Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 8957 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Traffic from internal to DMZ are very slow external traffic is ok

Krischeu
Hello NG,

I am running a ASG 6.310 on a Dual 1 GHz 2 GB Ram PC.
The external Traffic to DMZ (Port 80) is running fine.
The internal Traffic to DMZ is not really usable for uploading files.
It is working, but it gives you not a good workflow.

The networkcard from the Firewall is connected directly to the gigabit-card of my Webserver. The MTU-Size is 1500

At the first time I am using a dnat/snat rule for external to DMZ with Port 80.
External to DMZ is working fine, internal to DMZ is slow.
Second try, dnat/snat rule for internal to DMZ with Port 80.
Same Problem.

Do anybody has an idea for solving this issue?

Many thanks in advance

Heinz


This thread was automatically locked due to age.
Parents
  • 0
    If you have any cheap Ethernet cards in your system (D-Link, etc.) replace them with high quality ones. 3Com and Intel Ethernet cards are very good.

    High quality Ethernet cards do the packet processing within the onboard hardware, while cheap Ethernet cards do most of the work inside their software driver, which can cause a significant performance hit.
  • 0 in reply to VelvetFog
    Thanks very much for your answers.

    The networkcard on the firewall are all 3Com and Intel.
    The webserver is a HP-Machine with integrated Broadcom-card.
    I will test the configuration with a Ethernet-Switch, instead of using a cable for direct connection.

    The next thing is, have i done right the settings?
    I was doing 2 THINGS:

    First step:
    -----------
    I am using a dnat-snat rule.
    source: any
    destínation: external address
    service: http
    change destination to: internal IP-Address of DMZ-Machine

    Second step:
    --------------
    I am using packetfilterrule any--> http --> DMZ_IP_of the internal PC which is in a private Net (172.11.x.x)

    Till here i can use http://external-ip-adress --> working fine, but slow

    Something new:
    I added https!!!
    Third step:
    -----------
    I am using a dnat-snat rule.
    source: any
    destínation: external address
    service: https
    change destination to: internal IP-Address of DMZ-Machine

    fourth step:
    -----------
    packetfilterrule any--> https --> DMZ_IP_of the internal PC which is in a private Net (172.11.x.x)

    IMPORTANT-1:   This was not working untill i changed the webmin settings to another port.
    IMPORTANT-2:   On the external Interface i bound a second IP-Address. This second one is for my DMZ-connection.
    IMPORTANT-3:   The packetfilter live-log is telling me a working https-connection, but the browser tells me errorcode 12263.
Reply
  • 0 in reply to VelvetFog
    Thanks very much for your answers.

    The networkcard on the firewall are all 3Com and Intel.
    The webserver is a HP-Machine with integrated Broadcom-card.
    I will test the configuration with a Ethernet-Switch, instead of using a cable for direct connection.

    The next thing is, have i done right the settings?
    I was doing 2 THINGS:

    First step:
    -----------
    I am using a dnat-snat rule.
    source: any
    destínation: external address
    service: http
    change destination to: internal IP-Address of DMZ-Machine

    Second step:
    --------------
    I am using packetfilterrule any--> http --> DMZ_IP_of the internal PC which is in a private Net (172.11.x.x)

    Till here i can use http://external-ip-adress --> working fine, but slow

    Something new:
    I added https!!!
    Third step:
    -----------
    I am using a dnat-snat rule.
    source: any
    destínation: external address
    service: https
    change destination to: internal IP-Address of DMZ-Machine

    fourth step:
    -----------
    packetfilterrule any--> https --> DMZ_IP_of the internal PC which is in a private Net (172.11.x.x)

    IMPORTANT-1:   This was not working untill i changed the webmin settings to another port.
    IMPORTANT-2:   On the external Interface i bound a second IP-Address. This second one is for my DMZ-connection.
    IMPORTANT-3:   The packetfilter live-log is telling me a working https-connection, but the browser tells me errorcode 12263.
Children
  • 0 in reply to Krischeu
    Do your pages make reference to the internal web server with a few different aliases? say you have 2 names for the same web server like "apps.domain.com" and "cms.domain.com" or "www.domain.com"?
    I noticed a huge hit on speed after upgrading to vs 7 from 6, and it was because of name resolution problems.

    try looking at the most basic page you have from both sides (just a h1 tag and hello would be best, and go from there to more complex stuff to try to isolate the problem).
  • 0 in reply to Philmee95
    Hi,
    i don't think this is the problem, because sftp scp are having the same bitch speed.
  • 0 in reply to Krischeu
    If you login to the console on the Astaro box, you can run 
    ifconfig
    and see if there are any interface errors occuring.

    Barry
  • 0 in reply to BarryG
    I saw this issue when doing backups from my internal network to a machine on my DMZ.  The bandwidth issue was caused by IPS maxing out the processor in my firewall.  The 1GHz C3 was only allowing about 2MB/s on all Intel gigabit hardware.  Disabling IPS on the Internal-to-DMZ showed significant bandwidth increases on my setup.
  • 0 in reply to Jhaislet
    If i log on the firewall directly with crossover cabel and i am doing a download of the log-files over the webmin, than the speed on this interface is slow down to 34 kb/s.

    The astarosupport don't know where the problem is located!
    I spend 2.25 hours with 120,-- Euro per hour on this --> 270,-- Euro plus 19 % TAX ==>> 321 Euro for nothing!!
    i changed the complete hardware including networkcable, switches, etc. no results.

    Does anybody have any other hints for me? I think i will install it on a new hardware and instead of ASG6.x the Version ASG7.x

    Hopefully this will work!