Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 1 subscriber
  • Views 26442 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

"Asymmetrically" slow IPSEC VPN

luigi.crevatin
Good morning to everybody,
I've a strange behaviour on an IPSEC VPN between two remote site of a new customer.
On each site there's a couple of UTM in HA (active/passive) linked to the intenet with a 20/20 Fiber connection (same service provider) recently installed.
The speed tests on the links give me a real traffic rate of 18/16 on site A and 17/17 on  site B. 
I setup a VPN IPSEC between the two sites and the connection started to work immediately. After a couple of days the customer called me to say that they didn't notice the expected better performance on nightly sync from site A to site B.

After some test we realize that the overall performance is a little worst than the sync made on the old 8mbit HDSL using the GRE tunnel between the CISCO routers.

In particular the problem is that when OVER THE IPSEC VPN we transfer a file from site B to site A the speed is 15mbits while when  we transfer a file from site A to site B the speed is 1mbit (best result).

So we tried to:

1) we create a GRE tunnel using the existing CISCO routers over the new fiber connection and we discover that in each direction the speed is about 16mbits.

2) we decided to test on site A (the "slow" one) another IPSEC VPN with an external company (Sophos UTM - CISCO router) but that works perfectly in each direction (15.5 mbits).

3) we check differences between the configuration of the two sites but, I think, the only important things is the webfilter protection activated on site A (non on site B).

4) I decided to connect to the UTM via ssh console and, surprise, the speed transfer in each direction (1GB file) is aboout 15mbits. So the problem seems to be between the internal LANs and (see next point).

5) I configure on each site a new interface on the UTM and a new IPSEC VPN between the two networks just created; then I put a linux laptop on each site connected to the new internal interfaces but again I've 15 mbits from site B to site A and (little better) 2 mbits from site A to site B.

6) I tested the packet fragmentation and I reach 1410 bites as limit; but in the VPN configuration I enable the flag  'Support Path MTU discovery' and I hope this is not the "bug"

Finally notice that other traffic over the UTM at site A seems to work correctly.

I hope someone has an idea to suggest me...

Thanks in advance

Luigi


This thread was automatically locked due to age.
Parents
  • 0
    If the ethernet auto-negotiate isn't working right, the solution is to hard-set the speed, and full duplex, on both ends.

    Barry
  • 0 in reply to BarryG
    Hi to everybody,
    just to update: last thursday I opened an official ticket to the italian support that forwarded it to Sophos 2nd level. Now I'm waiting for a call.

    Hi luigi,

    I had exactly the same issue at one of my customers. This was a problem with the auto negotiation setting. After the provider has changed something on the cisco router behind the utm, the issue is gone.

    regards
    mod


    Mod, at the beginning I try to fix the speed but I couldn't do/check it on the Cisco; on the LAN side all the nodes are connected to Gigabit Ethernet switches.

    If the ethernet auto-negotiate isn't working right, the solution is to hard-set the speed, and full duplex, on both ends.

    Barry


    Barry, that's the problem; we asked to the ISP to change to 100Mbit full duplex but we can't get a clear answer on that. It seems that they do it, but they never send us a "trace".

    But... [:S]
    If the "Auto negotiation" is the problem, why the speed is "slowed"  only in a specific direction?

    So guys, when the Sophos support will contact me, I'll report the solution here (I hope...)

    Have a nice week and thanks to everybody

    Luigi
Reply
  • 0 in reply to BarryG
    Hi to everybody,
    just to update: last thursday I opened an official ticket to the italian support that forwarded it to Sophos 2nd level. Now I'm waiting for a call.

    Hi luigi,

    I had exactly the same issue at one of my customers. This was a problem with the auto negotiation setting. After the provider has changed something on the cisco router behind the utm, the issue is gone.

    regards
    mod


    Mod, at the beginning I try to fix the speed but I couldn't do/check it on the Cisco; on the LAN side all the nodes are connected to Gigabit Ethernet switches.

    If the ethernet auto-negotiate isn't working right, the solution is to hard-set the speed, and full duplex, on both ends.

    Barry


    Barry, that's the problem; we asked to the ISP to change to 100Mbit full duplex but we can't get a clear answer on that. It seems that they do it, but they never send us a "trace".

    But... [:S]
    If the "Auto negotiation" is the problem, why the speed is "slowed"  only in a specific direction?

    So guys, when the Sophos support will contact me, I'll report the solution here (I hope...)

    Have a nice week and thanks to everybody

    Luigi
Children
  • 0 in reply to luigi.crevatin
    Barry, that's the problem; we asked to the ISP to change to 100Mbit full duplex but we can't get a clear answer on that. It seems that they do it, but they never send us a "trace".

    But... [:S]
    If the "Auto negotiation" is the problem, why the speed is "slowed"  only in a specific direction?


    If the duplex is set to half on one end, then traffic from the other end sending full duplex will have a lot of collisions.

    Either set your end to half duplex (slow but better than it is now), or push your ISP.

    Barry
  • 0 in reply to BarryG
    Hi Bob & Barry,
    I'm still waiting for contacts from Sophos and ISP support... [:S]

    While you're waiting on Sophos and Telecomitalia, you might try #7 in Rulz.
    Cheers - Bob


    Bob, I'm a "Fan" of that post; I already verified Rule #7; if today the support doesn't call me, I'll double check the rule again (this evening... Sigh!)


    If the duplex is set to half on one end, then traffic from the other end sending full duplex will have a lot of collisions.
    Either set your end to half duplex (slow but better than it is now), or push your ISP.
    Barry


    Barry, I don't consider that option because on the UTM side actually every network port is set to Auto.
    However, as I said to Bob, due to Sophos and ISP support latency, probably this evening I'll check again also your suggestion.


    Thank you very much guys [:)]

    Luigi
Unfiltered HTML