Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 1 subscriber
  • Views 2695 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ASL v6 - IPSec Compression no longer works

drees
We recently upgraded a number of ASL 5.2 machines to ASL 6. After upgrading, we noticed that a number of the regular large file transfers we do across the VPN have gotten a lot slower and take a lot longer to complete while using more bandwidth.

After a bit of digging, it appears that IPSec compression no longer works with ASL v6, even though we have it turned on.

Normally if we look at ipsec compared to actual interface bandwidth, the ipsec bandwidth is much higher than the interface bandwidth, now the 2 are equal.

Looking at the IPSec logs, I see plenty of "initiating Quick Mode" lines with "RSASIG+ENCRYPT+COMPRESS+TUNNEL+PFS+UP", but when the following IPSec SA established lines do not include IPCOMP, they only include ESP, AES_128-HMAC_MD5 DPD.

Interestingly VPNs between v6 and v5 firewalls do show IPCOMP in the IPSec SA established message, but don't show any evidence of compression actually working in either direction.

Anyone else run across this problem? Having VPN compression is a huge savings in bandwidth and network responsiveness for us.


This thread was automatically locked due to age.
Parents
  • 0
    Looks like 6.103 fixes the IPSec compression problems. Updated a ASL v6 firewall today, re-enabled compression on the IPSec definition between it and a v5 firewall and tests showed compression working. 

    Looking /proc/net/ipsec_spi also shows some lines indication working compression as well. Look for DEFLATE, it also has the compression ratio on that line.
  • 0 in reply to drees
    It sure is not working between my two v6.103 ASLs, cannot see any DEFLATE lines in /proc/net/ipsec_spi and the speed indicates no compression.
  • 0 in reply to Lionking
    Hmm, thought I replied to this earlier.

    You are right, compression does not work between 2 6.103 firewalls. While compression will work on 6.103 firewalls (as shown by my 6.103 and 5.10x testing), when you put two v6 firewalls together neither advertises that they support compression so it's not turned on.
  • 0 in reply to drees
    Astaro knows about that problem. As far as I know the fix is scheduled for next up2date.

    Xeno
  • 0 in reply to Xeno
    Yes, with 6.105 it works!
    [ QUOTE ]
    Astaro knows about that problem. As far as I know the fix is scheduled for next up2date.

    Xeno 

    [/ QUOTE ]
Reply Children
Cookie Information Banner