Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Cisco ASA 5506-X Performance Problem

Mitglied: georgkupfer

georgkupfer (Level 1) - Jetzt verbinden

08.05.2019 um 08:37 Uhr, 379 Aufrufe, 19 Kommentare

ich habe hier eine völlig jungfreuliche Cisco ASA 5506 X Firewall mit Firepower.

Derzeit laufen noch keine weitere Services, nur WAN und LAN Port WAN Port auf DHCP LAN Port mit statischer IP Adresse.
Grundsätzlich haben wir eine Anbindung vom ISP mit 100 Mbit/s Download und 40 Mbit/s Upload.
Der Upload Traffic ist soweit OK, hier kommen die vollen 40 Mbit/s an.
Allerdings der Download Traffic macht Probleme hier kommen NUR 2,8 Mbit/s durch.

Hat jemand eine Idee?
Softwareversion ASA 9.8
Mitglied: Lochkartenstanzer
08.05.2019 um 08:48 Uhr
Zitat von georgkupfer:

Allerdings der Download Traffic macht Probleme hier kommen NUR 2,8 Mbit/s durch.


Moin,

Wie hsdt Du das gemessen?

lks
Bitte warten ..
Mitglied: georgkupfer
08.05.2019 um 08:55 Uhr
mit netztest.at

einer Seite der Telekomregulierungsbehörde
Bitte warten ..
Mitglied: TripleDouble
08.05.2019 um 09:42 Uhr
Hallo,

ich hatte das mal, weil der Handshake mit dem Router nicht funktionierte. Auf dem Telekom-Router und auf dem Outside-Interface der ASA wurde das dann fest eingetragen (z. B. speed 100, duplex full). Danach war Ruhe.

Gruß - TD
Bitte warten ..
Mitglied: georgkupfer
08.05.2019 um 15:35 Uhr
sollte ich laut ISP deditziert nicht machen!
DHCP sonst nix obwohl statische IP
Bitte warten ..
Mitglied: chgorges
08.05.2019 um 15:38 Uhr
Zitat von georgkupfer:

sollte ich laut ISP deditziert nicht machen!
DHCP sonst nix obwohl statische IP

Hi,

TripleDouble hat dir was völlig anderes, als DHCP oder Static IP gesagt, das hast du gelesen?

Evtl. rückst du dann auch mal mit ein paar mehr Infos raus, deine ASA Konfig, welcher ISP das ist, welcher Router vor der ASA noch steht, etc.
Bitte warten ..
Mitglied: georgkupfer
08.05.2019 um 17:21 Uhr
Gerne der ISP ist Magenta Telekom (seit gestern davor UPC) (Austria) davor steht ein Cablemodem Cisco fungiert in unserem Fall als Bridge, da 8 weitere öffentliche IP-Adressen aufgeschaltet sind.

Ich meine eh auto auto kein half oder full Duplex.

am WAN Port
ip address dhcp setroute

nat (inside,outside) after-auto source dynamic any interface
Bitte warten ..
Mitglied: aqui
08.05.2019 um 17:48 Uhr
Ich meine eh auto auto kein half oder full Duplex.
Könnte aber ein Autonegotiation Problem sein und damit ein Duplex Mismatch. Das äußert sich dann sehr häufig so.
Das kannst du an der ASA aber sehen wenn du dir das Interface mal mit show int ansiehst. Wenn dort die Error und Collision Counter ungewöhnlich hoch gehen ist das das Problem.
Dann fehlen nur statische Port Definitionen oder testweise mal ein Switch dazwischen.
Alternativ statt ASA mal einen Rechner direkt an das Modem anschliessen und ganz ohne ASA nochmal die Geschwindigkeit messen.
Ist die dann immer noch so niedrig ist sehr wahrscheinlich die Leitung falsch eingerichtet.
Ist sie so wie sie sein soll ist die ASA oder die Autonegotiation das Problem.
Bitte warten ..
Mitglied: georgkupfer
08.05.2019 um 18:02 Uhr
Nein ohne Firewall ist die Performance ok.

