Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 3667 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

WAN Interfaced Maxed Inbound, But Nothing Show on Inside Interfaces

Breakingcustom
Had a client say their Internet has been iffy all day.  Remoted into the UTM and saw the External (WAN) interface was showing 18-19MBit/s (their Internet is 20Mbit/s down).  When looking at the Internal interfaces (there are 3 sub-interfaces / eth0.40, eth0.41, eth0.45).

None of those interfaces showed anything above 100+kbit/s.

When looking at the Flow Control chart, the traffic was listed as unclassified and they two bandwidth suckers were from Akamai.  Did a tcpdump on eth1 and saw the Akamai entires, but the source was the UTM.  Figured that was the case because it TCP/80 traffic.  So I did tcpdumps on the sub-interfaces and barely saw any traffic.

It's definitely only happening during business hours because the WAN isn't show hardly any traffic.

Would it best to disable the Web Proxy and monitor via the firewall logs?

I just wish the reporting was more accurate because while it says there was 30-35GB transferred that day, if you look at the Top 10 users it's nowhere near that.


This thread was automatically locked due to age.
  • 0
    A minor point, the reporting is very accurate it is the sum of all traffic on all interfaces, which as you say is very misleading.

    Sounds to me like one of your users is starting a download from a source that doesn't know how to work with a proxy. If you check the proxy logs you should find the same source name, but maybe different IP addresses.
    Could be a trojan or just maybe a game or even a software update.


    Ian M
  • 0
    I disabled the web proxy and saw in the firewall logs the akamai IP.  Ironically, I was first notified of the bandwidth issue from the same user that is sucking up the bandwidth.

    Crazy thing is, I remoted into her machine and she maybe had 3 websites opened, Outlook, and Lync.  If it happens again tomorrow, I'm going to have to run Wireshark on her machine to see what is going on.

    What always trips me up is how Sophos counts the traffic.  Looked up Top Clients By Application and "Unclassified" shows 21.6GB.  I dig into it and the WAN IP of the UTM is 21.5GB and the remaining are client machines.  #2 in the list is a client machine and shows 8.3MB.  Is this saying there is traffic coming into the UTM, but never going past it?
  • 0
    This does sound like one of those situations Ian described.  You need to delve into Web Filtering reporting to see what domain is eating all of the bandwidth.  Then you can look in the log file to identify the problem with that domain.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Problem is, when looking at Bandwidth Usage, I can take the IP that is showing the most, but when I do a lookup, it is actually showing blocked.

    line 3100: 2015:03:24-10:49:24  httpproxy[5701]: id="0066" severity="info" sys="SecureWeb" sub="http" name="web request blocked, forbidden application detected" action="block" method="CONNECT" srcip="10.41.1.248" dstip="184.86.240.73" user="" ad_domain="" statuscode="403" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="3198" request="0xdf839800" url="yieldmo-a.akamaihd.net/" referer="" error="" authtime="0" dnstime="398" cattime="77756" avscantime="0" fullreqtime="2726117" device="0" auth="0" ua="" exceptions="" country="United States" category="177" reputation="trusted" categoryname="Content Server" application="AKAMAI" app-id="799"

    According to Bandwidth usage that IP has downloaded 2.7GB as of today, but only shows 3 entries in the httpproxy logs.  And all 3 show that it was blocked.

    If it is blocked, I don't get why it is trying to download something.
  • 0
    What happens if you make an Exception for Anti-Virus for:

    ^https?://yieldmo-a\.akamaihd\.net/


    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    I actually added the following:

    ^https?://yieldmo-a\.akamaihd\.net/
    ^https?://([A-Za-z0-9.-]*\.)?akamaitechnologies\.com/
    ^https?://([A-Za-z0-9.-]*\.)?aaplimg\.com/

    I'll know more on Monday.  I just checked the Bandwidth Usage report and both those CDN's are the culprits.

    Will that setup work?
  • 0
    Well the issue is still persisting and it seems like it is getting worse.  There was over 60GB transferred today and was more than 3 of their schools combined.

    I'm almost wondering if basically the inside is initiated, but gets blocked on the firewall.  I looked up the IP of the Top Servers in the Firewall Log and they all say:

    2015:04:16-09:59:55 dav-utm220 ulogd[21376]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60003" outitf="eth0.41" mark="0x126d" app="621" srcmac="00:1a:8c:33:29:58" srcip="23.72.83.51" dstip="10.41.1.155" proto="6" length="52" tos="0x00" prec="0x00" ttl="64" srcport="80" dstport="49309" tcpflags="ACK PSH FIN" 

    I changed the firewall rule for that network to Any to see if it changes anything.  I'll know tomorrow right when the school opens.
  • 0
    srcport="80" dstport="49309" tcpflags="ACK PSH FIN"

    That's probably not what you're looking for, or do you mean that all of the traffic is
    srcip="23.72.83.51" dstip="10.41.1.155"
    ?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    The 23.72.83.51 was the Top Server yesterday.  Almost 99% of the Top Servers were Apple related.  After looking up about the FWRULE number, some people mentioned that it went away once they changed the firewall rule for that specific interface to ANY.

    After I changed it to Any, the "Unclassified" traffic was now being shown as iTunes under Web Protection.

    Just to verify, I completely blocked iTunes under Application Control and rebooted the box.  After reboot, the bandwidth on the external interface was back to normal.  Literally, it would stay at 20Mbit/s for 6-8 hours straight before the change.

    My only concern is, even if I setup a rule in QoS, will it even make a difference if once their iPad can talk back to iTunes, it will try syncing or whatever it was doing?  So basically would that be considered traffic coming inbound, which in turn wouldn't make any difference because the rules would be for traffic going outbound?
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?