Robust Hardware but Poor Performance with IPS

speedtest.net, or any web based speed tester do not give accurate results on the UTM, if using the web proxy, as they do not handle the latency added by scanning/categorizing/etc. well.

The only ways to get accurate results are to download a single large file from a source that has a massive amount of bandwidth (in the past I've used HP, MS, and Adobe, as examples), then monitor the speed shown client side or you can do the same thing on the UTM itself from the shell by using the wget command.

speedtest.net, or any web based speed tester do not give accurate results on the UTM, if using the web proxy, as they do not handle the latency added by scanning/categorizing/etc. well.

The only ways to get accurate results are to download a single large file from a source that has a massive amount of bandwidth (in the past I've used HP, MS, and Adobe, as examples), then monitor the speed shown client side or you can do the same thing on the UTM itself from the shell by using the wget command.

Thanks - so it is basically just an artifact or anomaly that appears due to the nature of IPS/Proxy....it's not necessarily impacting my speed if I am understanding correctly.

Looking at "top" form the console it looks like there are plenty of resources available on the box.

You will always see a speed decrease with IPS enabled for a single user with a single download, this is true, due to IPS (Snort) being single threaded and it does add latency scanning all traffic against many rules.  With your hardware though, the hit shouldn't be terribly obnoxious.

 then the website gives a socket error

The following is not going to make speedtest a valid test, but check your IPS log from when this has happened. It may be triggering a false positive rule(s).  If so, get the rule SID(s) from the log entry, then you can create a disable rule modification(s) at Network Protection > Intrusion Prevention > Advanced.

Hey All -

So I've moved from my SG105 and to the software version of UTM using an i5 3.4GHz processor and 16GB of RAM.  My connection is 300/300M - with IPS on, speedtest.net behavior is strange.  

The speed will increase and then all of a sudden stop and start to reverse and then the website gives a socket error.  With IPS turned off, all is well.

My question is....is this just an artifact on speedtest.net meaning that the speeds are fine but the site for whatever reason is impacted by IPS or is IPS negatively impacting my speed even with the new hardware?

I've been able to replicate this behavior with just one machine connected to the UTM box and no other devices.

Thanks

what modules?  how many users? which nics are in the machine?

Currently my UTM is doing DHCP, IPS, & Advanced Threat Protection (web filtering is off for the moment until I figure this out)

I have Intel NICs - 82579LM and 82541PI

At the moment only one device connected.

With IPS off, seems like the problem goes away with slow speeds in general but that's the same behavior I had with the SG105 which supposedly did not have enough horsepower for my 300/300M connection.  Now with more CPU power and memory looks like the issue is still present (slightly improved but not much)

Any ideas?

first of all your system is overpowered for your network environment.  Also many speedtest sites simply are not going to be able to get up to 300 megabits without some modifications.  this has been discussed ad nauseum.  in short turn off power management inside your bios and see what happens.  Also your Intel NICs - 82579LM and 82541PI have linux driver bugs.  there are three options.  

There's a cli fix that works around the issue.  However there is zero indication Intel intends to fix this problems.  change your nics to broadcom or intel 210 series chps.  Another highly effective way around this is to install hyper-v onto your hardware and then install utm inside of that.  You are then using windows intel drivers(which do not have the bug) and things will work as expected.

Thanks William-

I'll have around 25-30 connected devices once I get the configuration all ironed out.

I wanted to go the hyper-v route (windows 8.1 includes it if I recall ) but was told it causes issues with the physical MAC address/IP addresses.

Would a 300/300 meg connection with up to 30 connected devices run happily with UTM on hyper-v with this hardware?

Sounds like I need to read up on hyper-v and Sophos UTM to understand if/how it impacts Mac addresses and IP's

I would install hyper-v standalone and use win 8 to manage it.  Hyper-v will not cause IP or Mac problems if properly configured.  I run hyper-v 2008 so I can use my win 7 boxes to manage it. I run hyper-v inside of a server 2k8r2 data center server so I can use altaro free to make quick and compressed backups of the VM. If properly configured that cpu should be able to handle that load at your wan speeds.  I'll double check on the cpu but that should be doable.  Which modules do you intend to use?

Hyper-V standalone?  Can't say I've heard of that one - does it require Windows Server 2008/2012 or is it free how about the management tools you mention?

I plan to use IPS, content filter, virus scan, port scan detection, basic firewall rules with around 30 devices max in use.

Thanks again

Hyper-V standalone? Can't say I've heard of that one - does it require Windows Server 2008/2012 or is it free

Not surprising you haven't heard of it, since William is making up his own names for stuff.  [:P]  It's called Hyper-V Server.  Free and installs on bare metal.  https://www.microsoft.com/en-us/evalcenter/evaluate-hyper-v-server-2012-r2.

how about the management tools you mention

As William mentions, it's called altero.  Hyper-V Backup, Server Backup, Time Machine for Windows | Altaro.  Google is your friend.  [:)]