6
Sophos Firewall - OpenVPN Verbindung langsam oder limitiert ?!
Hallo Zusammen,
wir haben Probleme mit unserer SSL bzw. OpenVPN Anbindung. Und zwar scheinen alle unserer Clients nur einen maximalen durchsatz von maximal ~2MB/s (~10Mbit/s) zu bekommen. Ich konnte das auf mindestens zwei Clients verifizieren. Zu dem Problem konnte ich zwar 3-4 Threads finden, in dem sich auch andere Leute mit dem gleichen Problem geäußert haben, nur leider ist mir bisher nie eine Lösung untergekommen.
Wir haben zwei SG230 im Einsatz und eine 100Mbit/100Mbit anbindung.
Version: 9.601-5
OpenVPN ist mit Port 443, Compression aktiviert, AES-256-CBC, SHA2 256, 2048bit und Port TCP eingerichtet. Ein ändern der Verschlüsselung oder des Protokolls ist leider kaum möglich, da wir viele Mitarbeiter extern haben und diese dann die neue Konfiguration erstmal benötigen würden.
Die Clients die ich getestet habe waren einmal mit VDSL (~40Mbit/s Download) und Kabel (~60Mbit/s Down) angebunden. An dem Client mit VDSL habe ich eine andere OpenVPN verbindungen getestet an einer pfsense und hatte dort einen durchsatz von ca. 4MB/s.
Die Datenraten habe ich sowohl mit smb als auch mit https erhalten.
An der Sophos habe ich bereits alles zu testzwecken deaktiviert (IPS /Advanced Threa Protection).
QoS Regel sind keine aktiviert.
In den Logs konnte ich nichts verdächtiges finden.
Clientseitig hatte ich noch mit der MTU in der OpenVPN Config gespielt, hat aber nichts gebracht.
Es würde mich freuen wenn mich jemand unterstützen könnte oder sogar eine Lösung für das Problem parat hat.
Gruß
Ps. Die Frage habe ich auch im Sophos Forum gestellt:
https://community.sophos.com/products/unified-threat-management/f/german ...
wir haben Probleme mit unserer SSL bzw. OpenVPN Anbindung. Und zwar scheinen alle unserer Clients nur einen maximalen durchsatz von maximal ~2MB/s (~10Mbit/s) zu bekommen. Ich konnte das auf mindestens zwei Clients verifizieren. Zu dem Problem konnte ich zwar 3-4 Threads finden, in dem sich auch andere Leute mit dem gleichen Problem geäußert haben, nur leider ist mir bisher nie eine Lösung untergekommen.
Wir haben zwei SG230 im Einsatz und eine 100Mbit/100Mbit anbindung.
Version: 9.601-5
OpenVPN ist mit Port 443, Compression aktiviert, AES-256-CBC, SHA2 256, 2048bit und Port TCP eingerichtet. Ein ändern der Verschlüsselung oder des Protokolls ist leider kaum möglich, da wir viele Mitarbeiter extern haben und diese dann die neue Konfiguration erstmal benötigen würden.
Die Clients die ich getestet habe waren einmal mit VDSL (~40Mbit/s Download) und Kabel (~60Mbit/s Down) angebunden. An dem Client mit VDSL habe ich eine andere OpenVPN verbindungen getestet an einer pfsense und hatte dort einen durchsatz von ca. 4MB/s.
Die Datenraten habe ich sowohl mit smb als auch mit https erhalten.
An der Sophos habe ich bereits alles zu testzwecken deaktiviert (IPS /Advanced Threa Protection).
QoS Regel sind keine aktiviert.
In den Logs konnte ich nichts verdächtiges finden.
Clientseitig hatte ich noch mit der MTU in der OpenVPN Config gespielt, hat aber nichts gebracht.
Es würde mich freuen wenn mich jemand unterstützen könnte oder sogar eine Lösung für das Problem parat hat.
Gruß
Ps. Die Frage habe ich auch im Sophos Forum gestellt:
https://community.sophos.com/products/unified-threat-management/f/german ...
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 425366
Url: https://administrator.de/contentid/425366
Ausgedruckt am: 21.11.2024 um 21:11 Uhr
6 Kommentare
Neuester Kommentar
Hallo,
Gruß,
Peter
Zitat von @LordXearo:
Es würde mich freuen wenn mich jemand unterstützen könnte oder sogar eine Lösung für das Problem parat hat.
Mal mit einen Wirshark geschaut ob es auffälligkeiten gibt? Und warum sollte eine Sophos Hardware deine Leitungen verlangsamen? Mal mit ein NetIO geschaut was über deine Leitungen gehen kann?Es würde mich freuen wenn mich jemand unterstützen könnte oder sogar eine Lösung für das Problem parat hat.
Gruß,
Peter
Hallo Peter,
mit Wireshark hab ich noch nicht geschaut, werde ich morgen mal als erstes machen.
Mit NetIO habe ich auch noch nicht gemessen. Denke aber bei zwei unterschiedlichen rechnern, zwei unterschiedlichern internetzugängen und zwei verschiedene Protokollen ist das wohl nicht nötig.
Es ist eine Sophos Appliance (SG230) mit integriertem OpenVPN Server. Warum der Zugriff solangsam ist wüsste ich ja gerne. Für mich sieht es aber so aus, als ob mir pro User nur 10Mbit zur Verfügung stehen.
Gruß
mit Wireshark hab ich noch nicht geschaut, werde ich morgen mal als erstes machen.
Mit NetIO habe ich auch noch nicht gemessen. Denke aber bei zwei unterschiedlichen rechnern, zwei unterschiedlichern internetzugängen und zwei verschiedene Protokollen ist das wohl nicht nötig.
Es ist eine Sophos Appliance (SG230) mit integriertem OpenVPN Server. Warum der Zugriff solangsam ist wüsste ich ja gerne. Für mich sieht es aber so aus, als ob mir pro User nur 10Mbit zur Verfügung stehen.
Gruß
Hallo,
Als allererstes stellt man das bei Sophos immer auf UDP um, das bringt normalerweise schon einen sehr großen Performancesprung; wird auch so überall in den Sophos-Foren empfohlen. Auf TCP steht das ab Werk wohl aus Kompatibilitätsgründen.
Das ist natürlich blöd
Wie IT-affin sind diese Mitarbeiter? Weil im Grunde mußt Du nur unter
C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\config
die entsprechende .ovpn Datei bearbeiten und die Zeile "proto" von TCP auf UCP ändern.
Kurze Rundmail an alle, das ab Datum X das umgestellt wird und jeder seine Datei anpassen muß.
cu,
ipzipzap
Zitat von @LordXearo:
OpenVPN ist mit Port 443, Compression aktiviert, AES-256-CBC, SHA2 256, 2048bit und Port TCP eingerichtet.
OpenVPN ist mit Port 443, Compression aktiviert, AES-256-CBC, SHA2 256, 2048bit und Port TCP eingerichtet.
Als allererstes stellt man das bei Sophos immer auf UDP um, das bringt normalerweise schon einen sehr großen Performancesprung; wird auch so überall in den Sophos-Foren empfohlen. Auf TCP steht das ab Werk wohl aus Kompatibilitätsgründen.
Ein ändern der Verschlüsselung oder des Protokolls ist leider kaum möglich, da wir viele Mitarbeiter extern haben und diese dann die neue Konfiguration erstmal benötigen würden.
Das ist natürlich blöd
Wie IT-affin sind diese Mitarbeiter? Weil im Grunde mußt Du nur unter
C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\config
die entsprechende .ovpn Datei bearbeiten und die Zeile "proto" von TCP auf UCP ändern.
Kurze Rundmail an alle, das ab Datum X das umgestellt wird und jeder seine Datei anpassen muß.
cu,
ipzipzap
Zitat von @ipzipzap:
Wie IT-affin sind diese Mitarbeiter? Weil im Grunde mußt Du nur unter
C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\config
die entsprechende .ovpn Datei bearbeiten und die Zeile "proto" von TCP auf UCP ändern.
Kurze Rundmail an alle, das ab Datum X das umgestellt wird und jeder seine Datei anpassen muß.
Wie IT-affin sind diese Mitarbeiter? Weil im Grunde mußt Du nur unter
C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\config
die entsprechende .ovpn Datei bearbeiten und die Zeile "proto" von TCP auf UCP ändern.
Kurze Rundmail an alle, das ab Datum X das umgestellt wird und jeder seine Datei anpassen muß.
Die Mitarbeiter sind teilweise nicht sehr "IT-affin". Dann wäre aber auch noch das Problem dass die Mitarbeiter im config Ordner nur Lesen können. Das ließe sich natürlich auch noch beheben. Bei einer kurzen umstellung zu udp hatte ich meine 4MB/s am 40Mbit VDSL anschluss.
Moin,
das Problem könnte behoben sein. Die Funktion "Enable TCP Window scaling" war bei uns noch nicht aktiviert. Jetzt bekam ich über meinen Testrechner auch über Protokoll TCP ca. 4MB/s bei einer 40Mbit/Vdsl Leitung. Wenn ich das bei den Kollegen auch noch verifizieren kann markiere ich den Beitrag als gelöst.
Vielen dank schonmal.
