12
SSL VPN an Sophos UTM sehr langsam
Hallo,
ich habe seit geraumer Zeit ein Problem mit dem VPN Zugang einer Sophos UTM.
Ich betreibe insgesamt 3 Anlagen mit quasi identischer Hardware an 2x Kabel-Internet und 1x Glasfaser.
Jedoch hat eine der Kable-Internet-UTM´s ein extremes Geschwindigkeits-Problem.
Ich erhalte beim Kopieren von Dateien im Schnitt nur 2-stellige KB/s Werte, während die anderen beiden jeweils das Maximum aus der Leitung bzw. Hardware rausholen.
UTM A - Kabel 1000/50 - mit VPN maximal 2-stellige KB/s Werte beim Kopieren
UTM B - Kabel 1000/50 - VPN liefert zwischen 4-8 MB/s, je nach dem oder Up- oder Download
UTM C - Glas 250/50 - VPN liefert zwischen 4-8 MB/s, je nach dem oder Up- oder Download
Bei allen 3 läuft das interne VPN der UTM mit Anbindung per LDAP(S) und User-Authentifizerung über Port UDP 443, Compression war bei UTM A versuchsweise an und aus, bei B und C ist Compression aus
Was noch aufgefallen ist, UTM A stellt zusätzlich einen Site2Site SSL-Tunnel her zu einer externen UTM, die Geschwindigkeit beim Kopieren von Daten ist dabei identisch zum SSL-VPN der UTM A.
Eine Besonderheit ist dort der DC2, der im lokalen Netz läuft und DC1 aus dem lokalen Netz von UTM A repliziert.. dieser macht täglich ein Backup, was mit 2-3 MB/s läuft, ALLES ANDERE 2-stellige KB/s!!
Jemand eine Idee?
ich habe seit geraumer Zeit ein Problem mit dem VPN Zugang einer Sophos UTM.
Ich betreibe insgesamt 3 Anlagen mit quasi identischer Hardware an 2x Kabel-Internet und 1x Glasfaser.
Jedoch hat eine der Kable-Internet-UTM´s ein extremes Geschwindigkeits-Problem.
Ich erhalte beim Kopieren von Dateien im Schnitt nur 2-stellige KB/s Werte, während die anderen beiden jeweils das Maximum aus der Leitung bzw. Hardware rausholen.
UTM A - Kabel 1000/50 - mit VPN maximal 2-stellige KB/s Werte beim Kopieren
UTM B - Kabel 1000/50 - VPN liefert zwischen 4-8 MB/s, je nach dem oder Up- oder Download
UTM C - Glas 250/50 - VPN liefert zwischen 4-8 MB/s, je nach dem oder Up- oder Download
Bei allen 3 läuft das interne VPN der UTM mit Anbindung per LDAP(S) und User-Authentifizerung über Port UDP 443, Compression war bei UTM A versuchsweise an und aus, bei B und C ist Compression aus
Was noch aufgefallen ist, UTM A stellt zusätzlich einen Site2Site SSL-Tunnel her zu einer externen UTM, die Geschwindigkeit beim Kopieren von Daten ist dabei identisch zum SSL-VPN der UTM A.
Eine Besonderheit ist dort der DC2, der im lokalen Netz läuft und DC1 aus dem lokalen Netz von UTM A repliziert.. dieser macht täglich ein Backup, was mit 2-3 MB/s läuft, ALLES ANDERE 2-stellige KB/s!!
Jemand eine Idee?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 669495
Url: https://administrator.de/contentid/669495
Ausgedruckt am: 14.11.2024 um 18:11 Uhr
12 Kommentare
Neuester Kommentar
Hallo,
mal die Paket-Fragmentierung bzw. dem MTU-Wert zw. den Standorten überprüft?
Jürgen
mal die Paket-Fragmentierung bzw. dem MTU-Wert zw. den Standorten überprüft?
