16
SSL VPN an Sophos UTM sehr langsam
Hallo,
ich habe seit geraumer Zeit ein Problem mit dem VPN Zugang einer Sophos UTM.
Ich betreibe insgesamt 3 Anlagen mit quasi identischer Hardware an 2x Kabel-Internet und 1x Glasfaser.
Jedoch hat eine der Kable-Internet-UTM´s ein extremes Geschwindigkeits-Problem.
Ich erhalte beim Kopieren von Dateien im Schnitt nur 2-stellige KB/s Werte, während die anderen beiden jeweils das Maximum aus der Leitung bzw. Hardware rausholen.
UTM A - Kabel 1000/50 - mit VPN maximal 2-stellige KB/s Werte beim Kopieren
UTM B - Kabel 1000/50 - VPN liefert zwischen 4-8 MB/s, je nach dem oder Up- oder Download
UTM C - Glas 250/50 - VPN liefert zwischen 4-8 MB/s, je nach dem oder Up- oder Download
Bei allen 3 läuft das interne VPN der UTM mit Anbindung per LDAP(S) und User-Authentifizerung über Port UDP 443, Compression war bei UTM A versuchsweise an und aus, bei B und C ist Compression aus
Was noch aufgefallen ist, UTM A stellt zusätzlich einen Site2Site SSL-Tunnel her zu einer externen UTM, die Geschwindigkeit beim Kopieren von Daten ist dabei identisch zum SSL-VPN der UTM A.
Eine Besonderheit ist dort der DC2, der im lokalen Netz läuft und DC1 aus dem lokalen Netz von UTM A repliziert.. dieser macht täglich ein Backup, was mit 2-3 MB/s läuft, ALLES ANDERE 2-stellige KB/s!!
Jemand eine Idee?
ich habe seit geraumer Zeit ein Problem mit dem VPN Zugang einer Sophos UTM.
Ich betreibe insgesamt 3 Anlagen mit quasi identischer Hardware an 2x Kabel-Internet und 1x Glasfaser.
Jedoch hat eine der Kable-Internet-UTM´s ein extremes Geschwindigkeits-Problem.
Ich erhalte beim Kopieren von Dateien im Schnitt nur 2-stellige KB/s Werte, während die anderen beiden jeweils das Maximum aus der Leitung bzw. Hardware rausholen.
UTM A - Kabel 1000/50 - mit VPN maximal 2-stellige KB/s Werte beim Kopieren
UTM B - Kabel 1000/50 - VPN liefert zwischen 4-8 MB/s, je nach dem oder Up- oder Download
UTM C - Glas 250/50 - VPN liefert zwischen 4-8 MB/s, je nach dem oder Up- oder Download
Bei allen 3 läuft das interne VPN der UTM mit Anbindung per LDAP(S) und User-Authentifizerung über Port UDP 443, Compression war bei UTM A versuchsweise an und aus, bei B und C ist Compression aus
Was noch aufgefallen ist, UTM A stellt zusätzlich einen Site2Site SSL-Tunnel her zu einer externen UTM, die Geschwindigkeit beim Kopieren von Daten ist dabei identisch zum SSL-VPN der UTM A.
Eine Besonderheit ist dort der DC2, der im lokalen Netz läuft und DC1 aus dem lokalen Netz von UTM A repliziert.. dieser macht täglich ein Backup, was mit 2-3 MB/s läuft, ALLES ANDERE 2-stellige KB/s!!
Jemand eine Idee?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 669495
Url: https://administrator.de/contentid/669495
Ausgedruckt am: 21.11.2024 um 09:11 Uhr
16 Kommentare
Neuester Kommentar
Hallo,
mal die Paket-Fragmentierung bzw. dem MTU-Wert zw. den Standorten überprüft?
Jürgen
mal die Paket-Fragmentierung bzw. dem MTU-Wert zw. den Standorten überprüft?
Jürgen
1
ja, hab ich auch schon reduziert auf 1320 sowohl in den einzelnen Netzen wie auch den WAN-Schnittstellen.. ohne Erfolg..
aber warum sollte auch der MTU Standard 1500 bei UTM A abweichend schlechte Werte bringen, wenn der gleiche MTU bei UTM B und C keine Probleme macht?
aber warum sollte auch der MTU Standard 1500 bei UTM A abweichend schlechte Werte bringen, wenn der gleiche MTU bei UTM B und C keine Probleme macht?
also ich habe es noch mal geprüft, bei UTM A ist das Problem zum Großteil während des Kopierens vieler kleiner Daten, dann bricht es extrem ein, teils sogar nur 1-stellige KB/s!!!
