Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 21 replies
  • Subscribers 3 subscribers
  • Views 8201 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site to Site VPN only 400kb/s DL and http/https problems

hacker
Hi
I have two Astaro's (ASG). One is located in a data center and the other at home with me. The Astaro are connected via vpn site to side. I have an external routed IP subnet on the Astaro. This is my local network at home.

construction:


I now have the problem I websites such as facebook or not ripe or can visit the page is built up slowly Exterm.

Also, I just come to a download of 416K/s (with NAT 1,4M/s)

can someone tell me what's wrong?
I have also been tested with internal subnets.

thank you


--- german version ---

Hi
ich habe zwei astaros (ASG). Eine befindet sich in einem Rechenzentrum und die andere bei mir zuhause. Die astaros sind via site to side vpn verbunden. Ich habe ein externes IP-Subnetz auf die Astaro geroutet. Dieses ist mein lokales netz zuhause.

Aufbau:


Ich habe nun das Problem, das ich webseiten wie facebook oder ripe nicht besuchen kann bzw. die seite exterm langsam aufgebaut wird.

Außerdem komm ich nur auf einen Download von 400kbit/s (DSL 10.000)

kann mir jemand sagen woran das liegen könnte?
ich habe es auch schon mit internen subnetzen getestet.

danke


This thread was automatically locked due to age.
  • 0 in reply to BAlfson
    Why not limit the traffic sent to the office Astaro to strictly the IPs you can't reach directly?  Your home Astaro offers the same protection as the one in the office, so there's no reason to send all traffic through both.
    Cheers - Bob

    I do not understand what you mean

    Astaro on both services are all disabled, only Site-to-Site VPN is running.
    thus it can not be the http proxy

    with the "'Support Path MTU Discovery":
    HTTP 1,30M/s
    SCP 1.2MB/s

    so it works, thank you very mutch.

    I use at home external ip addresses, which are fully accessible via the internt.


    So now the Problem with:
    http://ripe.net/
    http://apple.de/
    https://www.facebook.com/
    i cant connect to this sites
  • 0
    Why not limit the traffic sent to the office Astaro to strictly the IPs you can't reach directly?  Your home Astaro offers the same protection as the one in the office, so there's no reason to send all traffic through both.
    Cheers - Bob
    I do not understand what you mean

    Astaro on both services are all disabled, only Site-to-Site VPN is running.
    thus it can not be the http proxy

    I didn't mention the HTTP Proxy there.  The issue is that in your home Astaro's 'Remote Gateway' definition, you have "Any" (instead of just the networks local to the office Astaro) in 'Remote networks'.  That results in ALL of your traffic going through the VPN tunnel.  The net result is that your maximum download speed is something less than the maximum upload speed at your office.

    Cheers - Bob
  • 0
    yes iknow, in the datacenter (office) i have 100mbit/s so the Downlaodproblem is solved.

    but i cant connect to 
    RIPE Network Coordination Centre
    Apple
    https://www.facebook.com/
    Apple
  • 0
    Whenever there's something strange, it always pays to check the packet filter (firewall) and Intrusion Prevention logs.  Anything unusual there when you try those sites?

    Cheers - Bob
  • 0
    Paketfilter has only one rule (for tests) ANY -> ANY -> ANY
    Intrusion Prevention is disabled.

    Ripe.net: The connection to the server was reset while the page is loaded.

    http://facebook.com (without HTTPS works normaly)
  • 0
    Even if Intrusion Prevention is disabled, you should look in the log.  Anti-DoS Flooding is seen in there, too.

    I understood you to indicate, earlier in the thread, that the Proxies were not enabled, just as the two Dashboards above show.  So, are you saying that you're having difficulty with those sites when the web Proxy is enabled?  Is this in a 'Transparent' mode?  Do you have 'Scan HTTPS (SSL) Traffic' enabled?

    Cheers - Bob
  • 0
    logfiles are not inquire into the home of the client in the asg2 (@ home) to see.
    I quite rightly so, since I use external IP addresses and these will be complete by then routed.
    When I use the HTTP proxy would be more active, I would be working through NAT (Ip of ASG1) I want to avoid the surf.

    --- german version ----
    in den logfiles sind keine anfragen von dem home client in der asg2 (@home) zu sehen.
    Ich auch richtig so, da ich externe IP-Adressen einsetze und diese dann komplet durch geroutet werden.
    Wenn ich den HTTP Proxy aktiveren würde, würde ich über NAT (Ip von ASG1) surfen das möchte ich vermeiden.


    Edit:
    i tested with HTTP Proxy on ASG1 all sites works fine, but i have the external IP from the ASG1 and not the external IP from my homeclient.
  • 0
    i tested with HTTP Proxy on ASG1 all sites works fine, but i have the external IP from the ASG1 and not the external IP from my homeclient.


    If I recall correctly, ASG1=office and ASG2=home.  There are two solutions:

    - 1 - Instead of site-to-site being 'ASG2-Internal (Network)  ASG1', change it to only 'ASG2-Internal (Network)  ASG1-Local-Networks'.  In ASG2, activate Web Security and surf directly from your home.

    - 2 - To use the office Web Security, but surf with an IP from your home, create a Proxy Profile in ASG1 for your home network, and use the 'Full Transparent' selection.

    If I understand correctly, the speed problem already was resolved (oder nicht?).

    Cheers - Bob
  • 0
    the speedproblem is solved.

    I think I expressed myself wrong or not clear
    I'm in the office a 64 IP addresses, and this was divided into two 32 Ip networks. Ips are therefore 32 in the data center. The second / 27 I route network to the IP address of extrerne ASG1, these routes the power through the Site to Site tunnel to ASG2 (home) which is assigned to the subnet as local network.


    ---german version---
    ich glaube ich habe mich falsch oder nicht klar ausgedrückt
    ich habe im büro ein 64 IP-Adressen und habe diese in zwei 32 Ip Netze geteilt. Somit sind 32 Ips im Rechenzentrum. Das zweite /27 Netz route ich auf die extrerne IP-Adresse der ASG1, diese routet das Netz durch den Site to Site Tunnel zur ASG2 (home) welche das Subnetz als als lokales Netz zugewiesen hat.
  • 0
    Yes, that was what I understood from both the English and Deutsch.

    - 1 - This assumes that you can have your home /27 subnet routed directly to your home rather than through the office Astaro.

    - 2 - This is the solution to choose if you must route the entire /26 subnet through your office.

    Although, there is a third possible way to use Web Security if everything must go through your office ASG.

    - 3 - You can use a Full Transparent Proxy Profile at home, and no Masquerading rule in the office ASG for your home network.

    Cheers - Bob