Guest User!

You are not Sophos Staff.

Thread Info
  • State Verified Answer
  • Locked Locked
  • Replies 28 replies
  • Subscribers 3 subscribers
  • Views 3400 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN Traffic

Dennis_the_menace

Hallo Zusammen,

ich habe seit ein paar Tagen eine UTM 9 Firewall im Einsatz. Seit dem sehe ich das Phänomen, dass sich die externen User über langsame Internetgeschwindigkeit beklagen. So wie es aussieht passiert dies immer wenn der VPN Tunnel aktiv ist.

Ich vermute, dass der gesamte Traffic (Internet + internes LAN) über den VPN Tunnel läuft und nicht nur der interne. Finde aber keine Einstellung dazu um das anzupassen.

Genutzt wird SSL VPN.



This thread was automatically locked due to age.
  • 0 in reply to jprusch

    Ein Test wäre noch interessant:

    Namensauflösung eines externen Servers (z.B. www.heise.de) mit aktivierten VPN und einmal ohne VPN.

    Also nslookup www.heise.de mit VPN und dasselbe nochmal ohn das VPN zu starten.

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to jprusch

    Ein Test wäre noch interessant:

    Namensauflösung eines externen Servers (z.B. www.heise.de) mit aktivierten VPN und einmal ohne VPN.

    Also nslookup www.heise.de mit VPN und dasselbe nochmal ohne das VPN zu starten.

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to jprusch
    jprusch said:
    nslookup www.heise.de mit VPN

    nslookup www.heise.de
    DNS request timed out.
        timeout was 2 seconds.
    Server:  UnKnown
    Address:  10.0.1.5

    DNS request timed out.
        timeout was 2 seconds.
    DNS request timed out.
        timeout was 2 seconds.
    *** Zeitüberschreitung bei Anforderung an UnKnown.

    Ohne VPN

    nslookup www.heise.de
    Server:  fritz.box
    Address:  192.168.1.1

    Nicht autorisierende Antwort:
    Name:    www.heise.de
    Addresses:  2a02:2e0:3fe:1001:7777:772e:2:85
              193.99.144.85

    Das hier steht in den DNS Eigenschaften des DC:

    jprusch said:
    Hat der SRV1 zwei IP-Adressen im selben Netzwerk?

    Ja, der Server hat eine statische IPV4 Adresse.

    Die zweite Netzwerkkarte steht auf DHCP.

    jprusch said:
    Ist der VPN-Pool (SSL) auf den DNS zugelassen?

    Wie kann ich das prüfen?

    Die VPN Profil in der Sophos sind so wie oben angezeigt.

  • 0 in reply to jprusch

    Ich habe jetzt ein neue Reverse-Lookupzone erstellt. Allerdings lässt sich die alte nicht löschen. Zugriff verweigert!?!?

  • 0 in reply to Dennis_the_menace

    Auf dem DNS-Servernamen "SRV1" die rechte Maustaste drücken, Eigenschaften, Sicherheit, Berechtigungen korrigieren. Bist du mindestens Orgaisations-Admin oder Domain-Admin, dann solltest du Vollzugriff auf alle DNS-Einstellungen haben.

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to jprusch

    Meinst du das im DNS-Manager des Servers?

  • 0 in reply to Dennis_the_menace

    Zu diesem Post habe ich jede Menge Anmerkungen:

    Bitte als erstes die zweite Netzwerkkarte mit der DHCP-Adresse ABSCHALTEN.

    Dann bitte auf der Sophos kontrollieren, ob die internen DNS-Server überhaupt "raus ins Internet" dürfen.

    Also so wie hier:

    Dann die "Forwarder" auf der Sophos kontrollieren (das ist bei mir eine "Availibilty-Group":

    Definition der "Availibilty-Group" für die externen DNS-Server (das muss jeder an seine Verhältnisse anpassen)

    Aber die beste Beschreibung zu diesem Thema gibt es in diesem Thread hier:

    https://community.sophos.com/utm-firewall/f/recommended-reads/122972/dns-best-practice

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to Dennis_the_menace

    Ja, klar, im DNS-Manager auf dem Windows-Server :-)

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to jprusch

    Wichtig ist dann noch bei den "Weiterleitungen" auf dem internen Windows-DNS-Server den ersten Eintrag auf die interne IP der Sophos zu setzen.

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to jprusch

    Im DNS vom Windows Server. Sollte dann so aussehen? Auflösung nicht möglich?

Unfiltered HTML