Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 20 replies
  • Subscribers 2 subscribers
  • Views 5578 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Kind of a delay before opening webpages

apijnappels
This weekend my ISP upgraded my connection to 150Mbps down / 15Mbps up.
That of course is great, but unfortunately I had to use another modem for this which they also sent me.
The modem is a Cisco EPC3928AD. It looks like it's not possible to configure this device as a bridge so I may be stucked with my UTM behind this NAT device.
I have already given my UTM a static IP in the range of the modem and setup the modem to use this address as a DMZ but some strange things are happening:

One of these problems is that when opening webpages it takes several seconds (4-20) before anything starts to happen and then all of a sudden the pages load very quickly.
I don't see anything suspicious in firewall, IPS or webfiltering logs which would explain this.

I'm using UTM 9.2 beta 9.185-3 but these problems weren't there before my ISP upgraded my connection so I don't yet suspect the beta firmware to be the culprit.


This thread was automatically locked due to age.
Parents
  • 0
    This weekend my ISP upgraded my connection to 150Mbps down / 15Mbps up.
    That of course is great, but unfortunately I had to use another modem for this which they also sent me.
    The modem is a Cisco EPC3928AD. It looks like it's not possible to configure this device as a bridge so I may be stucked with my UTM behind this NAT device.
    I have already given my UTM a static IP in the range of the modem and setup the modem to use this address as a DMZ but some strange things are happening:

    One of these problems is that when opening webpages it takes several seconds (4-20) before anything starts to happen and then all of a sudden the pages load very quickly.
    I don't see anything suspicious in firewall, IPS or webfiltering logs which would explain this.

    I'm using UTM 9.2 beta 9.185-3 but these problems weren't there before my ISP upgraded my connection so I don't yet suspect the beta firmware to be the culprit.

    double nat = ickiness....see if you can setup a dmz on the cmodem..if you can then set the WAN of the utm to the dmz interface of the cmodem..you loose the second nat at that point.  Most cmodems nat engines are horrendously slow..and as soon as you put more than a couple of hundred connections on them while they are natting they tank....

    If you are running a vm i would most assuredly switch back to a non-beta as well..first however get rid of the double nat first.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0 in reply to William Warren
    As this seems to be a cisco cablemodem, check:
    - Is WAN Interface set to MTU 1500 ? YES
    - Is TCP Window Scaling on the UTM active? YES
    - is there a working Masquerading rule Internal to WAN ? YES, to uplink interfaces actually
    - if you use HTTPS scanning, is the UTM ca cert deployed correctly to your client OS and Browsers? Already disabled HTTPS scanning

    Especially check the Masquerading ;o)


    double nat = ickiness....see if you can setup a dmz on the cmodem..if you can then set the WAN of the utm to the dmz interface of the cmodem..you loose the second nat at that point.  Most cmodems nat engines are horrendously slow..and as soon as you put more than a couple of hundred connections on them while they are natting they tank....

    If you are running a vm i would most assuredly switch back to a non-beta as well..first however get rid of the double nat first.


    I did already give the UTM a fixed-IP and set that IP-address as a DMZ-address in the webinterface of the cable modem, so on the cable modem I haven't setup any port-forwarding rules and I don't intend to change that.

    Unfortunately I use a physical box, but if necessary I could always switch back to 9.1.

    Right now I'm not at home, so I cannot check whether disabling webfiltering makes any difference. Hopefully I can quickly test this tonight.

    Managing several Sophos UTMs and Sophos XGs both at work and at some home locations, dedicated to continuously improve IT-security and feeling well helping others with their IT-security challenges.

    Sometimes I post some useful tips on my blog, see blog.pijnappels.eu/category/sophos/ for Sophos related posts.

Reply
  • 0 in reply to William Warren
    As this seems to be a cisco cablemodem, check:
    - Is WAN Interface set to MTU 1500 ? YES
    - Is TCP Window Scaling on the UTM active? YES
    - is there a working Masquerading rule Internal to WAN ? YES, to uplink interfaces actually
    - if you use HTTPS scanning, is the UTM ca cert deployed correctly to your client OS and Browsers? Already disabled HTTPS scanning

    Especially check the Masquerading ;o)


    double nat = ickiness....see if you can setup a dmz on the cmodem..if you can then set the WAN of the utm to the dmz interface of the cmodem..you loose the second nat at that point.  Most cmodems nat engines are horrendously slow..and as soon as you put more than a couple of hundred connections on them while they are natting they tank....

    If you are running a vm i would most assuredly switch back to a non-beta as well..first however get rid of the double nat first.


    I did already give the UTM a fixed-IP and set that IP-address as a DMZ-address in the webinterface of the cable modem, so on the cable modem I haven't setup any port-forwarding rules and I don't intend to change that.

    Unfortunately I use a physical box, but if necessary I could always switch back to 9.1.

    Right now I'm not at home, so I cannot check whether disabling webfiltering makes any difference. Hopefully I can quickly test this tonight.

    Managing several Sophos UTMs and Sophos XGs both at work and at some home locations, dedicated to continuously improve IT-security and feeling well helping others with their IT-security challenges.

    Sometimes I post some useful tips on my blog, see blog.pijnappels.eu/category/sophos/ for Sophos related posts.

Children
No Data
Cookie Information Banner