Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 1 subscriber
  • Views 25456 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Slow Site to Site VPN

Joe Costa
Hello all, I've been reading up everything I could find on this issue, but hopefully I can get some more info here.

We currently have 3 UTMs set up in 3 geographically remote offices, all UTMs are running in DL360 G5 Proliants and CPU use only occasionally spikes to 25% and RAM use is always below 13%, the WAN ethernet port being used is the built-in Broadcom NetXtreme II BCM5708 on all 3

2 of the offices have 100/100 Fiber internet service and one has 50/10 Cable service.

We are using AES 192 MD5 encryption settings with compression off, NAT traversal on, Support Path MTU discovery and ECN on

The 2 offices with 100/100 service are set as the service initiators in the Gateway type.

IPS is off, Anti DoS/Flooding is off  QoS is off.

The Site to Site connects rapidly and reliably among all offices, but we currently cannot get more than 3MB/sec out of any service, we've tried FTP, SMB, AFP and NFS, the average data transfer we get is closer to 1 MB/sec

I've tried getting the slower office out of the S2S chain, and even turning off VPN encryption but that resulted in no change in speeds.

Anything else I can look into?


This thread was automatically locked due to age.
Parents
  • 0
    The current value by default is the interface MTU. If you want to reset it, its done by iptables command as well.

    iptables -D FORWARD 1
    chmod 700 /var/mdw/hooks/packetfilter_advanced
    rm -rf /var/mdw/hooks/packetfilter_advanced
  • 0 in reply to pedja
    I followed the steps and they have improved speeds a bit, although I've settled on a TCP MSS of 1460 after reading up a bit more and after several tests.

    We're going to set up dedicated ethernet interfaces for the site to site and set the MTU on those interfaces to the widely recommended IPSec tunnel MTU of 1400, with a TCP MSS of 1360

    I tried those settings during office off hours and I got the best result out of the 1400/1360 combo of all the settings I had tried, but 1400 is no good for a general use WAN port, so I put it back to 1500.
Reply
  • 0 in reply to pedja
    I followed the steps and they have improved speeds a bit, although I've settled on a TCP MSS of 1460 after reading up a bit more and after several tests.

    We're going to set up dedicated ethernet interfaces for the site to site and set the MTU on those interfaces to the widely recommended IPSec tunnel MTU of 1400, with a TCP MSS of 1360

    I tried those settings during office off hours and I got the best result out of the 1400/1360 combo of all the settings I had tried, but 1400 is no good for a general use WAN port, so I put it back to 1500.
Children
No Data
Unfiltered HTML