Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 20 replies
  • Subscribers 1 subscriber
  • Views 41305 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL VPN Performance Tweaking (SLOW Network Browsing)

mrwebguy
Has anyone done much with performance tweaking the SSL VPN connection?

My scenario is this:
1 remote point of sale station running XP Pro that needs to be able to access internal network shares on Server 2003 and run a Point of Sale client that has a SQL Server 2005 backend that it connects with and makes live transactions (not replicated).

The current connections are:
Remote: 3MB Up/Down
Internal: Triple Bonded T-1 (4.5MB)

Bandwidth should not be an issue in this case.

I can currently browse network shares but downloading anything from them is extremely slow.  The SQL calls from the point of sale go through but again very slow.  Running the management application for the POS station is also quite slow.  

Does anyone have any experience with tweaking the ASG 120 appliance for a similar purpose? Is it possible that IPS could be blocking/dropping packets or maybe the packet filter?  Should I disable some specific rules to attain better performance?

Thanks in advance for your input.  I can make any screen dumps that are necessary to better answer this question.  Hopefully we can have a good discussion that others will be able to use down the road for reference.

Thanks,
Joe Jenkins


This thread was automatically locked due to age.
  • 0
    Version of Astaro?  Are you running the HTTP Proxy?  In which mode? Are these transfers via http, ftp, cifs, or???  Do you see evidence of these transfers in any of the logs?  Is this site-to-site, or remote access VPN?

    Cheers - Bob
  • 0 in reply to BAlfson
    Version of Astaro?  Are you running the HTTP Proxy?  In which mode? Are these transfers via http, ftp, cifs, or???  Do you see evidence of these transfers in any of the logs?  Is this site-to-site, or remote access VPN?

    Cheers - Bob


    Bob,

    Thanks for the reply and I apologize for not elaborating before:

    - SSL VPN - Remote (Not Site-to-Site)
    - Connection to SQL server only and Windows file shares ONLY
    - No evidence of anything on in the logs
    - Transparent web filtering for the internal network. I will confine the connected client to the internal web filter once I establish a better QoS for the primary applications.
    - Astaro 120 running version latest version.
    - Nothing jumped out to me in IPS or packet filter pertaining to the VPN pool.

    Thanks Bob.

    Joe Jenkins
  • 0
    Are you currently running the SSL VPN over TCP? if so, you might wish to switch it over to UDP in the Remote Access-->SSL-->Settings menu, as this can lead to a nice boost.
  • 0
    Hi Angelo, can the VPN be changed to UDP without changing anything on the clients?

    Also, is UDP recommended for site-to-site SSL VPNs?

    Thanks,
    Barry
  • 0 in reply to BarryG
    can the VPN be changed to UDP without changing anything on the clients?


    No... 
    The "proto tcp" Line in the ".ovpn" File needs to be changed...
  • 0
    Right, after he changes to UDP, probably he'll need to download the configuration from the Astaro again.

    Joe, what happens when you copy a 10MB or larger file from the share to a local drive?  What is your calculated throughput?

    Cheers - Bob
  • 0
    Has anyone done much with performance tweaking the SSL VPN connection?

    My scenario is this:
    1 remote point of sale station running XP Pro that needs to be able to access internal network shares on Server 2003 and run a Point of Sale client that has a SQL Server 2005 backend that it connects with and makes live transactions (not replicated).

    The current connections are:
    Remote: 3MB Up/Down
    Internal: Triple Bonded T-1 (4.5MB)

    Bandwidth should not be an issue in this case.

    I can currently browse network shares but downloading anything from them is extremely slow.  The SQL calls from the point of sale go through but again very slow.  Running the management application for the POS station is also quite slow.  

    Does anyone have any experience with tweaking the ASG 120 appliance for a similar purpose? Is it possible that IPS could be blocking/dropping packets or maybe the packet filter?  Should I disable some specific rules to attain better performance?

    Thanks in advance for your input.  I can make any screen dumps that are necessary to better answer this question.  Hopefully we can have a good discussion that others will be able to use down the road for reference.

    Thanks,
    Joe Jenkins


    the ASG 120 has a very weak cpu in terms of math processing and that's precisely what is getting highly used when you have any kind of encryption going on(like vpn).  Ips also routes every single packet through the cpu so that can be a performance bottleneck too.  Try turning off the ips and see if that helps anything..if you have http a/v on try disabling that as well if ips disabling doesn't work.
  • 0 in reply to William Warren
    Right, after he changes to UDP, probably he'll need to download the configuration from the Astaro again.

    Joe, what happens when you copy a 10MB or larger file from the share to a local drive?  What is your calculated throughput?

    Cheers - Bob


    Bob, I took @AngeloC's advice and moved it over to UDP, pulled down a new configuration to my machine and ran some tests.  When I pull across a 33MB file, I get about 105kb/s (According to Windows) across the VPN.  I dont' really have any good file transfer benchmarking program.  The POS system that is making SQL calls back to the SQL Server is slow for the administration program but the point of sale itself seems pretty usable once it loads which is about 3 minutes of unresponsiveness while it pulls down indexes and tables from the SQL server.  I'm beginning to think we need to optimize the traffic a little better for SQL traffic but I'm not sure where to go with the particulars on that.

    the ASG 120 has a very weak cpu in terms of math processing and that's precisely what is getting highly used when you have any kind of encryption going on(like vpn).  Ips also routes every single packet through the cpu so that can be a performance bottleneck too.  Try turning off the ips and see if that helps anything..if you have http a/v on try disabling that as well if ips disabling doesn't work.


    I checked the processor from the dashboard through the entire testing process of copying files and using the point of sale program.  The CPU average is in the middle teens with a peak in the low 30s which seemed unrelated to my activity. I agree with 120 processor is weak but for this application with as few users that are behind it with relatively low traffic overall, it's more than adequate, or it should be, for one or two VPN users.

    I also had a live IPS and Packet Filter log open during this entire process and saw no dropped packets to the VPN Pool address bank or to the server I was working with. 

    Thanks for the brainstorming thus far!  Any other thoughts?

    Thank you,
    Joe Jenkins
  • 0
    I just connected to a remote astaro of mine and pulled down a 133 MB file at a steady megabit(which is pretty much the max of the upload over there).  unless it's bandwidth or routing I can only point my finger towards either a firewall issue on your xp box or the weakness of the astaro.  I am frankly leaning towards the cpu in the astaro(if you max out the math but don't touch the integer then your percentage will be low on cpu graph)....but it's also very likely a bandwidth issue or a transit issue.  if you have a beefier cpu machine lying around you can test download the ASG..install it onto that box..import your config backup and see if things improve.
  • 0
    what level of encryption are you using on the astaro side for the ssl vpn?  That could also be the issue.