Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 3669 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

WAN Interfaced Maxed Inbound, But Nothing Show on Inside Interfaces

Breakingcustom
Had a client say their Internet has been iffy all day.  Remoted into the UTM and saw the External (WAN) interface was showing 18-19MBit/s (their Internet is 20Mbit/s down).  When looking at the Internal interfaces (there are 3 sub-interfaces / eth0.40, eth0.41, eth0.45).

None of those interfaces showed anything above 100+kbit/s.

When looking at the Flow Control chart, the traffic was listed as unclassified and they two bandwidth suckers were from Akamai.  Did a tcpdump on eth1 and saw the Akamai entires, but the source was the UTM.  Figured that was the case because it TCP/80 traffic.  So I did tcpdumps on the sub-interfaces and barely saw any traffic.

It's definitely only happening during business hours because the WAN isn't show hardly any traffic.

Would it best to disable the Web Proxy and monitor via the firewall logs?

I just wish the reporting was more accurate because while it says there was 30-35GB transferred that day, if you look at the Top 10 users it's nowhere near that.


This thread was automatically locked due to age.
Parents
  • 0
    I disabled the web proxy and saw in the firewall logs the akamai IP.  Ironically, I was first notified of the bandwidth issue from the same user that is sucking up the bandwidth.

    Crazy thing is, I remoted into her machine and she maybe had 3 websites opened, Outlook, and Lync.  If it happens again tomorrow, I'm going to have to run Wireshark on her machine to see what is going on.

    What always trips me up is how Sophos counts the traffic.  Looked up Top Clients By Application and "Unclassified" shows 21.6GB.  I dig into it and the WAN IP of the UTM is 21.5GB and the remaining are client machines.  #2 in the list is a client machine and shows 8.3MB.  Is this saying there is traffic coming into the UTM, but never going past it?
Reply
  • 0
    I disabled the web proxy and saw in the firewall logs the akamai IP.  Ironically, I was first notified of the bandwidth issue from the same user that is sucking up the bandwidth.

    Crazy thing is, I remoted into her machine and she maybe had 3 websites opened, Outlook, and Lync.  If it happens again tomorrow, I'm going to have to run Wireshark on her machine to see what is going on.

    What always trips me up is how Sophos counts the traffic.  Looked up Top Clients By Application and "Unclassified" shows 21.6GB.  I dig into it and the WAN IP of the UTM is 21.5GB and the remaining are client machines.  #2 in the list is a client machine and shows 8.3MB.  Is this saying there is traffic coming into the UTM, but never going past it?
Children
No Data
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?