Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 1 subscriber
  • Views 26442 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

"Asymmetrically" slow IPSEC VPN

luigi.crevatin
Good morning to everybody,
I've a strange behaviour on an IPSEC VPN between two remote site of a new customer.
On each site there's a couple of UTM in HA (active/passive) linked to the intenet with a 20/20 Fiber connection (same service provider) recently installed.
The speed tests on the links give me a real traffic rate of 18/16 on site A and 17/17 on  site B. 
I setup a VPN IPSEC between the two sites and the connection started to work immediately. After a couple of days the customer called me to say that they didn't notice the expected better performance on nightly sync from site A to site B.

After some test we realize that the overall performance is a little worst than the sync made on the old 8mbit HDSL using the GRE tunnel between the CISCO routers.

In particular the problem is that when OVER THE IPSEC VPN we transfer a file from site B to site A the speed is 15mbits while when  we transfer a file from site A to site B the speed is 1mbit (best result).

So we tried to:

1) we create a GRE tunnel using the existing CISCO routers over the new fiber connection and we discover that in each direction the speed is about 16mbits.

2) we decided to test on site A (the "slow" one) another IPSEC VPN with an external company (Sophos UTM - CISCO router) but that works perfectly in each direction (15.5 mbits).

3) we check differences between the configuration of the two sites but, I think, the only important things is the webfilter protection activated on site A (non on site B).

4) I decided to connect to the UTM via ssh console and, surprise, the speed transfer in each direction (1GB file) is aboout 15mbits. So the problem seems to be between the internal LANs and (see next point).

5) I configure on each site a new interface on the UTM and a new IPSEC VPN between the two networks just created; then I put a linux laptop on each site connected to the new internal interfaces but again I've 15 mbits from site B to site A and (little better) 2 mbits from site A to site B.

6) I tested the packet fragmentation and I reach 1410 bites as limit; but in the VPN configuration I enable the flag  'Support Path MTU discovery' and I hope this is not the "bug"

Finally notice that other traffic over the UTM at site A seems to work correctly.

I hope someone has an idea to suggest me...

Thanks in advance

Luigi


This thread was automatically locked due to age.
Parents
  • 0
    Good sleuthing, Luigi.  I think you still need to set the MTU on the interface.  Since this is a commercial license, you should make Sophos Support aware of this.

    Also,  I think you should challenge your ISP to fix their equipment where the limit is 1410.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    Good sleuthing, Luigi.  I think you still need to set the MTU on the interface.  Since this is a commercial license, you should make Sophos Support aware of this.

    Also,  I think you should challenge your ISP to fix their equipment where the limit is 1410.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • 0 in reply to BAlfson
    Good morning to everybody and sorry for my latency... 

    Hi, it does sound like a probable MTU problem... what is/should be the MTU for the connection at site A?

    Barry


    Barry the MTU is set to 1500 on the UTM interface and it should be 1410 but I thought that the MTU path discovery flag on the VPN did the "miracle"...

    Good sleuthing, Luigi.  I think you still need to set the MTU on the interface.  Since this is a commercial license, you should make Sophos Support aware of this.

    Also,  I think you should challenge your ISP to fix their equipment where the limit is 1410.

    Cheers - Bob


    Bob I 'll open today an official ticket to italian support, but I already talk to Sophos technical presales to clear my mind over the thousand test I did; at the moment "we" don't have unofficial ideas on the trouble.

    Bob, Barry why the transfer between the UTM SSH console works fine in both direction?
    Is there any test you suggest to identify the problem?

    Thank you very much guys.

    Luigi
Unfiltered HTML