superfun2k24
Goto Top

SSL VPN an Sophos UTM sehr langsam

Hallo,

ich habe seit geraumer Zeit ein Problem mit dem VPN Zugang einer Sophos UTM.

Ich betreibe insgesamt 3 Anlagen mit quasi identischer Hardware an 2x Kabel-Internet und 1x Glasfaser.
Jedoch hat eine der Kable-Internet-UTM´s ein extremes Geschwindigkeits-Problem.

Ich erhalte beim Kopieren von Dateien im Schnitt nur 2-stellige KB/s Werte, während die anderen beiden jeweils das Maximum aus der Leitung bzw. Hardware rausholen.

UTM A - Kabel 1000/50 - mit VPN maximal 2-stellige KB/s Werte beim Kopieren
UTM B - Kabel 1000/50 - VPN liefert zwischen 4-8 MB/s, je nach dem oder Up- oder Download
UTM C - Glas 250/50 - VPN liefert zwischen 4-8 MB/s, je nach dem oder Up- oder Download

Bei allen 3 läuft das interne VPN der UTM mit Anbindung per LDAP(S) und User-Authentifizerung über Port UDP 443, Compression war bei UTM A versuchsweise an und aus, bei B und C ist Compression aus

Was noch aufgefallen ist, UTM A stellt zusätzlich einen Site2Site SSL-Tunnel her zu einer externen UTM, die Geschwindigkeit beim Kopieren von Daten ist dabei identisch zum SSL-VPN der UTM A.
Eine Besonderheit ist dort der DC2, der im lokalen Netz läuft und DC1 aus dem lokalen Netz von UTM A repliziert.. dieser macht täglich ein Backup, was mit 2-3 MB/s läuft, ALLES ANDERE 2-stellige KB/s!!

Jemand eine Idee?

Content-ID: 669495

Url: https://administrator.de/contentid/669495

Ausgedruckt am: 21.11.2024 um 09:11 Uhr

chiefteddy
chiefteddy 14.11.2024 um 17:13:40 Uhr
Goto Top
Hallo,
mal die Paket-Fragmentierung bzw. dem MTU-Wert zw. den Standorten überprüft?

Jürgen
superfun2k24
superfun2k24 14.11.2024 um 17:23:33 Uhr
Goto Top
ja, hab ich auch schon reduziert auf 1320 sowohl in den einzelnen Netzen wie auch den WAN-Schnittstellen.. ohne Erfolg..
aber warum sollte auch der MTU Standard 1500 bei UTM A abweichend schlechte Werte bringen, wenn der gleiche MTU bei UTM B und C keine Probleme macht?
superfun2k24
superfun2k24 14.11.2024 um 17:51:38 Uhr
Goto Top
also ich habe es noch mal geprüft, bei UTM A ist das Problem zum Großteil während des Kopierens vieler kleiner Daten, dann bricht es extrem ein, teils sogar nur 1-stellige KB/s!!!
Globetrotter
Globetrotter 14.11.2024 um 18:03:05 Uhr
Goto Top
Hi..
Sind das u.a. auch versch. ISP's ?
würde vielleicht auch mal den ISP fragen... brachte auch bei mir schon manche Überaschung ;)
.. die ändern manchmal Sachen und teilen es nicht mit.. u.a. passiert bei Vodafone und TCOM..
.. und dann noch bei versch. Verträgen der Beiden...

Denke bitte aber auch daran, daß die UTM's EOL sind - solltest also dringend nach anderem Ausschau halten..

Sind alle UTM's auf gleichem Software-Stand ?
Ich erinnere mich, daß ich da mal vor etlicher Zeit an meinen UTM's was "drehen" musste, da war VPN auch "Schnarchzapfenlahm".. hatte damals auch mit MTU und anderem zu tun - Anschluss war damals Telekom.


Viel Erfolg!

Gruss Globe!
Globetrotter
Globetrotter 14.11.2024 um 18:04:58 Uhr
Goto Top
Zitat von @superfun2k24:

also ich habe es noch mal geprüft, bei UTM A ist das Problem zum Großteil während des Kopierens vieler kleiner Daten, dann bricht es extrem ein, teils sogar nur 1-stellige KB/s!!!

SSD / HDD kaputt ?
Was sind das für Appliances bei Dir ?

