Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 1550 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS on ASG 110

MacDrive
Sup people!

IPS on an ASG 110 8.3 which is connected to a Zyxel Modem-Router for VDSL50(/10) is giving us some headaches. When IPS is turned OFF, speed is about 42/8. When turned ON it drops to 13/5. IPS Log gives some 'FWM snort[13257]: ERROR: dcerpc2: dce2_co.c(1952) Could not create DCE/RPC frag reassembled packet' and 'S5: Session exceeded configured max bytes to queue 1048576 using 1048854 bytes (server queue)' entries. Also SSL-connection to our main office seems far too slow either with or without IPS.
RAM/CPU seems normal and doesn't really goes up to max.

Any ideas where to tweak? 

No Licence for Mail/Web-Security, so just Network-Security.

Thx a bunch


This thread was automatically locked due to age.
  • 0
    You definitely will want to go through the list of 'Attack Patterns' and uncheck those that should not be an issue for you.

    The "Session exceeded configured max bytes" is a known issue, please ask your reseller to submit a ticket to Support.

    The SSL VPN speed shouldn't be affected by IPS.  Do you see anything related to it in your Intrusion Prevention log?

    Cheers - Bob
    PS You can speed up the SSL connection substantially by replacing it with one configured for UDP instead of TCP.  Even faster and more powerful is a RED tunnel between two ASG/UTMs - it will do everything you could do with an MPLS connection between the two locations.
  • 0
    Hi, 

    1. what do you have in the IPS Protected Networks setting?


    Barry
  • 0 in reply to BarryG
    Thx.
    We have pretty much every group activated for protection. Going to deacitvate them step by step.

    We added the internal network (192.168.2.x) and the zyxel router-network into the list. The Zyxel acts as a router (no ppoe passthrough) 192.168.1.x,  which is what we prefer.

    Im currently not able to see any entries in the live log while performing some downloads or speedtests. Weird.


    One thing i tested: Speed is almost perfect again when I put the internal network in the excepetion list with IPS check skipped and requests coming from internal network


    Btw, we found out that some systems (XP) are not configured properly for higher speeds (RWIN,MTU). This might be the reason for slow traffic within the tunnel.
  • 0
    Good call, Barry!

    We added the internal network (192.168.2.x) and the zyxel router-network into the list.

    I made the same mistake several years ago when I was learning the Astaro.  Only put "Internal (Network)" in 'Local networks' and disable/delete those new Exceptions.

    Cheers - Bob