Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 33 replies
  • Subscribers 2 subscribers
  • Views 15027 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Astaro Performance vs direct connection

khardeveld
We are currently using Astaro 7.401. Our ISP provides a 10 Mb connection on the fiber. If I connect the original ISP router and connect that to my laptop, I get about 9Mb max both up and down (using various speedtest sites, speedtest.net  e.g).

If I connect our Astaro to the fiber and open the firewall completely (allow any traffic to any) I get about the same performance down, but max 4Mb up.

If I try the same test with firewall active, using Astaro's proxy with my browser, I get a huge download (thanks to the cache), but a max 1.7Mb upload. Enabling or disabling virus checks in the HTTP proxy settings does not make a big difference.

I can't explain the difference in Up/Down. We also get user complaints who for instance are using ftp / scp /vpn connections and notice signicifant difference in download/upload speeds (upload is much slower).

Is there a way to find out what is causing this difference or a way to tweak traffic?


This thread was automatically locked due to age.
Parents
  • 0
    That seems unusual.  Can you share more about your situation?

    On what hardware are you running Astaro?

    If you turn caching off, what do you see in download performance?  What do you have in 'Local networks' in 'IPS global settings'?

    Show the 'Summary' from the daily Executive Report covering the day you ran the above tests.  Also, 'Top 10 Servers' and 'Connections'.

    Cheers - Bob
  • 0 in reply to BAlfson
    I'm running my Astaro on an ASUS P5S800-VM with Intel PIV, 2 GB internal memory, 3 3Com 3c905C network cards (PPOE, internal and DMZ), 80GB harddisk. Dashboard shows almost no CPU acitivity during the tests, no swap and log and data disks are barely used.

    Local networks in IPS global are the internal and DMS network. I tried disabling IPS, but no effect.

    With cache turned of, I get a 229 ms ping (14 ms if no proxy and firewall open),  24Mb down and 1.7Mb up (9/9 with ISP router and 9/4.5 with no proxy and firewall off). I used speedtest.net for these results, other sites report about the same

    Info from Executive report of today:

    Summary
    Top10 server
    connections

    Most tests were done around 10:00 am.

    Thanks!
  • 0 in reply to khardeveld
    I would be interested to hear from someone at Astaro on this.  If you have Astaro Support, I'd like to hear what they say about this.  It just doesn't seem possible since there's so little going on when you send something out.
  • 0 in reply to BAlfson
    The IDS throughput won't be a factor at these speeds. Netfilter (firewall) with advanced routing rules can run multiple gigabit interfaces without breaking a sweat. I would think its a hardware issue but I would double check my cables also. It seems that your cards are in the HCL for astaro 7 but most people start with NIC cards when troubleshooting.

    Make sure you dont' have QoS turned on on any interface then under packet filter-->advanced-->enable tcp window scaling.

    Now, add speakeasy.net in your skip av http exceptions list for http proxy so you can get some kind of realistic reading when using proxy and then test at speakeasy.net/speedtest. Good luck...

    My 2 tests on a 10mb dsl line ppoe with IPS on for both and proxy enabled for the first and disabled for the second.
  • 0 in reply to Billybob
    Still, I'd like to understand why.
  • 0 in reply to Billybob
    I would think its a hardware issue but I would double check my cables also. It seems that your cards are in the HCL for astaro 7 but most people start with NIC cards when troubleshooting.


    That's one of the things I wil be trying next weekend (It's a production firewall). I checked HCL before installing, but still it could be a bad chip..


    Make sure you dont' have QoS turned on on any interface then under packet filter-->advanced-->enable tcp window scaling.

    Now, add speakeasy.net in your skip av http exceptions list for http proxy so you can get some kind of realistic reading when using proxy and then test at speakeasy.net/speedtest. Good luck...


    QoS is turned off. I will try the speakeasy.net, but since we get the same performance issues with scp or vpn connections, I will also try to log a call with Astaro [:)]
  • 0 in reply to khardeveld
    Did some test on my home astaro, and this time the only difference between proxy, no proxy and direct connection is minimal. Virus checks don't make any difference, like I would expect after your commens...

    Speakeasy test gave much slower results, but then there is a whole ocean between me and Dallas [;)] 

    So I'm starting to suspect hardware issues, like BillyBob suggested. I'll replace the NIC's coming Saturday, see how that works.

    The only thing I can't explain is the fact that download speeds with proxy are way faster then with direct connection, even with cache off and cleared. Any ideas ?
  • 0 in reply to khardeveld
    The only thing I can't explain is the fact that download speeds with proxy are way faster then with direct connection, even with cache off and cleared. Any ideas ? 

    If the test gives impossible results, there must be a problem with the test?
  • 0 in reply to BAlfson
    clear your borwser cache and restart the browser after EVERY test so you don't get a cached result
  • 0 in reply to khardeveld

    The only thing I can't explain is the fact that download speeds with proxy are way faster then with direct connection, even with cache off and cleared. Any ideas ?

    That is by design. The speed test is nothing but a jpg file(or any file that can't be compressed by your browser). When you download a file and you have http proxy av scan enabled, the proxy downloads the file and scans it while you are waiting and then dumps it to your client so you get your local network speed reading which is not what you want. That is why I had suggested turning off av scan for speakeasy[[;)]]

    Speedtest.net collaborates with different ISPs all over the world so you can't add speedtest.net to your av skip list. If you want to test on any other site, you can simply disable the av scanning on http proxy and you will get similar results to what your line speed is.

    Here is a crude diagram

    Speed test site-->http proxy downloads the whole test thinking you are downloading a file-->sends it to your browser after its finished scanning--> Your browser gives you braggin rights that your download speed is way more than provided by your ISP[[;)]]
Reply
  • 0 in reply to khardeveld

    The only thing I can't explain is the fact that download speeds with proxy are way faster then with direct connection, even with cache off and cleared. Any ideas ?

    That is by design. The speed test is nothing but a jpg file(or any file that can't be compressed by your browser). When you download a file and you have http proxy av scan enabled, the proxy downloads the file and scans it while you are waiting and then dumps it to your client so you get your local network speed reading which is not what you want. That is why I had suggested turning off av scan for speakeasy[[;)]]

    Speedtest.net collaborates with different ISPs all over the world so you can't add speedtest.net to your av skip list. If you want to test on any other site, you can simply disable the av scanning on http proxy and you will get similar results to what your line speed is.

    Here is a crude diagram

    Speed test site-->http proxy downloads the whole test thinking you are downloading a file-->sends it to your browser after its finished scanning--> Your browser gives you braggin rights that your download speed is way more than provided by your ISP[[;)]]
Children