Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 1 subscriber
  • Views 26439 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

"Asymmetrically" slow IPSEC VPN

luigi.crevatin
Good morning to everybody,
I've a strange behaviour on an IPSEC VPN between two remote site of a new customer.
On each site there's a couple of UTM in HA (active/passive) linked to the intenet with a 20/20 Fiber connection (same service provider) recently installed.
The speed tests on the links give me a real traffic rate of 18/16 on site A and 17/17 on  site B. 
I setup a VPN IPSEC between the two sites and the connection started to work immediately. After a couple of days the customer called me to say that they didn't notice the expected better performance on nightly sync from site A to site B.

After some test we realize that the overall performance is a little worst than the sync made on the old 8mbit HDSL using the GRE tunnel between the CISCO routers.

In particular the problem is that when OVER THE IPSEC VPN we transfer a file from site B to site A the speed is 15mbits while when  we transfer a file from site A to site B the speed is 1mbit (best result).

So we tried to:

1) we create a GRE tunnel using the existing CISCO routers over the new fiber connection and we discover that in each direction the speed is about 16mbits.

2) we decided to test on site A (the "slow" one) another IPSEC VPN with an external company (Sophos UTM - CISCO router) but that works perfectly in each direction (15.5 mbits).

3) we check differences between the configuration of the two sites but, I think, the only important things is the webfilter protection activated on site A (non on site B).

4) I decided to connect to the UTM via ssh console and, surprise, the speed transfer in each direction (1GB file) is aboout 15mbits. So the problem seems to be between the internal LANs and (see next point).

5) I configure on each site a new interface on the UTM and a new IPSEC VPN between the two networks just created; then I put a linux laptop on each site connected to the new internal interfaces but again I've 15 mbits from site B to site A and (little better) 2 mbits from site A to site B.

6) I tested the packet fragmentation and I reach 1410 bites as limit; but in the VPN configuration I enable the flag  'Support Path MTU discovery' and I hope this is not the "bug"

Finally notice that other traffic over the UTM at site A seems to work correctly.

I hope someone has an idea to suggest me...

Thanks in advance

Luigi


This thread was automatically locked due to age.
Unfiltered HTML