bis auf 1~2 Mbit/s auf oder ab das ist aber die übliche Schwankungsbreite
Bitte warten ..
Mitglied: aqui
08.05.2019 um 18:04 Uhr
Dann Autonegotiation ! Sofern wir davon ausgehen können das die ASA nicht falsch konfiguriert ist ?! Das kann man aber ohne Konfig freilich nur raten...
Bitte warten ..
Mitglied: georgkupfer
08.05.2019, aktualisiert um 20:44 Uhr
show int bringt weder bei Outside noch bei inside 0 collisions zu tage also daran kanns ned liegen.

Hier die aktuelle running-config:

Hardware: ASA5506, 4096 MB RAM, CPU Atom C2000 series 1250 MHz, 1 CPU (4 cores)
01.
ASA Version 9.8(2) 
02.
!
03.
hostname #####
04.
domain-name #########
05.
enable password #################
06.
multicast-routing
07.
names
08.

09.
!
10.
interface GigabitEthernet1/1
11.
 description WAN
12.
 nameif outside
13.
 security-level 0
14.
 ip address dhcp setroute 
15.
!
16.
interface GigabitEthernet1/2
17.
 description LAN
18.
 nameif inside
19.
 security-level 100
20.
 ip address 192.168.10.254 255.255.255.0 
21.
!
22.
interface GigabitEthernet1/3
23.
 shutdown
24.
 no nameif
25.
 no security-level
26.
 no ip address
27.
!
28.
interface GigabitEthernet1/4
29.
 shutdown
30.
 no nameif
31.
 no security-level
32.
 no ip address
33.
!
34.
interface GigabitEthernet1/5
35.
 shutdown
36.
 no nameif
37.
 no security-level
38.
 no ip address
39.
!
40.
interface GigabitEthernet1/6
41.
 shutdown
42.
 no nameif
43.
 no security-level
44.
 no ip address
45.
!
46.
interface GigabitEthernet1/7
47.
 shutdown
48.
 no nameif
49.
 no security-level
50.
 no ip address
51.
!
52.
interface GigabitEthernet1/8
53.
 shutdown
54.
 no nameif
55.
 no security-level
56.
 no ip address
57.
!
58.
interface Management1/1
59.
 management-only
60.
 shutdown
61.
 no nameif
62.
 no security-level
63.
 no ip address
64.
!
65.
ftp mode passive
66.
dns domain-lookup outside
67.
dns domain-lookup inside
68.
dns server-group DefaultDNS
69.
 name-server 192.168.10.10 inside
70.
 name-server 195.58.160.194 outside
71.
 name-server 195.58.161.122 outside
72.
 domain-name edv-solutions.org
73.
pager lines 24
74.
logging enable
75.
logging asdm informational
76.
mtu outside 1500
77.
mtu inside 1500
78.
icmp unreachable rate-limit 1 burst-size 1
79.
no asdm history enable
80.
arp timeout 14400
81.
no arp permit-nonconnected
82.
arp rate-limit 16384
83.
!
84.
nat (inside,outside) after-auto source dynamic any interface
85.
timeout xlate 3:00:00
86.
timeout pat-xlate 0:00:30
87.
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02
88.
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
89.
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
90.
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
91.
timeout tcp-proxy-reassembly 0:01:00
92.
timeout floating-conn 0:00:00
93.
timeout conn-holddown 0:00:15
94.
timeout igp stale-route 0:01:10
95.
user-identity default-domain LOCAL
96.
aaa authentication login-history
97.
http server enable
98.
http 192.168.10.0 255.255.255.0 inside
99.
no snmp-server location
100.
no snmp-server contact
101.
service sw-reset-button
102.
crypto ipsec security-association pmtu-aging infinite
103.
crypto ca trustpoint ASDM_Launcher_Access_TrustPoint_0
104.
 enrollment self
105.
 fqdn none
106.
 subject-name CN=192.168.10.254,CN=atwncis01
107.
 keypair ASDM_LAUNCHER
108.
 crl configure
109.
crypto ca trustpool policy
110.
crypto ca certificate chain ASDM_Launcher_Access_TrustPoint_0
111.
 certificate 6106d35c
112.
    308202d6 308201be a0030201 02020461 06d35c30 0d06092a 864886f7 0d01010b 
113.
    0500302d 31123010 06035504 03130961 74776e63 69733031 31173015 06035504 
114.
    03130e31 39322e31 36382e31 302e3235 34301e17 0d313930 35303831 37343630 
115.
    345a170d 32393035 30353137 34363034 5a302d31 12301006 03550403 13096174 
116.
    776e6369 73303131 17301506 03550403 130e3139 322e3136 382e3130 2e323534 
117.
    30820122 300d0609 2a864886 f70d0101 01050003 82010f00 3082010a 02820101 
118.
    008910d2 68b349c3 1ac9113c d0ff7362 f92c8d02 c1213273 157bd931 80946549 
119.
    c367a0ca 3a8fda38 719d9e3c 1feab262 829bcfdc 1e944a80 64a2e424 69a4b519 
120.
    bb16dcf6 e2083846 0ceee9d9 063c2b87 dd7c909a 76254356 bd591a82 cfa92030 
121.
    84859cc8 dfc68cca 4634a090 81ca2956 a28019e0 1b054fe7 3ca3a2d1 5a47ca92 
122.
    23dab23c 963c170a 2e208b88 f5fcb877 8f8ecfcf 83eecc7f 12a21d0f 8e0cf771 
123.
    4f68f669 bcd575ef e7b8e6d6 3a08de27 4d57d110 10cce9dd 04244a92 0ed6f124 
124.
    fbc7848a 4b4b75ce b7099590 f2c12f80 88fb72bc 44aab226 c2416c20 b50aca59 
125.
    986d8769 b37db8a0 e2f570b3 3db110b5 eb8bf7b5 35c200ae 41b4b22b 60c189c9 
126.
    cd020301 0001300d 06092a86 4886f70d 01010b05 00038201 010083eb 9de69243 
127.
    1e90237f 21de5afb 2258de1a 90d49225 2775cf98 01b768d9 0a37ff0c 596449d8 
128.
    3b2d7312 fd32e899 98ebb43b 59122114 bb33cffd 5b5d3592 490b478f 90723cd0 
129.
    88308114 58a3b79d 42dfbcba 3a41fc52 052ca2e8 7d1f7ba1 4dd1e405 a1e53305 
130.
    32b1f277 fd33330d 327fcab6 d0c03ef5 a17e0e59 0dc5e22b 7097d14f 69944572 
131.
    3c1751a8 cafd2017 7eda2195 9b0b880c 07b935be 9de3d964 0654a20a 1b1e73d7 
132.
    f97eabe4 76663558 10883b06 7d4d0695 1d2ba38f 01254b8f 0aeb1c8a a8d15af8 
133.
    ca500de0 5ed33707 b74c90e6 9eb5a773 c6557806 125d7b96 05f2b1d8 e385cdec 
134.
    7e102c4e 9be1e319 cf12473d f3a6c73d 72246de8 fe16aa6c e78d
135.
  quit
136.
telnet timeout 5
137.
ssh stricthostkeycheck
138.
ssh timeout 5
139.
ssh key-exchange group dh-group1-sha1
140.
console timeout 0
141.

