,并在各个适配器设置中检查哪些设备启用了哪些绑定。禁用通常不使用的网络适配器,并单独禁用特定适配器上不需要的绑定(VPN 软件 A 很有可能可以并且确实正确处理没有挂载VPN软件B的虚拟网卡的情况)。

  2. RSC 或 MTU 配置存在严重错误:

    通过 PowerShell 调出适配器选项列表get-netadapter | Format-list -property "*",并比较启用特定软件驱动程序后是否有任何选项发生更改。降低 MTU 设置是一种远非优雅但易于测试和恢复的方法,可以解决各种错误和不兼容的配置。

  3. 你的物理 NIC 驱动程序有问题。它们都是这样的,所以至少要升级它以消除旧错误。

答案4

问题在于 Citrix 的 DNE 轻量级过滤器。您可以禁用它,但这样您的 vpn 连接将无法工作。我不知道 citrix 做了什么,但他们的驱动程序要么占用了您的互联网带宽,要么以某种方式减少了您的互联网带宽。

有一些针对 wifi 连接的解决方案,但是没有针对以太网的解决方案。

相关内容