Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 25 replies
  • Subscribers 25 subscribers
  • Views 8345 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Performance (DNS-Surfen) Probleme

t14u
Hallo,

wie gewünscht, eröffne ich hier einen neuen Thread mit meinem Problem:
...
ich muß zugeben, als Umsteiger vom TMG habe ich mich recht schnell und einigermassen gut mit der Astaro zurechtgefunden.
Habe eine auf Hyper-V auf nem N40L und eine auf ner Hardware direkt installiert...
Die Probleme mit den DNS Anfragen kenne ich auch und habe leider auch keine Lösung. Vermute schon fast, es liegt am KabelDeutschland Anschluß.
Wenn ich manuell an der Astaro einen anderen DNS angebe, läuft es wieder recht gut. Nehme den 4.2.2.3 oder den 8.8.4.4. Wobei letzterer der von google ist, zwar auch gut läuft, aber die bekommen dann noch mehr mit, als die eh schon sammeln ;-)
Und dann habe ich das Problem, dass das Surfen recht lahm ist.
Messwerte bei speedtest.t-online.de liefern sehr schlechte Werte beim Surfen.
Wenn ich die Astaro mit nem TP-Link Router austausche, ist das komplette Surfverhalten anders und ich erkenne meinen Anschluß nicht wieder.
Auch die Werde beim Speedtest bestätigen das. Mit der Astaro komme ich auf Surfwerte von 2000-3000ms und mit der TP-Link Box bin ich bei 100-300ms
Habe schon zig Einstellungen versucht zu verändern, hilft aber alles nix.
Aber der Schutz für die Kids ist mir wichtiger als der Speed beim Surfen (Downloads kommen ja mit 100MBit ohne Probleme)
Bin auf ne Lösung gespannt...
Habe Ihr Ideen?

T.


This thread was automatically locked due to age.
  • 0
    Sorry, da fehlen einfach zu viele Infos...

    Hardware (CPU Geschwindigkeit und Kerne, RAM, HDD/SSD)?
    Software-Version?
    Auslastung der Hardware?
    Welche Features auf der UTM aktiviert?
    Was meinst du mit "Surfwerte von 2000-3000ms"?

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0 in reply to scorpionking
    Ist für zu Hause (also HomeLizenz).
    HW Testweise momentan 8 Core, 2,6 GHz
    8GB Ram, SSD
    Superschneller Rechner, ist aber auf meiner anderen HW genau das gleiche Problem. (2Core, 2GB RAM und HDD)
    User sind wir hier zu Hause 4.
    Wenn ich in den Filteroptionen ne Ausnahme für einzelne Rechner definiere, gehts besser, aber immer noch welten entfernt von einem "normalen" Surfverhalten und der Webfilter ist halt dann nicht für diesen Rechner an.
    Habe nur Webfilter und Antispyware aktiv.
    Auslasung der Hardware ist bei beiden Testsystemen nahe 0%.
    Und mit testwerten meine ich, wie geschrieben, bei speedtest.t-online.de die Ergebnisse die gezeigt werden.
    mit Webfilter habe ich teilweise Werte von 6000ms, ohne webfilter 2000ms und ohne Astaro 200ms 

    Danke schon mal für die Hilfe/Vorschläge
    T.
  • 0
    Hi,

    haben das Problem auch mit einer ASG220 in der Firma. Haben auch keine Lösung gefunden bis jetzt.
  • 0
    @t14u:

    Die nächsten Fragen: [;)]
    Wie ist dein Webfilter genau konfiguriert? Am Besten wären Screenshots.
    Ist IPS aktiv? Wenn ja, wie konfiguriert?
    Was passiert, wenn du den Webfilter ausschaltest und stattdessen eine Firewall-Regel "Internal (Network) -> Any -> Any -> Allow" erstellst (nur zum Testen!)?

    Ach ja, die Netzwerk-Hardware wäre noch interessant (Switche, Netzwerkkarten, 100 oder 1000MBit/s).
    Realtek-Netzwerkkarten sind z.B. bekannt dafür, dass sie schlechte Performance in der UTM liefern.

    Was hast du für einen Internet-Anschluss?
    Wie kommt die UTM ins Internet? Direkt per Modem oder mit vorgeschaltetem Router?

    Nur mal zum Vergleich:
    Ich habe die Hardware in meiner Signatur an einem ADSL 16.000 der Telekom, UTM direkt per Modem am Internet. So gut wie alle Features an. Im Vergleich zu einem dummen Router merke ich nahezu keine Verschlechterung in der Zugriffsgeschwindigkeit auf's Internet.
    Auf Speedtests darf man sich allerdings nicht verlassen, die spinnen meist, wenn ein Proxy dazwischen hängt...

    edit:
    Meine spontanen Vermutungen zu deinem Problem:
    - falsche MTU
    - schlechte Netzwerkkarten (Realtek, USB, o.ä.)


    @IGEL:
    Support Case bei Sophos aufmachen lassen (oder selber, wenn Premium Support)!