Hi..
Sind das u.a. auch versch. ISP's ?
würde vielleicht auch mal den ISP fragen... brachte auch bei mir schon manche Überaschung ;)
.. die ändern manchmal Sachen und teilen es nicht mit.. u.a. passiert bei Vodafone und TCOM..
.. und dann noch bei versch. Verträgen der Beiden...
Denke bitte aber auch daran, daß die UTM's EOL sind - solltest also dringend nach anderem Ausschau halten..
Sind alle UTM's auf gleichem Software-Stand ?
Ich erinnere mich, daß ich da mal vor etlicher Zeit an meinen UTM's was "drehen" musste, da war VPN auch "Schnarchzapfenlahm".. hatte damals auch mit MTU und anderem zu tun - Anschluss war damals Telekom.
Viel Erfolg!
Gruss Globe!
Sind das u.a. auch versch. ISP's ?
würde vielleicht auch mal den ISP fragen... brachte auch bei mir schon manche Überaschung ;)
.. die ändern manchmal Sachen und teilen es nicht mit.. u.a. passiert bei Vodafone und TCOM..
.. und dann noch bei versch. Verträgen der Beiden...
Denke bitte aber auch daran, daß die UTM's EOL sind - solltest also dringend nach anderem Ausschau halten..
Sind alle UTM's auf gleichem Software-Stand ?
Ich erinnere mich, daß ich da mal vor etlicher Zeit an meinen UTM's was "drehen" musste, da war VPN auch "Schnarchzapfenlahm".. hatte damals auch mit MTU und anderem zu tun - Anschluss war damals Telekom.
Viel Erfolg!
Gruss Globe!
Zitat von @superfun2k24:
also ich habe es noch mal geprüft, bei UTM A ist das Problem zum Großteil während des Kopierens vieler kleiner Daten, dann bricht es extrem ein, teils sogar nur 1-stellige KB/s!!!
also ich habe es noch mal geprüft, bei UTM A ist das Problem zum Großteil während des Kopierens vieler kleiner Daten, dann bricht es extrem ein, teils sogar nur 1-stellige KB/s!!!
SSD / HDD kaputt ?
Was sind das für Appliances bei Dir ?
Gruss Globe!
Hallo,
dass das Kopieren kleiner Dateien mit einer geringeren Geschwindigkeit erfolgt als die gleiche Datenmenge in einer großen Datei ist normal und prinzipbedingt.
Hast du die mögliche Fragmentierung auf der gesamten Strecke zw. den jeweiligen Endpunkten geprüft?
-> Wireshark
Jeder Router auf der Strecke kann das Problem sein.
Ob Fragmentiert wird hängt vom Router mit dem kleinsten MTU-Wert ab. Im Paket-Header ist dann das Fragmentier-Bit gesetzt.
Jürgen
dass das Kopieren kleiner Dateien mit einer geringeren Geschwindigkeit erfolgt als die gleiche Datenmenge in einer großen Datei ist normal und prinzipbedingt.
Hast du die mögliche Fragmentierung auf der gesamten Strecke zw. den jeweiligen Endpunkten geprüft?
-> Wireshark
Jeder Router auf der Strecke kann das Problem sein.
Ob Fragmentiert wird hängt vom Router mit dem kleinsten MTU-Wert ab. Im Paket-Header ist dann das Fragmentier-Bit gesetzt.
Jürgen
1
Moin,
Ein Throttling hat aber niemand an der UTM A eingerichtet, oder?
Ein Throttling hat aber niemand an der UTM A eingerichtet, oder?
Hi,
Guck mal unter
--> Remote Access / SSL / Settings / Protocol
und
--> Site-to-site VPN / SSL / Settings / Protocol
Steht da evtl. TCP anstatt UDP?
cu,
ipzipzap
Guck mal unter
--> Remote Access / SSL / Settings / Protocol
und
--> Site-to-site VPN / SSL / Settings / Protocol
Steht da evtl. TCP anstatt UDP?
cu,
ipzipzap
1--> Remote Access / SSL / Settings / Protocol
--> Site-to-site VPN / SSL / Settings / Protocol
--> Site-to-site VPN / SSL / Settings / Protocol
Also Protokoll ist an allen UTM´s UDP
Denke bitte aber auch daran, daß die UTM's EOL sind - solltest also dringend nach anderem Ausschau halten..
