Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 1 subscriber
  • Views 5101 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL/IPSec Remote Access VPN Performance improvement

vnsankar
Hi,

I have installed the Astaro Home edition GW in Intel pentium 4 CPU 3.06Ghz,RAM 2.2 Gb DDR,HDD 80GB WDC, SATA HP PC.
Astaro FW is connected to 8 Mbps DSL Broadband with Static Public IP.

I have enabled the following features in the FW

1) Packet Filter
2) IPS (Windows Attack patterns/Anti-DOS Attack/Anti-Portscan are all enabled)
3) Remote Access -> SSL VPN/L2TPIPSec/IP Sec VPN/Cisco VPN
4) DHCP/DNS Servers



I established SSL VPN between Windows XP machine connected to 100 Mbps Broadband Internet Connection and Astaro FW. The remote SIP Client in Windows XP Box connects to the Asterisk Server sitting behind the Astaro GW via SSL VPN Remote Access.
The voice is clipped when I make a call from Windows XP SIP Client to SIP Clients behind the Astaro FW. When I run ICMP echo from remote location with 100Mbps Internet speed , the average response time was as follows:-

1) to the external interface of Astaro FW :450ms

2) to the internal Interface of Astarow FW: 500ms

3) Asterisk Servers behind the Asterisk FW : 850 ms

4) Windows XP Client behind the FW : 900 ms

The memory Utilization in Astaro FW was about 20%, CPU Utilization was about 5~6% in the dashboard when I make SIP Calls.




When I Setup the similar configuration with Endian Community FW, I don't experience any Voice Clipping. The response time to the clients behind the FW also is same as that of the External Interface. 

1) to the external interface of Endian Community FW :450ms

2) to the internal Interface of Endian Community FW: 460ms

3) Asterisk Servers behind the Asterisk FW : 460 ms

4) Windows XP Client behind the FW : 460 ms


As troubleshooting steps, I disabled the IPS in Asatro GW and did not see any improvement. I also installed the Astaro FW in following Higher Specification Desktop:-

Intel pentium Dual Core CPU E220@2.2GhZ (200*11)
RAM 3GB DDR2, 250Gb Barrauda,SATA HDD

I did not see any improvement.


I believe I may have to do some fine tuning to improve the performance and reduce the payload overhead of VPN. Could you please throw some light in to the above?


Regards

Sankar


This thread was automatically locked due to age.
Parents
  • 0
    IPSec already uses a stateless protocol, so it's already just as efficient. SSL vpn defaults to TCP for compatibility, not performance. Some isps, hotspots, or hotels tend to block vpn traffic. Tunneled TCP port 443 traffic is considerably harder for them to block. Doing so without also blocking standard https traffic is much more difficult. UDP port 443 is trivial to block, if someone has reason to do so.
Reply
  • 0
    IPSec already uses a stateless protocol, so it's already just as efficient. SSL vpn defaults to TCP for compatibility, not performance. Some isps, hotspots, or hotels tend to block vpn traffic. Tunneled TCP port 443 traffic is considerably harder for them to block. Doing so without also blocking standard https traffic is much more difficult. UDP port 443 is trivial to block, if someone has reason to do so.
Children
No Data