Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 2 subscribers
  • Views 34212 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL vpn 10mb

avaserman@craigross.com
Hello Everybody,
I experiencing some issue with SSL VPN
I have in office 100mb up/down and in my home 25mb.
When I open connection via SLL VPN Utm 220 I get maximum 10Mb , and nic from Sophos ssl shows 10 MB as well.When I open the PPTP or L2TP i get maximum speed 25mb what provided give me .
I just wondering if that some bug  or only me experiencing that issue with connection limit?


This thread was automatically locked due to age.
Parents
  • 0
    Hi,

    we also had the issue with slow SSL-VPN for Remote Access although we have a 100/12Mbit/s at the office and a synchronous 1Gbit/s at the datacenter. It turned out that the UDP Flood Protection throttled the connection.

    We have created an IPS->Exception for UDP Flood Protection (disabled) for all UDP connections on that specific SSL-VPN Port and Interface/IP we use for it and now we get the full 100Mbit/s to the datacenter for downloads and about 6-7Mbit/s upstream to the datacenter where both was limited to 2Mbit/s before (with UDP Flood enabled for everything).

    Hope it helps!
Reply
  • 0
    Hi,

    we also had the issue with slow SSL-VPN for Remote Access although we have a 100/12Mbit/s at the office and a synchronous 1Gbit/s at the datacenter. It turned out that the UDP Flood Protection throttled the connection.

    We have created an IPS->Exception for UDP Flood Protection (disabled) for all UDP connections on that specific SSL-VPN Port and Interface/IP we use for it and now we get the full 100Mbit/s to the datacenter for downloads and about 6-7Mbit/s upstream to the datacenter where both was limited to 2Mbit/s before (with UDP Flood enabled for everything).

    Hope it helps!
Children
  • 0 in reply to guawhitehawk
    Hate to bump this thread, but I am definitely getting these symptoms.  I tried changing the config file and the connection setting in the utm to UDP using port 443, but at that point I could not connect at all.

    I have tried on two laptops and I am getting the 10mbps connection.  It is so slow I have an in house program that creates quotes for our on the road sales person to get to clients, but the program locks and will not display any information.  Connected to the inside wifi it works flawlessly.  Over the VPN he can get his email and get to network folders, but it is very slow.   

    Upon creating the VPN for him, I did not check speeds, but I do remember everything working.  He says it has progressively gotten worse.

    I tried to make exceptions in IPS for the VPN pool, but that seems to have no effect.

    Firmware ver. 9.211-3  Have updates available, but a little reserved on installing them as last time it screwed up a few things that took me a few days to get straightened out.
  • 0 in reply to jerrylyoungii
    Hate to bump this thread, but I am definitely getting these symptoms.  I tried changing the config file and the connection setting in the utm to UDP using port 443, but at that point I could not connect at all.

    I have tried on two laptops and I am getting the 10mbps connection.  It is so slow I have an in house program that creates quotes for our on the road sales person to get to clients, but the program locks and will not display any information.  Connected to the inside wifi it works flawlessly.  Over the VPN he can get his email and get to network folders, but it is very slow.   

    Upon creating the VPN for him, I did not check speeds, but I do remember everything working.  He says it has progressively gotten worse.

    I tried to make exceptions in IPS for the VPN pool, but that seems to have no effect.

    Firmware ver. 9.211-3  Have updates available, but a little reserved on installing them as last time it screwed up a few things that took me a few days to get straightened out.


    [:O]
    I tried everything, and I decide to switch to Cisco VPN Ipsec\UDM and is looks like much better , i get in download speed 15-18 on line 25  .
    Im in Manitoba and line from MTS to Shaw is sucks, from Shaw to Shaw all perfect.Some internet providers try decrypt  traffic ....
  • 0 in reply to guawhitehawk

    We have created an IPS->Exception for UDP Flood Protection (disabled) for all UDP connections on that specific SSL-VPN Port and Interface/IP we use for it and now we get the full 100Mbit/s to the datacenter for downloads and about 6-7Mbit/s upstream to the datacenter where both was limited to 2Mbit/s before (with UDP Flood enabled for everything).

    Hope it helps!


    Hi WhiteHawk, Can you please post a screenshot of this config for reference.. thanks.
  • 0 in reply to avaserman@craigross.com
    [:O]
    I tried everything, and I decide to switch to Cisco VPN Ipsec\UDM and is looks like much better , i get in download speed 15-18 on line 25  .
    Im in Manitoba and line from MTS to Shaw is sucks, from Shaw to Shaw all perfect.Some internet providers try decrypt  traffic ....

    The speed of an SSL VPN, especially OpenVPN, will depend on how you've configured the server and clients.

    tun-mtu must be adjusted depending on what type of encryption you use (for example, my tun-mtu is set to 60000 on both the server and the client.

    sndbuf and rcvbuff values, along with fragment 0 and mssfix 0 should also be set if throughput is an issue.

    TCP should never be utilized for an SSL VPN, except in two scenarios:
     - initially, to verify server and client communicate successfully, and upon verification, changed to UDP
    - to troubleshoot an issue
    This is due to the inefficient way in which TCP transports the data.

    SSL VPNs will almost always provide better throughput than an IPsec VPN, provided the end user has taken the time to configure the server and client configs appropriately.

    With that being said, business users are SOL since, for reasons beyond comprehension, Sophos does not provide a way to manage OpenVPN through the WebGUI; and per their terminal warning, no support will be provided if changes were made via the cli without being explicitly told to do so by tech support.  

    If you're a home user, I strongly encourage reading OpenVPN's HowTo and Man pages, then editing the openvpn config located at /var/sec/chroot-openvpn/etc/openvpn/openvpn.conf-default.  You must edit the default file, as the openvpn.conf is created dynamically from the default file whenever a profile is turned on.  

    Remember, most options added to the server config must also be added to the client config located at /var/sec/chroot-openvpn/etc/openvpn/client/config-default
  • 0 in reply to guawhitehawk

    We have the same exact problem with a SG230, the SSL VPN seems limitted to 10Mbps even though we have 300/100Mbps in the remote site where the firewall is and 100/10 in the office.

    The current configuration is UDP, no compression, SHA2 256, Key size 2048 bit, AES-256-CBC. We have tried TCP and other combinations with the algorithms with no luck. IPS and flood protections are disabled.

  • 0 in reply to JonFranco

    Jon, what result do you get withSHA1, 1024 and AES-128-CBC?  Watch the Intrusion Prevention Live Log when you try.

    Cheers - Bob

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson

    Hi Bob,

    Same results, with Intrusion Prevention completely off.

  • 0 in reply to JonFranco

    Actually, it was the other things in that log that might be of interest.  Snort rarely causes these issues, but Anti-DoS Flooding can.

    Cheers - Bob

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML