Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 28 replies
  • Subscribers 2 subscribers
  • Views 12679 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

NAT Latency?

Coldfusioneer
I'm trying to determine what is normal as far as latency and throughput goes for ASL with NAT enabled.  We have a cable modem in our office which shows 16Mbps downstream when a PC is connected directly to the cable modem.  However, when we have our Astaro appliance between the gateway and the PC with NAT enabled, we're seeing significantly slower speeds.  On a more basic level, from the outside if I ping the various devices at work it appears that the Astaro box is slowing things down:

Ping Cable Modem, average 56ms
Ping Astaro WAN IP, average 58ms
Ping Server on LAN, average 70ms

From this it appears that the cable modem itself is adding about 2ms of latency as traffic passes over its bridge, and the WAN interface on the Astaro box is responding quickly.  However, once the packets pass through the Astaro box into the local network there is quite a bit more time added to the response.  Internal pings from that server to the Astaro box show 


This thread was automatically locked due to age.
Parents
  • 0
    Thank you for the response, though I believe the information you are asking for was contained in my original post...

    We're running ASL v7.201 on ASG220 appliances with 512MB of RAM each.  The one with the added latency is only running firewall with NAT.  We don't use any of the spam/virus functions, or any other special options except the NAT FTP application helper.


    With these being appliance units that we purchased from an Astaro reseller (ASG220) we do not know what CPU they have in there, but as mentioned it has 512MB of RAM.  Thanks again!
  • 0 in reply to Coldfusioneer
    It could be the IPS that is adding the latency. You can tune it or turn it off and see if it makes a difference.
    You are supposed to tune it by defining servers (http, db, smtp, ...) to protect.

    Is 12MS really a big deal?

    A faster CPU would make the IPS faster.

    Barry
  • 0 in reply to William Warren
    i ahve seen forced settings cause issues between servers and switches leading to latency issues...put it on auto negotiate and see if that helps.


    That would go against any best practice document I've ever read, but I'll give it a try late one evening when I'm able to take the network down when it won't disrupt anyone.

    I appreciate all of the suggestions.
  • 0 in reply to Coldfusioneer
    I have personally seen, and fixed, about 10 times in my career, connectivity issues that boiled down to a switch port and client NIC not autonegotiating properly, or for some reason, not working together even when forced to certain speeds... most of the time it was a Cisco / 3COM thing, but also had an issue with certain 3COM NICs and 3COM switches.  Try forcing the speed to 100MB / half duplex on both ends.  Sounds dumb, I know... but a look at the switch or nic statistics should reveal the issue... look for a lot of CRC errors, etc...
  • 0 in reply to BrucekConvergent
    it could be astaro and the particular mobo just don't get along..no two mobos even from the same maker with the same model are exactly the same due to the complexities of modern electronics.
  • 0 in reply to BrucekConvergent
    I've had autoneg problems between Cisco switches and BroadCom NICs, esp. when a ethernet TAP was added.

    William, he's running a 220, so it can't be a motherboard incompatibility.

    Barry
  • 0 in reply to BarryG
    oh yes it can...no two pieces of equipment are exactly the same.  I've had astaro balk at one sc440 only to work perfectly on another.  An incompatibility is most certainly in the cards..either that or he has a nic/cable/port issue.
  • 0 in reply to William Warren
    oh yes it can...no two pieces of equipment are exactly the same.  I've had astaro balk at one sc440 only to work perfectly on another.


    Dunno, that sounds like a bad piece of hardware, not an incompatibility.

    Barry
  • 0 in reply to BarryG
    I appreciate everyone's responses on this thread.  I still haven't been able to pin down the cause, though I suspect it's just the NAT engine being sluggish.  It could be a hardware issue but I'm not sure I want to try and convince support to loan me another unit for comparison right now.  The network is working, just not as fast as we'd like it to.  Thanks again!
  • 0 in reply to Coldfusioneer
    FWIW, NAT isn't sluggish.

    There may be another network problem which is being brought out by adding a device.
    Try bridging the firewall and seeing if the latencies change.

    Run 
    ps aux|grep snort

    and make sure that snort isn't still running (I had a problem in ASL long ago where it was still running even though IPS was "turned off").

    Barry
  • 0 in reply to BarryG
    Run
    ifconfig
    and look for any errors.
    Everything except the RX/TX counters should be ZERO. 

    e.g.

    eth0      Link encap:Ethernet  HWaddr 00:A0:C9:B8:8B:48  

              inet addr:1.2.3.4  Bcast:255.255.255.255  Mask:255.255.248.0

              UP BROADCAST NOTRAILERS RUNNING MULTICAST  MTU:1500  Metric:1

              RX packets:115248210 errors:0 dropped:0 overruns:0 frame:0

              TX packets:49389338 errors:0 dropped:0 overruns:0 carrier:0

              collisions:0     txqueuelen:1000 

              RX bytes:1277667633 (1218.4 Mb)  TX bytes:3387226476 (3230.3 Mb)

    

    eth1      Link encap:Ethernet  HWaddr 00:90:27:2A:75[:D]5  

              UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

              RX packets:46054475 errors:0 dropped:0 overruns:0 frame:0

              TX packets:47554998 errors:0 dropped:0 overruns:0 carrier:0

              collisions:0     txqueuelen:1000 

              RX bytes:2993638980 (2854.9 Mb)  TX bytes:2149527211 (2049.9 Mb)


    Barry
  • 0 in reply to BarryG
    Try bridging the firewall and seeing if the latencies change.


    If I had enough external IP addresses to not need NAT I'd give it a shot.  Maybe over the weekend when nobody is here I'll do a backup and reconfigure it to see what happens and restore the current config when I'm done.  Couldn't hurt.

    ps aux|grep snort


    Took a peek and snort isn't showing up on the list.
Reply
  • 0 in reply to BarryG
    Try bridging the firewall and seeing if the latencies change.


    If I had enough external IP addresses to not need NAT I'd give it a shot.  Maybe over the weekend when nobody is here I'll do a backup and reconfigure it to see what happens and restore the current config when I'm done.  Couldn't hurt.

    ps aux|grep snort


    Took a peek and snort isn't showing up on the list.
Children
No Data