Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 22 replies
  • Subscribers 4 subscribers
  • Views 23916 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos UTM speeds seem to be capped (getting 25mbits instead of 200mbits)

exwhywhyzee
i have Time Warner, and recently, I was offered a free tier upgrade.  I was upgraded to the 200mbits package.  However, the various speed tests would show a peak of about 25mbits.  In speaking to the TWC tech, they thought it might be an issue with the modem, so the sent out a new one.  The problem, unfortunately, was not resolved by replacing the modem.

When I connected my laptop directly to the modem and ran the speed tests, I peaked out at about 215mbits.  The only device between the modem and my internal network is my Sophos UTM box.

I'm running 9.310-11 at the moment, which is running on top of esxi 5.0.
It's on an AMD e350, with 8GB, and dual Intel 1000mbit NICs.

I'm not sure what other information is pertinent, so please ask me, and I'll post it.

Any any all help will be greatly appreciated.


This thread was automatically locked due to age.
  • 0
    Hi,
    in my opinion the AMD e350 is not fast enough for your link.
    To test single user performance turn off IPS and the web proxy.
    In other threads William has posted many thoughts on the ability of snort to ramp up a CPU.

    What does the hardware graph show when running your speedtest. Can you disable the speed reduction  settings in bias so the processor runs flat out?

    Is the modem in bridge mode?

    Ian M
  • 0
    i have Time Warner, and recently, I was offered a free tier upgrade.  I was upgraded to the 200mbits package.  However, the various speed tests would show a peak of about 25mbits.  In speaking to the TWC tech, they thought it might be an issue with the modem, so the sent out a new one.  The problem, unfortunately, was not resolved by replacing the modem.

    When I connected my laptop directly to the modem and ran the speed tests, I peaked out at about 215mbits.  The only device between the modem and my internal network is my Sophos UTM box.

    I'm running 9.310-11 at the moment, which is running on top of esxi 5.0.
    It's on an AMD e350, with 8GB, and dual Intel 1000mbit NICs.

    I'm not sure what other information is pertinent, so please ask me, and I'll post it.

    Any any all help will be greatly appreciated.


    not nearly enough cpu.  You need a new host with at least a core i-3 3.0 ghz especially if you are using IPS/ATP.
  • 0 in reply to William Warren
    thank you for the responses.

    i checked the CPU usage during the speed test, without changing any settings, and it peaked at about 40%.

    as for your recommendation, how do i change the CPU feature?

    i honestly need something as beefy as an i3 for a simple home setup for 3 people?  if i have to do an upgrade, what is the least expensive and lowest power consumption option available to me?
  • 0
    I turned off the ATP, IP, and Web Filtering (this is the web proxy right?) and the speed jumped to close to 6mbits with about a 12% CPU usage.

    what are the speed reduction settings, do you mean in the bios, or somewhere else?
  • 0 in reply to exwhywhyzee
    I turned off the ATP, IP, and Web Filtering (this is the web proxy right?) and the speed jumped to close to 6mbits with about a 12% CPU usage.

    what are the speed reduction settings, do you mean in the bios, or somewhere else?


    no the ips is what is slowing you down.  ATP however isn't effective without ips.  If you want to go with 200 megabits with atp, IPS, and http proxy(web filtering) you are going to need a much faster cpu.
  • 0 in reply to William Warren
    To give you an idea, my son is running a i3-3220t (2.8ghz) with 2 users and about 5  or 6 devices on a 100mb/s link. His UTM has ATP, IPS and webproxy enabled as well as double scan AV. 
    He when he can find a site does hit 90-100mb/s.
    I3s are cheap, you can use a cheap motherboard with 8gb ram and cheap 2.5" disk drive. I do suggest you buy a dual Intel NIC.

    Ian M

    As William has pointed out in many threads, a pentium or celeron will also do the job, cheaper, less heat and just as fast.
  • 0 in reply to RFCat_vk_01
    To give you an idea, my son is running a i3-3220t (2.8ghz) with 2 users and about 5  or 6 devices on a 100mb/s link. His UTM has ATP, IPS and webproxy enabled as well as double scan AV. 
    He when he can find a site does hit 90-100mb/s.
    I3s are cheap, you can use a cheap motherboard with 8gb ram and cheap 2.5" disk drive. I do suggest you buy a dual Intel NIC.

    Ian M

    As William has pointed out in many threads, a pentium or celeron will also do the job, cheaper, less heat and just as fast.


    i have the dual-port intel nics that i'm using, so those will be transferred over.

    i am looking for a low-draw processor.  i was considering a quad-core Celeron that has a power draw of under 20W.  any comments about how a T-series i3 would work, or in the Pentium flavors, the G3258 or G3260?
  • 0
    stick with dual core unless you have more than 25 users.
  • 0 in reply to William Warren
    I have exactly the same problem. What makes me wonder, I was running on the same hardware before  pfSense, with 200 Mbit throughput and Snort activated. No question, hat proxying slows down. It is not really clear for me why the AMD Fusion350 is more than enough with all kind of security enabled on pfsense but not on the soho um.
    That is the reason I switched back to pfsense...

    Btw. Sophos was running on a SSD and pfsense still on old HD...
  • 0
    HSeffers - Was Snort running inline or just monitoring?  Prevention mode?  If Snort is just monitoring a sniffer port or tap, then you will not have any limitations on it.  The inline mode is where your performance would be limited, and I doubt you were running in that mode as most of time it is just monitoring a single interface for traffic.  Just make sure you are comparing apples to apples.