142.
threat-detection basic-threat
143.
threat-detection statistics access-list
144.
no threat-detection statistics tcp-intercept
145.
ssl trust-point ASDM_Launcher_Access_TrustPoint_0 inside
146.
ssl trust-point ASDM_Launcher_Access_TrustPoint_0 inside vpnlb-ip
147.
dynamic-access-policy-record DfltAccessPolicy
148.
!
149.
!
150.
prompt hostname context 
151.
no call-home reporting anonymous
152.
call-home
153.
 profile CiscoTAC-1
154.
  no active
155.
  destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
156.
  destination address email callhome@cisco.com
157.
  destination transport-method http
158.
  subscribe-to-alert-group diagnostic
159.
  subscribe-to-alert-group environment
160.
  subscribe-to-alert-group inventory periodic monthly
161.
  subscribe-to-alert-group configuration periodic monthly
162.
  subscribe-to-alert-group telemetry periodic daily
163.
Cryptochecksum:7df08df1efaebecd2ee34e9933048474
Bitte warten ..
Mitglied: TripleDouble
09.05.2019 um 08:39 Uhr
Zitat von georgkupfer:

show int bringt weder bei Outside noch bei inside 0 collisions zu tage also daran kanns ned liegen.


Also sind da Collisions auf dem Outside-Interface, oder habe ich den Satz falsch verstanden? Da sollten keine sein. Falls doch: s. o. (speed, duplex)

Gruß - TD
Bitte warten ..
Mitglied: georgkupfer
09.05.2019 um 09:01 Uhr
Nein Du hast richtig verstanden es sind keine Collisions weder auf inside noch auf outside!
Bitte warten ..
Mitglied: aqui
09.05.2019, aktualisiert um 12:16 Uhr
Dann scheidet Autonegotiation auch aus. Letzte Gewissheit gibt dann ein Wireshark Trace im am Inside und Outside obs dort irgendwelche Retransmissions oder Fragmentierungsprobleme gibt.
Fragmentierung durch falsche MTU bzw. MSS Einstellungen könnte noch sein wenn sich hinter der ASA noch ein Modem befindet was xDSL macht mit PPPoE. Siehe auch hier:
https://www.cisco.com/c/en/us/support/docs/long-reach-ethernet-lre-digit ...
Versteht man den TO aber richtig ist das ein TV Kabelmodem wo es eigentlich keinerlei MTU Einschränkungen gibt weil es hier keine Encapsulierungen wie z.B. bei PPPoE gibt.
Auf die MTU bzw. MSS Konfig am LAN sollte man aber nochmal ein Auge werfen. Die kann in Fragmentierung resultieren, was dann massive Performance Einbußen nach sich zieht.

Ist es das auch nicht bleibt dann fast nur ein Hardware Defekt oder ein Software Bug. 2,8 Mbit/s schafft ja sogar ein Raspberry Pi mit links, ein Performance Problem der HW kanns also auch nicht sein.
Ist das neueste Image auf die ASA geflasht ?
Bitte warten ..
Mitglied: georgkupfer
09.05.2019 um 13:09 Uhr
Software 9.8 drauf wie oben schon steht!

Zu einer neueren SW habe ich keinen Zugriff, dazu braucht man eine Contract ID. Welche wir nicht haben.
Bitte warten ..
Mitglied: TripleDouble
09.05.2019, aktualisiert um 13:52 Uhr
Die aktuelle Version ist 9.8(4). Die schließt auch diese Sicherheitslücke:
Jetzt patchen Cisco schließt Lücken in zahlreichen Produkten
Von daher ist dringend anzuraten, sich die Firmware von Cisco zu besorgen. Ein Jahr Support ist ja wohl mitbestellt worden, oder(wegen "jungfräuliche ASA")?

EDIT: Url korrigiert.
Bitte warten ..
Mitglied: aqui
09.05.2019, aktualisiert um 13:45 Uhr
Auch ohne bekommt man sowas dann immer über die gesetzliche Garantie, da solche Lücken rechtlich einen gravierenden Mangel darstellen.
Ob der Fix dann aber das 2,8 MB/s Problem lösen wird...?!?
Bitte warten ..
Mitglied: georgkupfer
09.05.2019 um 14:58 Uhr
Hat sich mittlerweile erledigt, ich habe die Firewall komplett resetet und die Ports neu konfiguriert.
Nun haben 3 Messungen von unterschiedlichen Clients die volle Performance gezeigt.
Ich werde das nun bis morgen mal so lassen, und beobachten.
Morgen mach ich s dann dicht!

