lordxearo
Goto Top

Sophos Firewall - OpenVPN Verbindung langsam oder limitiert ?!

Hallo Zusammen,


wir haben Probleme mit unserer SSL bzw. OpenVPN Anbindung. Und zwar scheinen alle unserer Clients nur einen maximalen durchsatz von maximal ~2MB/s (~10Mbit/s) zu bekommen. Ich konnte das auf mindestens zwei Clients verifizieren. Zu dem Problem konnte ich zwar 3-4 Threads finden, in dem sich auch andere Leute mit dem gleichen Problem geäußert haben, nur leider ist mir bisher nie eine Lösung untergekommen.

Wir haben zwei SG230 im Einsatz und eine 100Mbit/100Mbit anbindung.

Version: 9.601-5

OpenVPN ist mit Port 443, Compression aktiviert, AES-256-CBC, SHA2 256, 2048bit und Port TCP eingerichtet. Ein ändern der Verschlüsselung oder des Protokolls ist leider kaum möglich, da wir viele Mitarbeiter extern haben und diese dann die neue Konfiguration erstmal benötigen würden.

Die Clients die ich getestet habe waren einmal mit VDSL (~40Mbit/s Download) und Kabel (~60Mbit/s Down) angebunden. An dem Client mit VDSL habe ich eine andere OpenVPN verbindungen getestet an einer pfsense und hatte dort einen durchsatz von ca. 4MB/s.

Die Datenraten habe ich sowohl mit smb als auch mit https erhalten.

An der Sophos habe ich bereits alles zu testzwecken deaktiviert (IPS /Advanced Threa Protection).

QoS Regel sind keine aktiviert.

In den Logs konnte ich nichts verdächtiges finden.

Clientseitig hatte ich noch mit der MTU in der OpenVPN Config gespielt, hat aber nichts gebracht.


Es würde mich freuen wenn mich jemand unterstützen könnte oder sogar eine Lösung für das Problem parat hat.


Gruß

Ps. Die Frage habe ich auch im Sophos Forum gestellt:
https://community.sophos.com/products/unified-threat-management/f/german ...

Content-ID: 425366

Url: https://administrator.de/forum/sophos-firewall-openvpn-verbindung-langsam-oder-limitiert-425366.html

Ausgedruckt am: 22.12.2024 um 06:12 Uhr

Pjordorf
Pjordorf 06.03.2019 um 19:51:10 Uhr
Goto Top
Hallo,

Zitat von @LordXearo:
Es würde mich freuen wenn mich jemand unterstützen könnte oder sogar eine Lösung für das Problem parat hat.
Mal mit einen Wirshark geschaut ob es auffälligkeiten gibt? Und warum sollte eine Sophos Hardware deine Leitungen verlangsamen? Mal mit ein NetIO geschaut was über deine Leitungen gehen kann?

Gruß,
Peter
LordXearo
LordXearo 06.03.2019 um 20:13:23 Uhr
Goto Top
Hallo Peter,

mit Wireshark hab ich noch nicht geschaut, werde ich morgen mal als erstes machen.
Mit NetIO habe ich auch noch nicht gemessen. Denke aber bei zwei unterschiedlichen rechnern, zwei unterschiedlichern internetzugängen und zwei verschiedene Protokollen ist das wohl nicht nötig.

Es ist eine Sophos Appliance (SG230) mit integriertem OpenVPN Server. Warum der Zugriff solangsam ist wüsste ich ja gerne. Für mich sieht es aber so aus, als ob mir pro User nur 10Mbit zur Verfügung stehen.

Gruß
St-Andreas
Lösung St-Andreas 06.03.2019 um 20:57:35 Uhr
Goto Top
Moin!

Biste mal die Rulz durchgegangen?
ipzipzap
ipzipzap 07.03.2019 aktualisiert um 00:03:36 Uhr
Goto Top
Hallo,

Zitat von @LordXearo:
OpenVPN ist mit Port 443, Compression aktiviert, AES-256-CBC, SHA2 256, 2048bit und Port TCP eingerichtet.

Als allererstes stellt man das bei Sophos immer auf UDP um, das bringt normalerweise schon einen sehr großen Performancesprung; wird auch so überall in den Sophos-Foren empfohlen. Auf TCP steht das ab Werk wohl aus Kompatibilitätsgründen.

Ein ändern der Verschlüsselung oder des Protokolls ist leider kaum möglich, da wir viele Mitarbeiter extern haben und diese dann die neue Konfiguration erstmal benötigen würden.

Das ist natürlich blöd face-confused

Wie IT-affin sind diese Mitarbeiter? Weil im Grunde mußt Du nur unter

C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\config

die entsprechende .ovpn Datei bearbeiten und die Zeile "proto" von TCP auf UCP ändern.

Kurze Rundmail an alle, das ab Datum X das umgestellt wird und jeder seine Datei anpassen muß.


cu,
ipzipzap
LordXearo
LordXearo 07.03.2019 um 08:05:02 Uhr
Goto Top
Zitat von @ipzipzap:

Wie IT-affin sind diese Mitarbeiter? Weil im Grunde mußt Du nur unter

C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\config

die entsprechende .ovpn Datei bearbeiten und die Zeile "proto" von TCP auf UCP ändern.

Kurze Rundmail an alle, das ab Datum X das umgestellt wird und jeder seine Datei anpassen muß.



Die Mitarbeiter sind teilweise nicht sehr "IT-affin". Dann wäre aber auch noch das Problem dass die Mitarbeiter im config Ordner nur Lesen können. Das ließe sich natürlich auch noch beheben. Bei einer kurzen umstellung zu udp hatte ich meine 4MB/s am 40Mbit VDSL anschluss.
LordXearo
LordXearo 07.03.2019 um 08:07:25 Uhr
Goto Top
Zitat von @St-Andreas:

Moin!

Biste mal die Rulz durchgegangen?


Moin,

das Problem könnte behoben sein. Die Funktion "Enable TCP Window scaling" war bei uns noch nicht aktiviert. Jetzt bekam ich über meinen Testrechner auch über Protokoll TCP ca. 4MB/s bei einer 40Mbit/Vdsl Leitung. Wenn ich das bei den Kollegen auch noch verifizieren kann markiere ich den Beitrag als gelöst.

Vielen dank schonmal.