Jürgen
1
ja, hab ich auch schon reduziert auf 1320 sowohl in den einzelnen Netzen wie auch den WAN-Schnittstellen.. ohne Erfolg..
aber warum sollte auch der MTU Standard 1500 bei UTM A abweichend schlechte Werte bringen, wenn der gleiche MTU bei UTM B und C keine Probleme macht?
aber warum sollte auch der MTU Standard 1500 bei UTM A abweichend schlechte Werte bringen, wenn der gleiche MTU bei UTM B und C keine Probleme macht?
also ich habe es noch mal geprüft, bei UTM A ist das Problem zum Großteil während des Kopierens vieler kleiner Daten, dann bricht es extrem ein, teils sogar nur 1-stellige KB/s!!!
Hi..
Sind das u.a. auch versch. ISP's ?
würde vielleicht auch mal den ISP fragen... brachte auch bei mir schon manche Überaschung ;)
.. die ändern manchmal Sachen und teilen es nicht mit.. u.a. passiert bei Vodafone und TCOM..
.. und dann noch bei versch. Verträgen der Beiden...
Denke bitte aber auch daran, daß die UTM's EOL sind - solltest also dringend nach anderem Ausschau halten..
Sind alle UTM's auf gleichem Software-Stand ?
Ich erinnere mich, daß ich da mal vor etlicher Zeit an meinen UTM's was "drehen" musste, da war VPN auch "Schnarchzapfenlahm".. hatte damals auch mit MTU und anderem zu tun - Anschluss war damals Telekom.
Viel Erfolg!
Gruss Globe!
Sind das u.a. auch versch. ISP's ?
würde vielleicht auch mal den ISP fragen... brachte auch bei mir schon manche Überaschung ;)
.. die ändern manchmal Sachen und teilen es nicht mit.. u.a. passiert bei Vodafone und TCOM..
.. und dann noch bei versch. Verträgen der Beiden...
Denke bitte aber auch daran, daß die UTM's EOL sind - solltest also dringend nach anderem Ausschau halten..
Sind alle UTM's auf gleichem Software-Stand ?
Ich erinnere mich, daß ich da mal vor etlicher Zeit an meinen UTM's was "drehen" musste, da war VPN auch "Schnarchzapfenlahm".. hatte damals auch mit MTU und anderem zu tun - Anschluss war damals Telekom.
Viel Erfolg!
Gruss Globe!
Zitat von @superfun2k24:
also ich habe es noch mal geprüft, bei UTM A ist das Problem zum Großteil während des Kopierens vieler kleiner Daten, dann bricht es extrem ein, teils sogar nur 1-stellige KB/s!!!
also ich habe es noch mal geprüft, bei UTM A ist das Problem zum Großteil während des Kopierens vieler kleiner Daten, dann bricht es extrem ein, teils sogar nur 1-stellige KB/s!!!
SSD / HDD kaputt ?
Was sind das für Appliances bei Dir ?
Gruss Globe!
Hallo,
dass das Kopieren kleiner Dateien mit einer geringeren Geschwindigkeit erfolgt als die gleiche Datenmenge in einer großen Datei ist normal und prinzipbedingt.
Hast du die mögliche Fragmentierung auf der gesamten Strecke zw. den jeweiligen Endpunkten geprüft?
-> Wireshark
Jeder Router auf der Strecke kann das Problem sein.
Ob Fragmentiert wird hängt vom Router mit dem kleinsten MTU-Wert ab. Im Paket-Header ist dann das Fragmentier-Bit gesetzt.
Jürgen
dass das Kopieren kleiner Dateien mit einer geringeren Geschwindigkeit erfolgt als die gleiche Datenmenge in einer großen Datei ist normal und prinzipbedingt.
Hast du die mögliche Fragmentierung auf der gesamten Strecke zw. den jeweiligen Endpunkten geprüft?
-> Wireshark
Jeder Router auf der Strecke kann das Problem sein.
Ob Fragmentiert wird hängt vom Router mit dem kleinsten MTU-Wert ab. Im Paket-Header ist dann das Fragmentier-Bit gesetzt.
