Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 44 replies
  • Subscribers 2 subscribers
  • Views 252987 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM 9 Slow Performance

robertobrinsky
Running my UTM 9 (latest soft release) under Virtualbox 4.18, I found it to be slower than my ASG 8.305 which also runs as a virtual machine on the exact same host machine. I restored the backup from the 8.305 system to the new system. Both virtual machines use the same number of processors (1), same amount of ram (2 GB), same network adapter types, and share the same physical hardware. In addition, I set the MAC address of the UTM 9 public interface to match the MAC address of the ASG 8.305 public interface. And, I can confirm that I pull the same DHCP address from my ISP. My site-to-site VPN connections re-establish themselves upon bootup on either system without the need to reconfigure my dynamic dns.

When the ASG 8.305 is running, my coworker and I get good performance from the web. When the UTM 9 is running, performance is degraded with long delays. I do not run the systems simultaneously as there would be conflicts with IP addresses. A wireshark trace shows many out-of-sequence packets when UTM 9 is running. My ISP does not currently offer IPv6 in my area, but I did set up a tunnel with Hurricane Electric on both systems.

Is anyone else seeing a slowdown in performance? If not, does anyone have any ideas why I would be seeing a lot of out-of-sequence packets? At the moment, I have shut down the UTM 9 and reverted to the ASG 8.305 and all is well but I would like to start taking advantage of the new capabilities incorporated in UTM 9.

Thanks,
Bob


This thread was automatically locked due to age.
  • 0 in reply to NSH
    I have the same performance issue as rwo. Using ESXi 5.0, so you are not alone.


    Guys, pls. post your VM settings ( vCPUs, memory, disk, used NIcs as e1000, VMXNET3, allocated resources ( resource pools on ESXi etc.)), it's difficult to post blindly guesses why performance is slow ;o)

    /Sascha

    Wer Schreibfehler findet, darf sie behalten. Wenn ich via IPad poste, sind Verschreiber und grammatikalische Aussetzer irgendwie an der Tagesordnung.
  • 0 in reply to Sascha Paris
    Dear Sascha

    The configuration is based on the off file for "utm_9.000_esx_v5_x64_smp.ovf". 
    2 vCPUs, 4096 Mb ram, 50Gb disk, 3 network adapters.
    The network adapters types are all change to e1000 and this alone gave a better performance (I have forgot that issue).

    The 8.305 configuration is also based on an ovf configuration file, but 32bit. 1 vCPU, 2048 Mb ram, 80Gb disk, 3 network adapters (e1000)

    It seems like it was the forgotten e1000 issue and I will remain on the UTM version the next couple of days and test the performance further. 

    Thx for the e1000 clue.

    /Nickie
  • 0 in reply to NSH
    Beat me to the punch --- use the VMXNET3 adapters, they work fine.  The "Flexible NIC" drivers in the pre-built image really stink... [:)]
  • 0
    I have eliminated the VM configuration for now. Currently using a system with 2 hard drives where only one hard drive is powered and connected at a time. On one hard drive I have my ASG 8.305 installation, and on the other hard drive, I have my UTM 9 installation. I restored the backup from the ASG 8.305 onto my UTM 9 configuration. At this point, both systems should be using identical hardware.

    Running the Berkeley ICSI Netalyzer, I still see significant latency with DNS requests. It takes 3,200 - 3,700 milliseconds for DNS lookups to complete using UTM9, whereas it takes less than 200 milliseconds to complete a DNS lookup using ASG 8.305. All workstations are configured to use my ISP's DNS servers.

    I will probably open a call with Sophos at this point since this should be a supported configuration whereas my VM config was not. If anyone is interested in the hardware it is as follows:

    Motherboard - Biostar A770 A2+ ver 6.x
    CPU - AMD Athlon 2 5000+ Black Edition (2.6 GHz)
    RAM - 4 GB DDR2 (only 3.3 recognized with 32-bit installation)
    Realtek GB Built-In NIC (recognized as Eth0 and unused)
    Compaq (Intel) 3134 Dual Port NIC (Eth1 used for internal network and Eth2 used for WAN)

    Most of the testing I am doing is from a workstation that is excepted from the http/s proxy and has unrestricted access allowed in the firewall rules. I am considering running my own DNS server internally at this point, but in my opinion, that would just be a workaround that would not really identify why I am experiencing the slow DNS resolution times.

    Bob
  • 0
    what forwarders do you have setup?
  • 0
    Not sure why that is relevant since I am not using the UTM for DNS resolution. But, since I am on Comcast, I set the DNS servers on each workstation via DHCP to 75.75.75.75, and 75.75.76.76. I have a rule that enables DNS lookups from the internal network.

    I did just set up an internal DNS server on a linux workstation, and if I use that for dns resolution, the isci netalyzer shows a latency of 130 ms for dns lookups.
  • 0
    do you use the utm for dhcp?  if so i would return dns to utm and put comcast's dns server in that forwarder section and eliminate the internal dns server.  i'm thinking there is something with your dns server config that the ips is not liking...and the ips in v9 is much more sensitive..
  • 0
    i would make an any-any rule for dns if you aren't going to use utm for dns.
  • 0
    I guess I was not clear. Yes, I am using the utm for dhcp and yes, I have configured it to hand out the dns resolvers to the workstations. If I let it distribute either the comcast dns resolvers or google public dns resolvers, the results are the same and there is very high latency (3.7 ms or more) when configured that way. However, when I use my internally configured dns server, and set the utm dhcp server to distribute that, my dns latency drops to 130 ms.

    I have several different rules regarding what is and what is not allowed out of the network. At the moment, I am using a workstation which receives a statically assigned dhcp address from the utm. This workstation has unrestricted access to the internet via a rule in the firewall. The internal DNS server also has unrestricted access to the internet.

    I am just having trouble understanding why I can use Comcast's or Google's directly at the workstations with no latency problems if ASG 8.305 is my gateway, whereas the identical configuration with UTM9 seems to cause very significant DNS resolution delays.
  • 0
    should say "Comcast's or Google's dns resolvers"