Hallo Forum,
ich habe eine Sopos XG Firewall 135 mit neuster Firmware.
Die User verbinden sich per SSL-VPN auf dieser Firewall. Der Zugriff allerdings zu den Systemen ist sehr langsam.
Die Datenübertragung beträgt gerademal 1MB/S , habt Ihr eine Idee woran das liegt.
SSL-VPN ist schon auf UDP eingstellt und die User haben eine MTU von 1300 eingestellt.
Habt Ihr weitere Ideen wie die Übertragung schneller gemacht werden kann?
Vielen Dank
Hallo Jonas,
wir nutzen das auf einem XG 210 Cluster ohne Probleme ..
Wird der alte Client oder Sophos Connect verwendet?
Folgende Lösungsansätze hätte ich (überwiegend für den alten Client):
1) Schau Dir den Verkehr mal auf dem Client in Wireshark an.
2) Von wo verbinden sich die Clients (Europa, Asien, USA). Wie ist die Latenz?
3) Ist die Firewall - aus welchen Gründen auch immer - am CPU Limit?
4) Ändere mal die Einstellungen von UDP auf TCP (wenn die Latenz nicht allzugroß ist macht das nicht wirklich einen Unterschied).
5) Eventuell hapert es an der Hardwareunterstützung für AES and der XG. Dazu müsste mal jemand von Sophos etwas sagen da ich nicht weiss was drin ist. Wir haben auch mehrere XG 135 nutzen diese aber nicht zur VPN Einwahl
6) Welcher Port wird genutzt? Gibt es da eventuell einen Konflikt?
7) Teste das Ganze mal lokal z.B. vom Gäste LAN zur Firewall.
8) Könnte das IDS die Ursache sein (einfach mal auschalten).
9) Welche Komponenten vor der Firewall könnten Probleme verursachen, welche dahinter (z.B. Loadbalancer).
Unsere Einstellungen im besagten XG 210 Cluster:
Bei UDP traffic (Audio) hat es vielfach auch geholfen den UDP Timeout in der CLI hochzusetzen. Falls es Probleme gibt dann müsste es im Wireshark zu sehen sein. Dazu müsste die Latenz der Verbindungen dann > als der aktuell konfigurierte Timeout sein. (Ich würde das Ganze ohnehin als erstes mal mit TCP ausprobieren).
Nachdem Parameter umgestellt werden müsste auch ein neues Konfig File gezogen werden. Falls eine größere Anzahl von Usern sich einwählen unbedingt ein Backup machen um den alten Zustand wiederherzustellen falls es Probleme gibt. Bei manchen Änderungen braucht es nach meinem Kenntnisstand ein neues Konfig File für alle User.
Gruß
BeEf
Hallo Jonas,
wir nutzen das auf einem XG 210 Cluster ohne Probleme ..
Wird der alte Client oder Sophos Connect verwendet?
Folgende Lösungsansätze hätte ich (überwiegend für den alten Client):
1) Schau Dir den Verkehr mal auf dem Client in Wireshark an.
2) Von wo verbinden sich die Clients (Europa, Asien, USA). Wie ist die Latenz?
3) Ist die Firewall - aus welchen Gründen auch immer - am CPU Limit?
4) Ändere mal die Einstellungen von UDP auf TCP (wenn die Latenz nicht allzugroß ist macht das nicht wirklich einen Unterschied).
5) Eventuell hapert es an der Hardwareunterstützung für AES and der XG. Dazu müsste mal jemand von Sophos etwas sagen da ich nicht weiss was drin ist. Wir haben auch mehrere XG 135 nutzen diese aber nicht zur VPN Einwahl
6) Welcher Port wird genutzt? Gibt es da eventuell einen Konflikt?
7) Teste das Ganze mal lokal z.B. vom Gäste LAN zur Firewall.
8) Könnte das IDS die Ursache sein (einfach mal auschalten).
9) Welche Komponenten vor der Firewall könnten Probleme verursachen, welche dahinter (z.B. Loadbalancer).
Unsere Einstellungen im besagten XG 210 Cluster:
Bei UDP traffic (Audio) hat es vielfach auch geholfen den UDP Timeout in der CLI hochzusetzen. Falls es Probleme gibt dann müsste es im Wireshark zu sehen sein. Dazu müsste die Latenz der Verbindungen dann > als der aktuell konfigurierte Timeout sein. (Ich würde das Ganze ohnehin als erstes mal mit TCP ausprobieren).
Nachdem Parameter umgestellt werden müsste auch ein neues Konfig File gezogen werden. Falls eine größere Anzahl von Usern sich einwählen unbedingt ein Backup machen um den alten Zustand wiederherzustellen falls es Probleme gibt. Bei manchen Änderungen braucht es nach meinem Kenntnisstand ein neues Konfig File für alle User.
Gruß
BeEf
