SSL VPN an Sophos UTM sehr langsam
Hallo,
ich habe seit geraumer Zeit ein Problem mit dem VPN Zugang einer Sophos UTM.
Ich betreibe insgesamt 3 Anlagen mit quasi identischer Hardware an 2x Kabel-Internet und 1x Glasfaser.
Jedoch hat eine der Kable-Internet-UTM´s ein extremes Geschwindigkeits-Problem.
Ich erhalte beim Kopieren von Dateien im Schnitt nur 2-stellige KB/s Werte, während die anderen beiden jeweils das Maximum aus der Leitung bzw. Hardware rausholen.
UTM A - Kabel 1000/50 - mit VPN maximal 2-stellige KB/s Werte beim Kopieren
UTM B - Kabel 1000/50 - VPN liefert zwischen 4-8 MB/s, je nach dem oder Up- oder Download
UTM C - Glas 250/50 - VPN liefert zwischen 4-8 MB/s, je nach dem oder Up- oder Download
Bei allen 3 läuft das interne VPN der UTM mit Anbindung per LDAP(S) und User-Authentifizerung über Port UDP 443, Compression war bei UTM A versuchsweise an und aus, bei B und C ist Compression aus
Was noch aufgefallen ist, UTM A stellt zusätzlich einen Site2Site SSL-Tunnel her zu einer externen UTM, die Geschwindigkeit beim Kopieren von Daten ist dabei identisch zum SSL-VPN der UTM A.
Eine Besonderheit ist dort der DC2, der im lokalen Netz läuft und DC1 aus dem lokalen Netz von UTM A repliziert.. dieser macht täglich ein Backup, was mit 2-3 MB/s läuft, ALLES ANDERE 2-stellige KB/s!!
Jemand eine Idee?
ich habe seit geraumer Zeit ein Problem mit dem VPN Zugang einer Sophos UTM.
Ich betreibe insgesamt 3 Anlagen mit quasi identischer Hardware an 2x Kabel-Internet und 1x Glasfaser.
Jedoch hat eine der Kable-Internet-UTM´s ein extremes Geschwindigkeits-Problem.
Ich erhalte beim Kopieren von Dateien im Schnitt nur 2-stellige KB/s Werte, während die anderen beiden jeweils das Maximum aus der Leitung bzw. Hardware rausholen.
UTM A - Kabel 1000/50 - mit VPN maximal 2-stellige KB/s Werte beim Kopieren
UTM B - Kabel 1000/50 - VPN liefert zwischen 4-8 MB/s, je nach dem oder Up- oder Download
UTM C - Glas 250/50 - VPN liefert zwischen 4-8 MB/s, je nach dem oder Up- oder Download
Bei allen 3 läuft das interne VPN der UTM mit Anbindung per LDAP(S) und User-Authentifizerung über Port UDP 443, Compression war bei UTM A versuchsweise an und aus, bei B und C ist Compression aus
Was noch aufgefallen ist, UTM A stellt zusätzlich einen Site2Site SSL-Tunnel her zu einer externen UTM, die Geschwindigkeit beim Kopieren von Daten ist dabei identisch zum SSL-VPN der UTM A.
Eine Besonderheit ist dort der DC2, der im lokalen Netz läuft und DC1 aus dem lokalen Netz von UTM A repliziert.. dieser macht täglich ein Backup, was mit 2-3 MB/s läuft, ALLES ANDERE 2-stellige KB/s!!
Jemand eine Idee?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 669495
Url: https://administrator.de/contentid/669495
Ausgedruckt am: 21.11.2024 um 09:11 Uhr
16 Kommentare
Neuester Kommentar
Hi..
Sind das u.a. auch versch. ISP's ?
würde vielleicht auch mal den ISP fragen... brachte auch bei mir schon manche Überaschung ;)
.. die ändern manchmal Sachen und teilen es nicht mit.. u.a. passiert bei Vodafone und TCOM..