Gruss Globe!
chiefteddy
chiefteddy 14.11.2024 um 18:05:12 Uhr
Goto Top
Hallo,
dass das Kopieren kleiner Dateien mit einer geringeren Geschwindigkeit erfolgt als die gleiche Datenmenge in einer großen Datei ist normal und prinzipbedingt.

Hast du die mögliche Fragmentierung auf der gesamten Strecke zw. den jeweiligen Endpunkten geprüft?
-> Wireshark

Jeder Router auf der Strecke kann das Problem sein.
Ob Fragmentiert wird hängt vom Router mit dem kleinsten MTU-Wert ab. Im Paket-Header ist dann das Fragmentier-Bit gesetzt.

Jürgen
em-pie
em-pie 14.11.2024 um 18:08:46 Uhr
Goto Top
Moin,

Ein Throttling hat aber niemand an der UTM A eingerichtet, oder?
ipzipzap
ipzipzap 14.11.2024 aktualisiert um 18:23:05 Uhr
Goto Top
Hi,

Guck mal unter

--> Remote Access / SSL / Settings / Protocol
und
--> Site-to-site VPN / SSL / Settings / Protocol

Steht da evtl. TCP anstatt UDP?

cu,
ipzipzap
superfun2k24
superfun2k24 14.11.2024 um 18:40:35 Uhr
Goto Top
--> Remote Access / SSL / Settings / Protocol

--> Site-to-site VPN / SSL / Settings / Protocol

Also Protokoll ist an allen UTM´s UDP

Denke bitte aber auch daran, daß die UTM's EOL sind - solltest also dringend nach anderem Ausschau halten..

Die Appliances (2x SG210 und 1x SG125w) sind alle auf UTM Home umgestellt, das gibt es auch weiterhin face-smile

Ein Throttling hat aber niemand an der UTM A eingerichtet, oder?

ne, ist nicht aktiviert

dass das Kopieren kleiner Dateien mit einer geringeren Geschwindigkeit erfolgt als die gleiche Datenmenge in einer großen Datei ist normal und prinzipbedingt.

Das ist auch bekannt, aber zwischen UTM B und C z.B. sind auch kleinere Dateien schneller kopiert, als etwa zwischen UTM A und C oder auch zwischen UTM A und der externen UTM..
zumal ein Versatz von 1MB/s bei großen Daten zu 5-20KB/s bei kleinen Daten bisschen extrem ist

Ob Fragmentiert wird hängt vom Router mit dem kleinsten MTU-Wert ab. Im Paket-Header ist dann das Fragmentier-Bit gesetzt.

MTU an UTM A hab ich auf WAN und allen LAN Schnittstellen auf 1320 gesetzt, die Performance war aber bei 1500 identisch schlecht.
UTM B und C laufen noch mit Standard MTU 1500.

Sind das u.a. auch versch. ISP's ?

UTM A - Vodafone 1000/50
UTM B - Vodafone 1000/50
UTM C - regionale Glasfaser 250/50
Globetrotter
Globetrotter 14.11.2024 um 19:12:06 Uhr
Goto Top
Hi..
Habt Ihr am Anschluss [A] in der letzten Zeit was ändern lassen (Speed-Update etc., Modem getauscht...) ?
... da muss doch was gegangen sein - Stecker haste jawohl mal gezogen? - gehe ich von aus...

Gruss Globe!
LucarToni
LucarToni 14.11.2024 um 19:14:34 Uhr
Goto Top
Wie hier schon berichtet: In 1 1/2 Jahren musst du aktiv werden, ggf. macht es auch Sinn, mit einer Appliance anzufangen, diese auf etwas anderes umzustellen. SFOS Home könntest du zum Beispiel nutzen.

Bei UTM solltest du schauen, ob das Window Scaling aktiv ist: Unter Firewalling - Advanced: Enable Window Scaling.
Zusätzlich schau nach IPS und DOS Settings.
Globetrotter
Globetrotter 14.11.2024 um 19:18:41 Uhr
Goto Top
@LucarToni

Bei UTM solltest du schauen, ob das Window Scaling aktiv ist: Unter Firewalling - Advanced: Enable Window Scaling.
Zusätzlich schau nach IPS und DOS Settings.

Da meine ich damals auch was gemacht zu haben!... jetzt wenn Du es sagst...

Gruss Globe!
superfun2k24
superfun2k24 14.11.2024 um 19:52:49 Uhr
Goto Top
Zitat von @LucarToni:

Wie hier schon berichtet: In 1 1/2 Jahren musst du aktiv werden, ggf. macht es auch Sinn, mit einer Appliance anzufangen, diese auf etwas anderes umzustellen. SFOS Home könntest du zum Beispiel nutzen.

wie gesagt nach meinem Kenntnisstand bleibt UTM als Home erhalten, nur die Bezahl-Optionen sind nicht mehr verlängerbar.. Home hab ich selbst bei einem Kunden erst kürzlich neu verlängert, was bei den normalen Lizenzen gar nicht mehr möglich ist..

Bei UTM solltest du schauen, ob das Window Scaling aktiv ist: Unter Firewalling - Advanced: Enable Window Scaling.
Zusätzlich schau nach IPS und DOS Settings.

Enable Window Scaling ist aktiv, IPS und DOS habe ich spezielle Regeln, aber auch komplett deaktiviert bringt das nichts und auch hier wieder.. an UTM B und C sind die Einstellungen "ab Werk", warum soll UTM A hier Anpassungen benötigen um genau so zu funktionieren? :D
Globetrotter
Globetrotter 14.11.2024 um 20:02:27 Uhr
Goto Top
Bei UTM solltest du schauen, ob das Window Scaling aktiv ist: Unter Firewalling - Advanced: Enable Window Scaling.
Zusätzlich schau nach IPS und DOS Settings.

Ich rate Dir mal ne Mail an Bob im Sophos-UTM Forum zu schreiben...
Der hilft Dir.. ansonsten eigraben..

Gruss Globe!
Pjordorf
Pjordorf 14.11.2024 um 20:23:05 Uhr
Goto Top
Hallo,

Zitat von @superfun2k24:
wie gesagt nach meinem Kenntnisstand bleibt UTM als Home erhalten, nur die Bezahl-Optionen sind nicht mehr verlängerbar.. Home hab ich selbst bei einem Kunden erst kürzlich neu verlängert,
Dein Kunde nutzt gewerblich eine Home Variante? Sicher das dein Kunde dich nicht mit Falschgeld belohnt? Oder bist du der Fälscher? Also wenn Sophos nicht gravierende Änderungen an den Lizenzen gemacht hat nachdem die das Produkt von Astaro übernommen haben, war dort schon klar geregelt wer eine Home Variante Legal nutzen durfte und wann nicht...Also lieber etwas leiser in einen Forum sein.

Gruss,
Peter
LucarToni
LucarToni 14.11.2024 um 20:48:51 Uhr
Goto Top
Zitat von @superfun2k24:

Zitat von @LucarToni:

Wie hier schon berichtet: In 1 1/2 Jahren musst du aktiv werden, ggf. macht es auch Sinn, mit einer Appliance anzufangen, diese auf etwas anderes umzustellen. SFOS Home könntest du zum Beispiel nutzen.

wie gesagt nach meinem Kenntnisstand bleibt UTM als Home erhalten, nur die Bezahl-Optionen sind nicht mehr verlängerbar.. Home hab ich selbst bei einem Kunden erst kürzlich neu verlängert, was bei den normalen Lizenzen gar nicht mehr möglich ist..

Bei UTM solltest du schauen, ob das Window Scaling aktiv ist: Unter Firewalling - Advanced: Enable Window Scaling.
Zusätzlich schau nach IPS und DOS Settings.

Enable Window Scaling ist aktiv, IPS und DOS habe ich spezielle Regeln, aber auch komplett deaktiviert bringt das nichts und auch hier wieder.. an UTM B und C sind die Einstellungen "ab Werk", warum soll UTM A hier Anpassungen benötigen um genau so zu funktionieren? :D

Sophos UTM Home wird ab dem EOL eingestellt und die Features werden anzusprechend auch abgestellt.

Eine Lizenz für Sophos UTM Home ist auch nach EOL nicht mehr gültig und die Basis des System wird eingestellt.

Siehe: https://community.sophos.com/utm-firewall/lifecycle-and-migration/f/reco ...

Bezüglich - Kunde nutzt UTM Home - das ist ein aktiver Verstoß gegen die EULA und licensing policy.