Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 2717 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Spiky and poor bandwidth

FastLaneJB
Hi,

I'm trying to run Sophos UTM v9.1 in KVM however it is using PCI passthrough of 2 Intel NIC's so the NIC's are physical for all intents and purposes. I've been running pfSense and the performance is perfect but I would like the filtering of Sophos UTM to block the eldest from going to places on the Internet he shouldn't. For this Sophos looks to be the best / easiest solution I've come across.

Anyway running the setup on KVM as I am I get perfect performance from pfSense, ClearOS, Zentyal, Untangle, etc, etc. The only one which has issues is Sophos UTM.

Originally the ping was horrible as well as the bandwidth even with all filters turned off but I updated to u2d-sys-9.103005-104014.tpz.gpg off the site and this seemed to fix that but the bandwidth is still horrible.

Basically to describe what I get on pfSense and others is a solid and steady stream of 190Mbps down and 39Mbps up (200/40 connection). Sophos can only pull off 71.5Mbps down and 37.9Mbps up and this is with everything turned off (Filtering, etc). The latency and Jitter is at least the same.

Any ideas people? I've put some attachments with this post to show what I mean and settings.

If it wasn't for the excellent filtering I'd have given up on Sophos UTM but I'd like to try and fix this if at all possible. However as it stands it's unusable for me.

Cheers,
James


This thread was automatically locked due to age.
Parents
  • 0
    200/40 MBit over PPPoE (xDSL, Fiber)? Really? My first guess would be MTU or Duplex Mismatch on the WAN Interface, second guess, that you maybe disabled TCP Window Scaling. Or probaby the PPPoE daemon itself is also technically limited, never have seen such a fast PPPoE Connection up to now...
  • 0 in reply to Sascha Paris
    Hi guys,

    Thanks for the quick replies.

    Here's the info that was requested Barry,

    1. I cannot see any serious CPU usage with top. I originally had 2 CPU cores to it but tried with 4 just incase but no change.

    2. Both the NIC's are Intel Corporation 82574L Gigabit Network Connection with direct passthrough so despite being KVM Sophos and pfSense see them as these. I think that's the e1000 driver on Linux that gets used.

    3. I've attached images of the network setup as my first opinion was the MTU but it looks OK to me. The wizard out of the box does set it wrong however as the MTU is far lower.

    4. I'm running Proxmox 3.0 which is fully up to date on the stable branch so I believe this is KVM 1.4.2 currently. I'm using virtio for the disk and the CPU is set to host so it gets the full features passed through.

    Sascha, It's a fiber connection but uses PPPoE for authentication. It's different but that's how it is. Other Linux distro based firewalls have no problems with the connection so I imagine Sophos should also be able to handle this OK.

    Where can I check TCP Window Scaling in Sophos? I've not changed anything really other than installing it clean and then disabling all the filtering until I can get it working at full speed (If possible).

    Cheers,
    James
  • 0 in reply to FastLaneJB
    Ever since the vyatta folks gave community edition users a finger, I have been using pfsense and I like it a lot. To be honest, pfsense vs astaro is not really a good comparison even when you turn everything off on astaro.

    At home, I used to run vyatta as a router and then used astaro behind it as a UTM... these days I do the same with pfsense. 

    Pfsense pppoe----UTM---LAN/DMZ and it works great. 

    I am not sure if the kvm drivers are not playing good with astaro, otherwise you should have similar performance as untangle when using astaro.
  • 0 in reply to Billybob
    I guess I could bridge Sophos behind pfSense which could well solve this problem though I was hoping to have an all in one solution. I do actually love pfSense, its more the web filtering to stop the eldest going to places on the Internet he shouldn't. I'll look into bridged but then its going to need to use virtio for the NIC's in some places.

    I don't think KVM drivers should be affecting this in anyway. I'm only using the blockio storage driver. The NIC's which are the most important part for a router are directly passed through so no different than if it was running physical there.
  • 0 in reply to FastLaneJB
    I guess I could bridge Sophos behind pfSense which could well solve this problem though I was hoping to have an all in one solution.


    Hi, 

    Bridging probably wouldn't help unless you remove the UTM from the VM server, in which case I'd recommend putting the UTM on dedicated hardware in front of the VM server and the rest of your network, without bridging.

    If you don't want to / can't do that, and all you want is the http proxy (Web Protection), you don't need bridging; you can set your client's browsers to use the proxy, and disallow http/s on the firewall for everything but the proxy.

    Barry
Reply
  • 0 in reply to FastLaneJB
    I guess I could bridge Sophos behind pfSense which could well solve this problem though I was hoping to have an all in one solution.


    Hi, 

    Bridging probably wouldn't help unless you remove the UTM from the VM server, in which case I'd recommend putting the UTM on dedicated hardware in front of the VM server and the rest of your network, without bridging.

    If you don't want to / can't do that, and all you want is the http proxy (Web Protection), you don't need bridging; you can set your client's browsers to use the proxy, and disallow http/s on the firewall for everything but the proxy.

    Barry
Children
No Data