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0 in reply to scorpionking
    Hi, hier mein Versuch einer genaueren Beschreibung mit Bezug auf die Fragen:

    IPS ist nicht aktiviert.
    Webfilter ausschalten ist die einzige Möglichkeit das Problem zu lösen. (auf beiden Maschinen) 
    Mittlerweile gehe ich von nem Konfigurationsfehler von meiner Seite aus.

    Hardware ist wie schon geschrieben nocht ausgelastet (2core und 8 core 8 GB RAM usw&#8230[;)] mit Intel GBit Karten und GBit Switch

    Deshalb hier noch mal, was ich eigentlich wollte mit der Astaro:
    Intern nach Extern alles zulassen (wollte nicht wegen jedem Spiel, Lync usw. ne eigene Regel/Port freischalten)
    Der Webfilter sollte bestimmte Seiten für die Kids blocken (also für unser ganzes Netzwerk, nicht nur extra für einzelne Personen).
    Evtl wäre ein WebProtokoll interessant (macht die UTM ja)

    Deshalb habe ich folgendes konfiguriert:
    Bei Netzwerkprotektion:
    Firewallregel: Intern-Any-Any
    NAT: Intern->WAN(Extern)
    VOIP: SIP-Servernetzwerke – Any und SIP-Clientnetzwerke – Any

    Bei Web Protection:
    Webfilter: Zugelassene Netzwerke Intern(Network) Sonst wie eingestellt den Tranzparentmodus und htts URL Filterung
    Die Richtlinie dazu ist nur die Basisrichtlinie vorhanden
    Dann die Webfilterprofile: Default Web Filter Profile
    Filteraktionen: hier habe ich die Default content filter action angepasst, das ich Werbung, ****o, Waffen usw. Seiten rausfiltere. Die Default content filter block action habe ich nicht geändert

    Dann nur noch bei den Filteroptionen bei sonstiges den Webproxy eingeschalten.

    Internetanschluss ist KD mit 100 Mbit und noch einen 1und1 mit 50 Mbit (das Problem tritt bei beiden auf)
    Und beide gehen über Modem, bzw. Fritzbox ins Internet. Auf der KD Seite habe ich schon das Modem in den Bridge Modus geschalten, war aber auch keine Lösung für mein Problem. 

    Speedtests sind das eine, ja, aber wenn Webseiten 5-10 Sekunden zum öffnen dauern, und mit abgeschaltenen Webfilter sind die dann spontan da, ist das Problem recht eindeutig dort zu suchen, denke ich….

    MTU einstellen, habe ich keine Ahnung, steht überall auf 1500.

    So, erst mal viel Stoff, bin aber n totaler Fan der Astaro und will die unbedingt weiter verwenden.

    Vielen lieben Dank schon mal für Eure/Deine Mühe mir und allen anderen hier zu Helfen. Das schätze ich sehr.
    T.
  • 0
    @t14u

    Mach' bitte mal Screenshots deine kompletten WebProxy-Konfiguration.

    Außerdem wäre das WebProxy-Log von einem Tag nützlich,
    an dem das Problem bestand.

    Warum hast du eigentlich nur eine Maskierungs-Regel, die auf "WAN (Extern)" nattet?

    Du hattest doch geschrieben, dasss du 2 Internet-Anbindungen hast.

    Da würde eine Maskierungs-Regel, die auf die "Uplink Interfaces" nattet Sinn machen.

    Nutzt du das Uplink-Balancing unter "Interfaces & Routing"-> "Interfaces" -> "Uplink Balancing"?

    Wie gesagt, Screenshots der Proxy-Konfiguration + WebProxy-Log...

    Gruß, Datax
  • 0 in reply to Datax_87
    Hier die ersten Screenshots, die zweiten kommen gleich
  • 0 in reply to t14u
    Zum Thema 2 Internetanschlüsse, ja, die habe ich, habe aktuell aber nur immer einen angeschlossen, da ich nicht unnötig ne weitere mögliche Fehlerquelle einbauen wollte. Der 1und1 kommt eh bald weg, wenn der Vertrag ausgelaufen ist...
    Und welches Log soll ich denn schicken?
    Web Applikation?
    Das würde ich direkt per PN schicken, wenns Euch recht ist....

    Anbei noch ein Screenschot vom speedtest bei t-online. Entsprechend ich auch der Seitenaufbau beim Surfen....
  • 0
    @t14u

    Das wäre das "Webfilter"-Log gewesen, das du hochladen solltest,
    aber ist nicht nötig.

    Deine Default-Policy ( Default Content Filter Action ) ist einfach nicht korrekt konfiguriert.

    In deiner Richtlinie werden eine ganze Reihe von Kategorien blockiert ( Weapons, Drugs etc. ) und UND NUR EINZELNE SITES erlaubt.

    In der Richtlinie einfach mal alle zu erlaubenden Kategorien whitelisten,
    dann sollte es funktionieren.

    Kannst ja trotzdem einfach mal das Webfilter-Log hochladen : - )!

    Gruß, Datax
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?