Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 3822 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM110-Performance --> upgrade to SG1xx/SG2XX?

bfg9000
Hi there,

I had deployed several UTM 110 boxes at customer sites troughout 2014.

One customer (16 mps down/1mbps up ADSL) is now experiencing delays while browsing websites. He told me that usually websites needed about 3 to 4 seconds to open up completely. Now sometimes they need up to 15 seconds according to him.
Firmware is 9.211-3 (I know... will be upgraded to 9.3xx this evening).

I could NOT reproduce this behaviour. At least when I turn off web protection, the troughput nearly reaches 16 mbps.


But I found some posts indicating that using the UTM (or any device) with a router instead of a simple modem may create delays as there are two devices that have to do NAT instead of one.
Did anyone here ever test if and how this 'double NAT situation' causes perfomance issues?

The customer may be willing to upgrade his hardware soon.
Assuming there now is this 16 mbps line BUT it's possible that some time in the future he will get a 50 mbps/10 mbps VSDL line... which device would you recommend?

No RED devices, no access points (yet, but max. 1-2, if ever), no VPN, no heavy use (five users but only one with >100 e-mails a day and some pretty big downloads).

Moduls currently activated:

- Firewall
- IPS (7289 of 23000 patterns)
- Web Filtering
- Network visibility
- Antivirus and Antispyware (http/https)

While the SG 115and SG 125 (and even SG 135 and SG 210) seem affordable, their subscriptions are not. [:D]

So I guess only the SG 115 or SG 125 are options here. Will they do a much faster job/will they be capable enough for a 50/10 line?


Last question: Some years ago it had been a golden rule to not let your firewall(s) do the dial-up. So I chose the double NAT scenario.
Are the UTMs/SGs doing a good and stable job when it comes to establishing dial-up connections?


Sorry for my english. [:$]

Best Regards,
bfg


This thread was automatically locked due to age.
  • 0
    Double NAT causes problems with IPsec, but it shouldn't affect the speed of your connections.

    I believe that an old bug came back sometime in 9.2, and that it's still with us in 9.309.  It seems to affect a few UTMs and not others.  I have no idea why.  Try setting Anti-Virus to dual-scan everywhere.

    Bad advice: For someone with a UTM 110, an SG 105w would make  an awesome replacement and I think would handle at least 50Mbps.  The SG 115 would "future-proof" better, but if the 105 is adequate for two or three years, it's money saved.  The 105w that I configured had a wireless signal as strong as an AP 30.

    I would not renew a 110/120, and would freely replace a 220 with a new 125/135, and a 320 with a 135/210/230

    Cheers - Bob
    PS Dein Englisch ist fast Fehlerfrei - besser als viele meiner Landsmänner !  In fact, the only "errors" I see that aren't typos indicate that your command of the German language is also very sophisticated.  For example, using "had been" in the last paragraph instead of "was" and "had deployed" in the first sentence instead of just "deployed."
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hi Bob,

    thank you for your fast reply!

    Double NAT causes problems with IPsec, but it shouldn't affect the speed of your connections. 


    I will keep that in mind. None of my customers are using IPsec, instead they are using RDP over SSL.
    I am only forwarding ports 25 and 443 to the server (internet --> router --> UTM110 --> server)

    If there ever will be the need to connect customers via IPsec-VPN to the UTM I hope I will remember your words.



    I believe that an old bug came back sometime in 9.2, and that it's still with us in 9.309.  It seems to affect a few UTMs and not others.  I have no idea why.  Try setting Anti-Virus to dual-scan everywhere. 


    Anti-Virus was not enabled for FTP --> I just changed that to 'enabled' and 'dual scan'.
    SMTP and POP3: Both modules are not currently in use.
    Is there any place else to look for av settings? [:$]

    [Edit: ATP is not enabled]



    For someone with a UTM 110, an SG 105w would make  an awesome replacement and I think would handle at least 50Mbps.  The SG 115 would "future-proof" better, but if the 105 is adequate for two or three years, it's money saved.  The 105w that I configured had a wireless signal as strong as an AP 30.


    Wow, are these new machines this better/faster?!
    So for this specific customer a 115/125 would be a very, very, strong/fast alternative but even the 105 would suffice?