.. und dann noch bei versch. Verträgen der Beiden...
Denke bitte aber auch daran, daß die UTM's EOL sind - solltest also dringend nach anderem Ausschau halten..
Sind alle UTM's auf gleichem Software-Stand ?
Ich erinnere mich, daß ich da mal vor etlicher Zeit an meinen UTM's was "drehen" musste, da war VPN auch "Schnarchzapfenlahm".. hatte damals auch mit MTU und anderem zu tun - Anschluss war damals Telekom.
Viel Erfolg!
Gruss Globe!
Sind das u.a. auch versch. ISP's ?
würde vielleicht auch mal den ISP fragen... brachte auch bei mir schon manche Überaschung ;)
.. die ändern manchmal Sachen und teilen es nicht mit.. u.a. passiert bei Vodafone und TCOM..
.. und dann noch bei versch. Verträgen der Beiden...
Denke bitte aber auch daran, daß die UTM's EOL sind - solltest also dringend nach anderem Ausschau halten..
Sind alle UTM's auf gleichem Software-Stand ?
Ich erinnere mich, daß ich da mal vor etlicher Zeit an meinen UTM's was "drehen" musste, da war VPN auch "Schnarchzapfenlahm".. hatte damals auch mit MTU und anderem zu tun - Anschluss war damals Telekom.
Viel Erfolg!
Gruss Globe!
Zitat von @superfun2k24:
also ich habe es noch mal geprüft, bei UTM A ist das Problem zum Großteil während des Kopierens vieler kleiner Daten, dann bricht es extrem ein, teils sogar nur 1-stellige KB/s!!!
also ich habe es noch mal geprüft, bei UTM A ist das Problem zum Großteil während des Kopierens vieler kleiner Daten, dann bricht es extrem ein, teils sogar nur 1-stellige KB/s!!!
SSD / HDD kaputt ?
Was sind das für Appliances bei Dir ?
Gruss Globe!
Hallo,
dass das Kopieren kleiner Dateien mit einer geringeren Geschwindigkeit erfolgt als die gleiche Datenmenge in einer großen Datei ist normal und prinzipbedingt.
Hast du die mögliche Fragmentierung auf der gesamten Strecke zw. den jeweiligen Endpunkten geprüft?
-> Wireshark
Jeder Router auf der Strecke kann das Problem sein.
Ob Fragmentiert wird hängt vom Router mit dem kleinsten MTU-Wert ab. Im Paket-Header ist dann das Fragmentier-Bit gesetzt.
Jürgen
dass das Kopieren kleiner Dateien mit einer geringeren Geschwindigkeit erfolgt als die gleiche Datenmenge in einer großen Datei ist normal und prinzipbedingt.
Hast du die mögliche Fragmentierung auf der gesamten Strecke zw. den jeweiligen Endpunkten geprüft?
-> Wireshark
Jeder Router auf der Strecke kann das Problem sein.
Ob Fragmentiert wird hängt vom Router mit dem kleinsten MTU-Wert ab. Im Paket-Header ist dann das Fragmentier-Bit gesetzt.
Jürgen
Wie hier schon berichtet: In 1 1/2 Jahren musst du aktiv werden, ggf. macht es auch Sinn, mit einer Appliance anzufangen, diese auf etwas anderes umzustellen. SFOS Home könntest du zum Beispiel nutzen.
Bei UTM solltest du schauen, ob das Window Scaling aktiv ist: Unter Firewalling - Advanced: Enable Window Scaling.
Zusätzlich schau nach IPS und DOS Settings.
Bei UTM solltest du schauen, ob das Window Scaling aktiv ist: Unter Firewalling - Advanced: Enable Window Scaling.
Zusätzlich schau nach IPS und DOS Settings.
@LucarToni
Da meine ich damals auch was gemacht zu haben!... jetzt wenn Du es sagst...
Gruss Globe!