Die Appliances (2x SG210 und 1x SG125w) sind alle auf UTM Home umgestellt, das gibt es auch weiterhin
Ein Throttling hat aber niemand an der UTM A eingerichtet, oder?
ne, ist nicht aktiviert
dass das Kopieren kleiner Dateien mit einer geringeren Geschwindigkeit erfolgt als die gleiche Datenmenge in einer großen Datei ist normal und prinzipbedingt.
Das ist auch bekannt, aber zwischen UTM B und C z.B. sind auch kleinere Dateien schneller kopiert, als etwa zwischen UTM A und C oder auch zwischen UTM A und der externen UTM..
zumal ein Versatz von 1MB/s bei großen Daten zu 5-20KB/s bei kleinen Daten bisschen extrem ist
Ob Fragmentiert wird hängt vom Router mit dem kleinsten MTU-Wert ab. Im Paket-Header ist dann das Fragmentier-Bit gesetzt.
MTU an UTM A hab ich auf WAN und allen LAN Schnittstellen auf 1320 gesetzt, die Performance war aber bei 1500 identisch schlecht.
UTM B und C laufen noch mit Standard MTU 1500.
Sind das u.a. auch versch. ISP's ?
UTM A - Vodafone 1000/50
UTM B - Vodafone 1000/50
UTM C - regionale Glasfaser 250/50
Hi..
Habt Ihr am Anschluss [A] in der letzten Zeit was ändern lassen (Speed-Update etc., Modem getauscht...) ?
... da muss doch was gegangen sein - Stecker haste jawohl mal gezogen? - gehe ich von aus...
Gruss Globe!
Habt Ihr am Anschluss [A] in der letzten Zeit was ändern lassen (Speed-Update etc., Modem getauscht...) ?
... da muss doch was gegangen sein - Stecker haste jawohl mal gezogen? - gehe ich von aus...
Gruss Globe!
Wie hier schon berichtet: In 1 1/2 Jahren musst du aktiv werden, ggf. macht es auch Sinn, mit einer Appliance anzufangen, diese auf etwas anderes umzustellen. SFOS Home könntest du zum Beispiel nutzen.
Bei UTM solltest du schauen, ob das Window Scaling aktiv ist: Unter Firewalling - Advanced: Enable Window Scaling.
Zusätzlich schau nach IPS und DOS Settings.
Bei UTM solltest du schauen, ob das Window Scaling aktiv ist: Unter Firewalling - Advanced: Enable Window Scaling.
Zusätzlich schau nach IPS und DOS Settings.
1
@LucarToni
Da meine ich damals auch was gemacht zu haben!... jetzt wenn Du es sagst...
Gruss Globe!
Bei UTM solltest du schauen, ob das Window Scaling aktiv ist: Unter Firewalling - Advanced: Enable Window Scaling.
Zusätzlich schau nach IPS und DOS Settings.
Zusätzlich schau nach IPS und DOS Settings.
Da meine ich damals auch was gemacht zu haben!... jetzt wenn Du es sagst...
Gruss Globe!
Zitat von @LucarToni:
Wie hier schon berichtet: In 1 1/2 Jahren musst du aktiv werden, ggf. macht es auch Sinn, mit einer Appliance anzufangen, diese auf etwas anderes umzustellen. SFOS Home könntest du zum Beispiel nutzen.
Wie hier schon berichtet: In 1 1/2 Jahren musst du aktiv werden, ggf. macht es auch Sinn, mit einer Appliance anzufangen, diese auf etwas anderes umzustellen. SFOS Home könntest du zum Beispiel nutzen.
wie gesagt nach meinem Kenntnisstand bleibt UTM als Home erhalten, nur die Bezahl-Optionen sind nicht mehr verlängerbar.. Home hab ich selbst bei einem Kunden erst kürzlich neu verlängert, was bei den normalen Lizenzen gar nicht mehr möglich ist..
Bei UTM solltest du schauen, ob das Window Scaling aktiv ist: Unter Firewalling - Advanced: Enable Window Scaling.
Zusätzlich schau nach IPS und DOS Settings.