    I would not renew a 110/120, and would freely replace a 220 with a new 125/135, and a 320 with a 135/210/230


    This, I did not understand. [;)]

    So are you saying you would not replace an existing 110?



    PS Dein Englisch ist fast Fehlerfrei - besser als viele meiner Landsmänner !  In fact, the only "errors" I see that aren't typos indicate that your command of the German language is also very sophisticated.  For example, using "had been" in the last paragraph instead of "was" and "had deployed" in the first sentence instead of just "deployed."


    Danke schön... [:$]
    My German is quite ok, my English hearing skills are way better than a year ago (thank you, Netflix [:D]).
    But speaking and writing in proper English - still a long way to go...
  • 0
    The most important place to change Anti-Virus is in the Web Filtering Policies.

    115/125 would be a very, very, strong/fast alternative but even the 105 would suffice?

    Yes, I believe that your current issues should not exist.

    I would indeed replace an existing UTM 1xx or 220 when the subscriptions expire.  I would not renew the subscriptions.

    Cheers - Bob
    PS Bitte schön.  Speaking, I can't know.  Your written English is ta-de-los.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    I experience those delays in website loading as well. For me, the problem was a DNS issue. Some clients had the UTM120 as the primary DNS set. Once I changed this to the Domain Controller, everything went much faster.

    Question regarding the current upgrade offers: UTM*** users are getting a discount if they upgrade to an SG appliance. I would probably think about this, but: our subscriptions for the UTM120 are good until summer 2016. Do these subscriptions (licenses) carry over to an SG unit? If not, I guess we would wait until 2016 for a hardware upgrade, even if we are not entitled to the discount at that time. 

    SG135 looks like quite a nice replacement. We have a bunch of remote workers so this should give a nice boost for them.
  • 0 in reply to reag
    Question regarding the current upgrade offers: UTM*** users are getting a discount if they upgrade to an SG appliance. I would probably think about this, but: our subscriptions for the UTM120 are good until summer 2016. Do these subscriptions (licenses) carry over to an SG unit? If not, I guess we would wait until 2016 for a hardware upgrade, even if we are not entitled to the discount at that time. 

    SG135 looks like quite a nice replacement. We have a bunch of remote workers so this should give a nice boost for them.


    Hi reag!

    1. Yes, you keep your subscriptions, if you move to the new sg appliances. The old license has to be changed to a new sg type license (done in the myutm portal)
    2. If you follow the sophos upgrade path, in your case you do that UTM120-->SG135, then your subscriptions and their "lifetimes" will remain. E.g. if you go to SG125, the license lifetime will be cut of a little. See the attached upgrade matrix....

    Best Regards
    Sebastian
  • 0 in reply to BAlfson
    Double NAT causes problems with IPsec, but it shouldn't affect the speed of your connections.

    I believe that an old bug came back sometime in 9.2, and that it's still with us in 9.309.  It seems to affect a few UTMs and not others.  I have no idea why.  Try setting Anti-Virus to dual-scan everywhere.

    For someone with a UTM 110, an SG 105w would make  an awesome replacement and I think would handle at least 50Mbps.  The SG 115 would "future-proof" better, but if the 105 is adequate for two or three years, it's money saved.  The 105w that I configured had a wireless signal as strong as an AP 30.

    I would not renew a 110/120, and would freely replace a 220 with a new 125/135, and a 320 with a 135/210/230

    Cheers - Bob
    PS Dein Englisch ist fast Fehlerfrei - besser als viele meiner Landsmänner !  In fact, the only "errors" I see that aren't typos indicate that your command of the German language is also very sophisticated.  For example, using "had been" in the last paragraph instead of "was" and "had deployed" in the first sentence instead of just "deployed."


    Bob is a highly respected partner but i must disagree with him on the sg105.  because of it's limited ram(2 gigs) it will have issues requiring fixes and tweaks.  I suggest nothing smaller than the 115.  I have one 105 deployed and i will not be deploying another one...[:)]

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0
    I had already decided before the post above that none of the existing UTMs (120s and larger in my client base) would be replaced with anything smaller than the 115, but William's correct that a device with 2GB doesn't have enough RAM to cushion against what should be minor issues like the recent ATP/DNS Proxy RAM problem.  That chewed up enough non-billable hours last week to put me firmly in your camp, William.  Even a small account with a half-dozen users was affected.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML