Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 4475 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

vpn client and firewall question

kernel_wall
HEllo all,

Just a question as i didn't really find an answer on the forum or on internet.

does someone know why VYPRVPN speed is highly impacted behind a Sophos UTM ? and if i turn off my UTM and re-setup my box to act like a router i have normal speed under VYPRVPN ... 

any ideas ? or things to start to check ? 

Thx by advance.

Flo


This thread was automatically locked due to age.
  • 0
    Salut, Flo,

    Always check #1 in Rulz first. [;)]

    Cheers - Bob
  • 0 in reply to BAlfson
    Hey Bob,

    So i took time ... finally ... to check Rulez #1 [:)] 

    after checking application control her is what i found : 

    2015:03:23-14:21:17 R-HOME01 ulogd[17615]: id="2017" severity="info" sys="SecureNet" sub="packetfilter" name="AFC Alert" action="log" fwrule="3" outitf="eth1" mark="0x316a" app="362" srcmac="0:10:f3:14:7e:41" srcip="192.168.5.60" dstip="VPN server IP" proto="17" length="50" tos="0x00" prec="0x00" ttl="127" srcport="64458" dstport="15641" 
    2015:03:23-14:21:17 R-HOME01 ulogd[17615]: id="2017" severity="info" sys="SecureNet" sub="packetfilter" name="AFC Alert" action="log" fwrule="3" outitf="eth1" mark="0x316a" app="362" srcmac="0:10:f3:14:7e:41" srcip="192.168.5.60" dstip="VPN server IP" proto="17" length="50" tos="0x00" prec="0x00" ttl="127" srcport="64458" dstport="15641"


    and after checking IPS logs here is what i found :


    2015:03:23-14:21:40 R-HOME01 ulogd[17615]: id="2105" severity="info" sys="SecureNet" sub="ips" name="UDP flood detected" action="UDP flood" fwrule="60013" initf="eth1" srcmac="f4:ca:e5:4c:b2:24" dstmac="0:10:f3:14:7e:41" srcip="VPN server IP" dstip="My External IP" proto="17" length="1245" tos="0x00" prec="0x00" ttl="51" srcport="15641" dstport="64458"
    2015:03:23-14:21:40 R-HOME01 ulogd[17615]: id="2105" severity="info" sys="SecureNet" sub="ips" name="UDP flood detected" action="UDP flood" fwrule="60013" initf="eth1" srcmac="f4:ca:e5:4c:b2:24" dstmac="0:10:f3:14:7e:41" srcip="VPN server IP" dstip="My External IP" proto="17" length="1245" tos="0x00" prec="0x00" ttl="51" srcport="15641" dstport="64458"
    2015:03:23-14:21:40 R-HOME01 ulogd[17615]: id="2105" severity="info" sys="SecureNet" sub="ips" name="UDP flood detected" action="UDP flood" fwrule="60013" initf="eth1" srcmac="f4:ca:e5:4c:b2:24" dstmac="0:10:f3:14:7e:41" srcip="VPN server IP" dstip="My External IP" proto="17" length="173" tos="0x00" prec="0x00" ttl="51" srcport="15641" dstport="64458"
    2015:03:23-14:21:40 R-HOME01 ulogd[17615]: id="2105" severity="info" sys="SecureNet" sub="ips" name="UDP flood detected" action="UDP flood" fwrule="60013" initf="eth1" srcmac="f4:ca:e5:4c:b2:24" dstmac="0:10:f3:14:7e:41" srcip="VPN server IP" dstip="My External IP" proto="17" length="1245" tos="0x00" prec="0x00" ttl="51" srcport="15641" dstport="64458"
    2015:03:23-14:21:40 R-HOME01 ulogd[17615]: id="2105" severity="info" sys="SecureNet" sub="ips" name="UDP flood detected" action="UDP flood" fwrule="60013" initf="eth1" srcmac="f4:ca:e5:4c:b2:24" dstmac="0:10:f3:14:7e:41" srcip="VPN server IP" dstip="My External IP" proto="17" length="1245" tos="0x00" prec="0x00" ttl="51" srcport="15641" dstport="64458"



    SHould i put the VPN servers IPs into the Exceptions for the intrusion Prevention settings ??? will it be a risk ? 

    FLo
  • 0
    Hi, 

    1. Re IPS exceptions: only for UDP flood

    2. if it still doesn't work, check your Application Control rules or temporarily disable App Control and report back.

    Barry
  • 0
    Hey Bob,

    Thank you will try that quickly and will let you know.

    Flo
  • 0 in reply to kernel_wall
    Hey Bob,

    SO i did the change and it totally fixed the issue. 

    setting up the UDP flood Exception did the job. 

    but after setting the VPN Server address in the exception i did a test and it was better but when checking the IPS logs i saw that now the problem was the same but Source ip was my internal computer, so i added my computer IP to the exception and now the test is perfect and speed looks stable.

    Bob adding also my computer IP to the exception is it a risk ? 

    Cheers
    Flo
  • 0
    Adding your PC as a FROM exception isn't a huge risk.

    Barry
  • 0
    Adding your PC as a FROM exception isn't a huge risk.

    Another option is to raise the UDP flood thresholds until it no longer triggers.

    Barry
  • 0 in reply to BarryG
    Adding your PC as a FROM exception isn't a huge risk.

    Another option is to raise the UDP flood thresholds until it no longer triggers.

    Barry




    Hey,

    What do you mean by raising UDP Flood thresholds till it no longer triggers ? 


    Edit: in the Exceptions rules i setup traffic in both ways and i specified the destination and the source so it should be safe i guess. like this other UDP flood should be blocked 

    Flo
  • 0 in reply to kernel_wall
    Hey,

    What do you mean by raising UDP Flood thresholds till it no longer triggers ? 


    The Flood Protection settings have thresholds (packets per second).

    Raising them until the alerts stop triggering would be one solution.

    Barry