Bei UTM solltest du schauen, ob das Window Scaling aktiv ist: Unter Firewalling - Advanced: Enable Window Scaling.
Zusätzlich schau nach IPS und DOS Settings.
Zusätzlich schau nach IPS und DOS Settings.
Da meine ich damals auch was gemacht zu haben!... jetzt wenn Du es sagst...
Gruss Globe!
Hallo,
Gruss,
Peter
Zitat von @superfun2k24:
wie gesagt nach meinem Kenntnisstand bleibt UTM als Home erhalten, nur die Bezahl-Optionen sind nicht mehr verlängerbar.. Home hab ich selbst bei einem Kunden erst kürzlich neu verlängert,
Dein Kunde nutzt gewerblich eine Home Variante? Sicher das dein Kunde dich nicht mit Falschgeld belohnt? Oder bist du der Fälscher? Also wenn Sophos nicht gravierende Änderungen an den Lizenzen gemacht hat nachdem die das Produkt von Astaro übernommen haben, war dort schon klar geregelt wer eine Home Variante Legal nutzen durfte und wann nicht...Also lieber etwas leiser in einen Forum sein.wie gesagt nach meinem Kenntnisstand bleibt UTM als Home erhalten, nur die Bezahl-Optionen sind nicht mehr verlängerbar.. Home hab ich selbst bei einem Kunden erst kürzlich neu verlängert,
Gruss,
Peter
Zitat von @superfun2k24:
wie gesagt nach meinem Kenntnisstand bleibt UTM als Home erhalten, nur die Bezahl-Optionen sind nicht mehr verlängerbar.. Home hab ich selbst bei einem Kunden erst kürzlich neu verlängert, was bei den normalen Lizenzen gar nicht mehr möglich ist..
Enable Window Scaling ist aktiv, IPS und DOS habe ich spezielle Regeln, aber auch komplett deaktiviert bringt das nichts und auch hier wieder.. an UTM B und C sind die Einstellungen "ab Werk", warum soll UTM A hier Anpassungen benötigen um genau so zu funktionieren? :D
Zitat von @LucarToni:
Wie hier schon berichtet: In 1 1/2 Jahren musst du aktiv werden, ggf. macht es auch Sinn, mit einer Appliance anzufangen, diese auf etwas anderes umzustellen. SFOS Home könntest du zum Beispiel nutzen.
Wie hier schon berichtet: In 1 1/2 Jahren musst du aktiv werden, ggf. macht es auch Sinn, mit einer Appliance anzufangen, diese auf etwas anderes umzustellen. SFOS Home könntest du zum Beispiel nutzen.
wie gesagt nach meinem Kenntnisstand bleibt UTM als Home erhalten, nur die Bezahl-Optionen sind nicht mehr verlängerbar.. Home hab ich selbst bei einem Kunden erst kürzlich neu verlängert, was bei den normalen Lizenzen gar nicht mehr möglich ist..
Bei UTM solltest du schauen, ob das Window Scaling aktiv ist: Unter Firewalling - Advanced: Enable Window Scaling.
Zusätzlich schau nach IPS und DOS Settings.
Zusätzlich schau nach IPS und DOS Settings.
Enable Window Scaling ist aktiv, IPS und DOS habe ich spezielle Regeln, aber auch komplett deaktiviert bringt das nichts und auch hier wieder.. an UTM B und C sind die Einstellungen "ab Werk", warum soll UTM A hier Anpassungen benötigen um genau so zu funktionieren? :D
Sophos UTM Home wird ab dem EOL eingestellt und die Features werden anzusprechend auch abgestellt.
Eine Lizenz für Sophos UTM Home ist auch nach EOL nicht mehr gültig und die Basis des System wird eingestellt.
Siehe: https://community.sophos.com/utm-firewall/lifecycle-and-migration/f/reco ...
Bezüglich - Kunde nutzt UTM Home - das ist ein aktiver Verstoß gegen die EULA und licensing policy.