Danke an Alle mitwirkenden in der Runde, für die zahlreichen Inputs
Bitte warten ..
Mitglied: aqui
10.05.2019 um 19:23 Uhr
Reboot tut gut !!!
Gilt zwar eigentlich nur für Winblows aber wie du siehst hilft es auch manchmal bei Cisco !
Bitte warten ..
Ähnliche Inhalte
Firewall

CISCO ASA 5506-x hinter einem Speedlink 5501 - VDSL Business

Frage von Stadtaffe84Firewall4 Kommentare

Hallo Zusammen, bei einem Kunden ist an einem 100MBit VDSL-Anschluss ein Zyxcel Speedlink 5501 als Router im Einsatz. Der ...

Router & Routing

Static Routing ASA 5506

Frage von MeinSenfDazuRouter & Routing2 Kommentare

Hallo zusammen, ich habe hier ein kleines Problem mit dem Static Routing in unterschiedliche Netze mit der ASA. Das ...

Router & Routing

PPPoE Probleme mit Cisco ASA 5508-X

gelöst Frage von niLuxxRouter & Routing16 Kommentare

Liebe Community, Ich habe derzeit ein paar Probleme mit einer PPPoE Konfiguration und hoffe, dass mir jemand von euch ...

Router & Routing

Cisco Asa VPN Fragen

Frage von brooksRouter & Routing3 Kommentare

Hallo, ich habe hier mal eine Frage , vielleicht kann mir ja der ein oder andere helfen. Es geht ...

Neue Wissensbeiträge
Outlook & Mail

Outlook 2016 stürzt ab, wenn man ein (at)- Zeichen im Text einer neuen E-Mail schreibt

Tipp von Enriqe vor 8 StundenOutlook & Mail4 Kommentare

Bei uns in der Firma häuften sich die Fälle, bei denen sich Outlook kommentarlos verabschiedet, wenn man ein - ...

Google Android

Google sperrt Android-Updates und den Play Store für Huawei

Information von Deepsys vor 1 TagGoogle Android8 Kommentare

Das finde ich schon ein starkes Stück, Trump der Welt Diktator. So kann man mit einem Dekret mal eben ...

Windows 7

Südkoreas Regierung setzt auf Linux, um Windows 7 Clients abzulösen

Information von kgborn vor 1 TagWindows 74 Kommentare

Kleiner Infosplitter zum Wochenanfang: Während München (LiMux) und die niedersächsische Finanzverwaltung von Linux auf einen Windows 10-Client (und Office) ...

Internet
Big Brother is Watching You
Information von transocean vor 2 TagenInternet1 Kommentar

Moin, die Datenkrake Google fischt Informationen über Einkäufe ab, die GMail Nutzer im Netz tätigen. Gruß Uwe

Heiß diskutierte Inhalte
Windows Server
Passwortänderung an RODC möglich?
Frage von DexthaWindows Server23 Kommentare

Hallo, ich habe einen RODC, auf welchen ich über ldaps (Web-Seite mit php7) Passwortänderungen durchführen möchte. Ist das grundsätzlich ...

Windows 10
Windows am MAC
Frage von LeeX01Windows 1018 Kommentare

Guten Abend zusammen, ich habe gerade ein Macbook Pro vor mir welches ich mit einem Windows 10 to go ...

Windows Server
RDP als Citrix Alternative
gelöst Frage von samreinWindows Server15 Kommentare

Hallo zusammen, ich bin neu hier und das ist mein erster Beitrag. Ich bin Einzeladmin und wir setzen bei ...

Batch & Shell
Powershell Datum der zuletzt eingespielten Patche bei remote Servern ermitteln
Frage von bensonhedgesBatch & Shell14 Kommentare

Hallo, ich möchte gerne anhand einer Serverliste (bsp. computers.txt) via PS ermitteln, wann derjeweilige Server zuletzt gepatcht wurde (Liste ...