Zusätzlich schau nach IPS und DOS Settings.
Enable Window Scaling ist aktiv, IPS und DOS habe ich spezielle Regeln, aber auch komplett deaktiviert bringt das nichts und auch hier wieder.. an UTM B und C sind die Einstellungen "ab Werk", warum soll UTM A hier Anpassungen benötigen um genau so zu funktionieren? :D
Bei UTM solltest du schauen, ob das Window Scaling aktiv ist: Unter Firewalling - Advanced: Enable Window Scaling.
Zusätzlich schau nach IPS und DOS Settings.
Zusätzlich schau nach IPS und DOS Settings.
Ich rate Dir mal ne Mail an Bob im Sophos-UTM Forum zu schreiben...
Der hilft Dir.. ansonsten eigraben..
Gruss Globe!
Hallo,
Gruss,
Peter
Zitat von @superfun2k24:
wie gesagt nach meinem Kenntnisstand bleibt UTM als Home erhalten, nur die Bezahl-Optionen sind nicht mehr verlängerbar.. Home hab ich selbst bei einem Kunden erst kürzlich neu verlängert,
Dein Kunde nutzt gewerblich eine Home Variante? Sicher das dein Kunde dich nicht mit Falschgeld belohnt? Oder bist du der Fälscher? Also wenn Sophos nicht gravierende Änderungen an den Lizenzen gemacht hat nachdem die das Produkt von Astaro übernommen haben, war dort schon klar geregelt wer eine Home Variante Legal nutzen durfte und wann nicht...Also lieber etwas leiser in einen Forum sein.wie gesagt nach meinem Kenntnisstand bleibt UTM als Home erhalten, nur die Bezahl-Optionen sind nicht mehr verlängerbar.. Home hab ich selbst bei einem Kunden erst kürzlich neu verlängert,
Gruss,
Peter
1Zitat von @superfun2k24:
wie gesagt nach meinem Kenntnisstand bleibt UTM als Home erhalten, nur die Bezahl-Optionen sind nicht mehr verlängerbar.. Home hab ich selbst bei einem Kunden erst kürzlich neu verlängert, was bei den normalen Lizenzen gar nicht mehr möglich ist..
Enable Window Scaling ist aktiv, IPS und DOS habe ich spezielle Regeln, aber auch komplett deaktiviert bringt das nichts und auch hier wieder.. an UTM B und C sind die Einstellungen "ab Werk", warum soll UTM A hier Anpassungen benötigen um genau so zu funktionieren? :D
Zitat von @LucarToni:
Wie hier schon berichtet: In 1 1/2 Jahren musst du aktiv werden, ggf. macht es auch Sinn, mit einer Appliance anzufangen, diese auf etwas anderes umzustellen. SFOS Home könntest du zum Beispiel nutzen.
Wie hier schon berichtet: In 1 1/2 Jahren musst du aktiv werden, ggf. macht es auch Sinn, mit einer Appliance anzufangen, diese auf etwas anderes umzustellen. SFOS Home könntest du zum Beispiel nutzen.
wie gesagt nach meinem Kenntnisstand bleibt UTM als Home erhalten, nur die Bezahl-Optionen sind nicht mehr verlängerbar.. Home hab ich selbst bei einem Kunden erst kürzlich neu verlängert, was bei den normalen Lizenzen gar nicht mehr möglich ist..
Bei UTM solltest du schauen, ob das Window Scaling aktiv ist: Unter Firewalling - Advanced: Enable Window Scaling.
Zusätzlich schau nach IPS und DOS Settings.
Zusätzlich schau nach IPS und DOS Settings.
Enable Window Scaling ist aktiv, IPS und DOS habe ich spezielle Regeln, aber auch komplett deaktiviert bringt das nichts und auch hier wieder.. an UTM B und C sind die Einstellungen "ab Werk", warum soll UTM A hier Anpassungen benötigen um genau so zu funktionieren? :D
Sophos UTM Home wird ab dem EOL eingestellt und die Features werden anzusprechend auch abgestellt.
Eine Lizenz für Sophos UTM Home ist auch nach EOL nicht mehr gültig und die Basis des System wird eingestellt.
Siehe: https://community.sophos.com/utm-firewall/lifecycle-and-migration/f/reco ...
Bezüglich - Kunde nutzt UTM Home - das ist ein aktiver Verstoß gegen die EULA und licensing policy.
