Prozessorlast 100%

In 'Lokale Netzwerke:', wenn "Any" oder "Externe (Network)" steht, kannst Du 100% Last oft erzeugen.  Hier hättest Du nur Lokale Netzwerke hinzufügen sollen.

MfG - Bob

Hallo Bob, danke für deine Antwort. In den lokalen Netzen sind unser Mitarbeiternetzwerk, ein Servernetzwerk sowie die VPN Netze auf unserer Seite enthalten. Die VPN Netze sind "Additional Addresses" der internen Schnittstelle eth0.

Und, wenn die VPN Netze nicht d'rin sind?

Die VPN Netze sind "Additional Addresses" der internen Schnittstelle eth0. 

Vielleicht ist das auch problematisch.  Warum macht ihr so mit "Additional Addresses"?

MfG - Bob

Hallo Bob, wir haben ca. 30 VPN Verbindungen, aber nur 8 Netzwerkschnittstellen an der ASG220. Hast du eine andere Idee, die VPN Netze zu trennen. (SAP Systeme)

Heisst das 30 Site-to-Site IPsec VPNs oder?  Eine andere Idee? Nicht im Augenblick - aber ich sehe nicht gleich warum man die  trennen soll.

Ist was anders passiert als die VPN Netze nicht mehr in IPS 'Lokalen Netzwerke' waren?

MfG - Bob

Hallo Bob, wir haben 30 Site-toSite IPSEC VPN Verbindungen und müssen die Netze trennen, da dort verschiedene Kunden SAP Systeme gehostet haben. Als ich die VPN-Netze herausgenommen habe, ging die Prozessorlast nur um 5% runter! Ich habe nun eine Sicherung von vor 2 Wochen zurück gespielt und die Last ist wieder bei 10 -20 % !
Die IPS Einstellungen habe ich dann angepasst und die Windows/Office Detection eingeschaltet, wobei die Last bei jetzt 20% stabil bleibt. Gab es irgendwelche Pattern Fehler bei den letzten Downloads?

Gab es irgendwelche Pattern Fehler bei den letzten Downloads? 

(Pardon my English.  Sometimes my brain won't create in German.  Please respond auf Deutsch.)
The backup is a Configuration backup only; it does not include any program code, email quarantine or virus or IPS patterns.  There must have been another configuration issue, so I suggest you keep a notebook for the next week or so with the date & time of each change so that you can identify what change caused this.  Please inform us when you discover it.

Given the right configuration, IPsec is capable of separating the connections.  I was confused because you said, "Die VPN Netze sind "Additional Addresses" der internen Schnittstelle eth0."  Now I understand that you want specific tunnels to be able to reach only specific servers.  The easiest way to do this is to put the individual servers in 'Lokale Netzwerke' instead of different subnets.  For example, assume that you have a subnet 10.10.10.0/24.  If Company A has the server at 10.10.10.11, then that should be the only thing in 'Lokale Netzwerke' for Company A's IPsec Connection.  If Company B has the server at 10.10.10.22, then that's all  you use for their Connection. Usw.

MfG - Bob