Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 21 replies
  • Subscribers 3 subscribers
  • Views 12679 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Timeouts

MikeRM275
Well I am not sure exactly where to put this at the moments, so I will create this post here.  All network clients are having major issues with all external internet functions.  Web pages may or may not load on the first through third try, usually the fourth will give some information of the web page.  Videos will play for two seconds then buffer for minutes to only play for two more seconds.  I even tried to create this post before and it failed multiple times.  So I am at a loss of where to look.
The Sophos UTM is in a VM on a Hyper-V 2012 R2 machine.  Being that it is a VM, my first inclination was to check the machine for hardware issues first.  Combing through the event logs on the machine and running some tests on the hardware have proved that there are no hardware faults that can be found or misconfigurations there.  The outbound NIC of the UTM is attached to a 1GB port on the ISP's router, and as far as I can tell is operating at 1GB.
With all that said, I am not having any luck with the speed gains following the various tweaks mentioned in other posts.  I am looking for some guidance on where to look at to improve the performance of the UTM so that all these drop outs can be avoided.  Any help would be appreciated.


This thread was automatically locked due to age.
Parents
  • 0
    Nothing there seems too awful.

    Here's some things for you to look at and check:

    On the UTM, from the shell, login as loginuser, then su to root.  Run ifconfig.  Do you see any errors, collisions, overruns, etc?  Are you using autonegotiation.  Run ethtool for each of your used interfaces (example ethtool eth0).  Do both the speed and duplex check out?

    Do your network cables look good?  Do you have any new spares you can swap out, just in case one is bad?

    Is your MTU set correctly for your WAN connection?

    When this happens, what are the entries in the full Web Filtering log?  Are there any other errors or other unusual entries in there?  Are there entries with excessive time values (authtime, dnstime, cattime, avscantime, or fullreqtime)?If you see any of the above, can you post those browsing sessions from the log here?

    What does your DNS setup look like (what are clients using for DNS and what are set as forwarders?

    Anything unusual at Logging & Reporting > Hardware > Daily?
Reply
  • 0
    Nothing there seems too awful.

    Here's some things for you to look at and check:

    On the UTM, from the shell, login as loginuser, then su to root.  Run ifconfig.  Do you see any errors, collisions, overruns, etc?  Are you using autonegotiation.  Run ethtool for each of your used interfaces (example ethtool eth0).  Do both the speed and duplex check out?

    Do your network cables look good?  Do you have any new spares you can swap out, just in case one is bad?

    Is your MTU set correctly for your WAN connection?

    When this happens, what are the entries in the full Web Filtering log?  Are there any other errors or other unusual entries in there?  Are there entries with excessive time values (authtime, dnstime, cattime, avscantime, or fullreqtime)?If you see any of the above, can you post those browsing sessions from the log here?

    What does your DNS setup look like (what are clients using for DNS and what are set as forwarders?

    Anything unusual at Logging & Reporting > Hardware > Daily?
Children
  • 0 in reply to Scott_Klassen
    Ok ran ifconfig as root and here is what I got for both eth0 and eth1.  Eth0 MTU:1500 RX errors: 0, dropped:0, overruns:0, TX errors:0, dropped:0, overruns: 0 collisions:0
    Eth1 MTU:1500 RX errors: 0, dropped:0, overruns:0, TX errors:0, dropped:0, overruns: 0 collisions:0
    So I proceeded with the ethtool and that really told me nothing as all I got for both was the following: Settings for eth0: Link detected: yes
    Settings for eth1: Link detected: yes
    Network cables look good, and I have swapped one out, but still have the issues (log coming ).
    I verified the MTU setting on the ISP router for the connection to the firewall and it was set at 1500.  And here we have a log sample.  The only thing running was IE from one client, watching a video that only ran close to 4 minutes over a 10 minute span.  Putting it in code blocks
    2015:07:26-09:16:15 MRM2Sophos httpproxy[5249]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.0.22" dstip="96.6.113.208" user="" ad_domain="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="1994720" request="0x10d31800" url="video.ch9.ms/.../videoplayer.html

    2015:07:26-09:16:15 MRM2Sophos httpproxy[5249]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.0.22" dstip="96.6.113.208" user="" ad_domain="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="19190" request="0x111d2000" url="video.ch9.ms/.../videoplayer.html

    2015:07:26-09:19:15 MRM2Sophos httpproxy[5249]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.0.22" dstip="173.223.204.107" user="" ad_domain="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="1220" request="0x96a3000" url="finance.services.appex.bing.com/.../AppTileV2

    2015:07:26-09:19:15 MRM2Sophos httpproxy[5249]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.0.22" dstip="173.223.204.107" user="" ad_domain="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="967" request="0x118b8000" url="en-US.appex-rf.msn.com/.../Today.xml

    2015:07:26-09:19:15 MRM2Sophos httpproxy[5249]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.0.22" dstip="173.223.204.107" user="" ad_domain="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="907" request="0xd51cd000" url="en-US.appex-rf.msn.com/.../xml"

    2015:07:26-09:19:17 MRM2Sophos httpproxy[5249]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.0.22" dstip="173.223.204.107" user="" ad_domain="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="784" request="0x10415000" url="foodanddrink.tile.appex.bing.com/.../

    2015:07:26-09:19:54 MRM2Sophos httpproxy[5249]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.0.22" dstip="23.203.160.31" user="" ad_domain="" statuscode="200" cached="4" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="1983" request="0xe5b85000" url="ocsp.entrust.net/.../x-x509-ca-cert"

    2015:07:26-09:19:54 MRM2Sophos httpproxy[5249]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.0.22" dstip="23.203.160.31" user="" ad_domain="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2010" request="0xe5b85000" url="ocsp.entrust.net/.../x-x509-ca-cert"

    2015:07:26-09:27:48 MRM2Sophos httpproxy[5249]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0xd6ea8800" function="tunnel_response_read_chunk" file="tunnel.c" line="196" message="epoll_fill_buffer: Connection reset by peer"

    2015:07:26-09:27:48 MRM2Sophos httpproxy[5249]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="192.168.0.22" dstip="96.6.113.208" user="" ad_domain="" statuscode="500" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="110187592" request="0xd6ea8800" url="video.ch9.ms/.../videoplayer.html


    Now I noticed there was an issue there and it looks like the connection was reset by the peer.

    As for the last questions DNS clients talk to the servers on the network, which forward through the firewall.  Lastly, I noticed nothing out of the ordinary on the Hardware > Daily.
  • 0 in reply to MikeRM275
    Ok, well I tried to increase the CPU spread, I gave the UTM VM 6 processors to deal with, but that has not helped with the disconnects.  Videos and web pages are still timing out.  Though the frequency of web page time outs has dropped some since making that change.

    Side note: I said the frequency dropped, but posting this caused three timeouts, right after I wrote it.
  • 0 in reply to MikeRM275
    Ok, well I tried to increase the CPU spread, I gave the UTM VM 6 processors to deal with, but that has not helped with the disconnects.  Videos and web pages are still timing out.  Though the frequency of web page time outs has dropped some since making that change.

    Side note: I said the frequency dropped, but posting this caused three timeouts, right after I wrote it.


    too many cores.  drop back to 2.