Jürgen
1
Moin,
Ein Throttling hat aber niemand an der UTM A eingerichtet, oder?
Ein Throttling hat aber niemand an der UTM A eingerichtet, oder?
Hi,
Guck mal unter
--> Remote Access / SSL / Settings / Protocol
und
--> Site-to-site VPN / SSL / Settings / Protocol
Steht da evtl. TCP anstatt UDP?
cu,
ipzipzap
Guck mal unter
--> Remote Access / SSL / Settings / Protocol
und
--> Site-to-site VPN / SSL / Settings / Protocol
Steht da evtl. TCP anstatt UDP?
cu,
ipzipzap
--> Remote Access / SSL / Settings / Protocol
--> Site-to-site VPN / SSL / Settings / Protocol
--> Site-to-site VPN / SSL / Settings / Protocol
Also Protokoll ist an allen UTM´s UDP
Denke bitte aber auch daran, daß die UTM's EOL sind - solltest also dringend nach anderem Ausschau halten..
Die Appliances (2x SG210 und 1x SG125w) sind alle auf UTM Home umgestellt, das gibt es auch weiterhin
Ein Throttling hat aber niemand an der UTM A eingerichtet, oder?
ne, ist nicht aktiviert
dass das Kopieren kleiner Dateien mit einer geringeren Geschwindigkeit erfolgt als die gleiche Datenmenge in einer großen Datei ist normal und prinzipbedingt.
Das ist auch bekannt, aber zwischen UTM B und C z.B. sind auch kleinere Dateien schneller kopiert, als etwa zwischen UTM A und C oder auch zwischen UTM A und der externen UTM..
zumal ein Versatz von 1MB/s bei großen Daten zu 5-20KB/s bei kleinen Daten bisschen extrem ist
Ob Fragmentiert wird hängt vom Router mit dem kleinsten MTU-Wert ab. Im Paket-Header ist dann das Fragmentier-Bit gesetzt.
MTU an UTM A hab ich auf WAN und allen LAN Schnittstellen auf 1320 gesetzt, die Performance war aber bei 1500 identisch schlecht.
UTM B und C laufen noch mit Standard MTU 1500.
Sind das u.a. auch versch. ISP's ?
UTM A - Vodafone 1000/50
UTM B - Vodafone 1000/50
UTM C - regionale Glasfaser 250/50
Hi..
Habt Ihr am Anschluss [A] in der letzten Zeit was ändern lassen (Speed-Update etc., Modem getauscht...) ?
... da muss doch was gegangen sein - Stecker haste jawohl mal gezogen? - gehe ich von aus...
Gruss Globe!
Habt Ihr am Anschluss [A] in der letzten Zeit was ändern lassen (Speed-Update etc., Modem getauscht...) ?
... da muss doch was gegangen sein - Stecker haste jawohl mal gezogen? - gehe ich von aus...
Gruss Globe!
Wie hier schon berichtet: In 1 1/2 Jahren musst du aktiv werden, ggf. macht es auch Sinn, mit einer Appliance anzufangen, diese auf etwas anderes umzustellen. SFOS Home könntest du zum Beispiel nutzen.
Bei UTM solltest du schauen, ob das Window Scaling aktiv ist: Unter Firewalling - Advanced: Enable Window Scaling.
Zusätzlich schau nach IPS und DOS Settings.
Bei UTM solltest du schauen, ob das Window Scaling aktiv ist: Unter Firewalling - Advanced: Enable Window Scaling.
Zusätzlich schau nach IPS und DOS Settings.
@LucarToni
Da meine ich damals auch was gemacht zu haben!... jetzt wenn Du es sagst...
Gruss Globe!
Bei UTM solltest du schauen, ob das Window Scaling aktiv ist: Unter Firewalling - Advanced: Enable Window Scaling.
Zusätzlich schau nach IPS und DOS Settings.
Zusätzlich schau nach IPS und DOS Settings.
Da meine ich damals auch was gemacht zu haben!... jetzt wenn Du es sagst...
Gruss Globe!
