SSL vpn 10mb

[:O]
I tried everything, and I decide to switch to Cisco VPN Ipsec\UDM and is looks like much better , i get in download speed 15-18 on line 25  .
Im in Manitoba and line from MTS to Shaw is sucks, from Shaw to Shaw all perfect.Some internet providers try decrypt  traffic ....

The speed of an SSL VPN, especially OpenVPN, will depend on how you've configured the server and clients.

tun-mtu must be adjusted depending on what type of encryption you use (for example, my tun-mtu is set to 60000 on both the server and the client.

sndbuf and rcvbuff values, along with fragment 0 and mssfix 0 should also be set if throughput is an issue.

TCP should never be utilized for an SSL VPN, except in two scenarios:
 - initially, to verify server and client communicate successfully, and upon verification, changed to UDP
- to troubleshoot an issue
This is due to the inefficient way in which TCP transports the data.

SSL VPNs will almost always provide better throughput than an IPsec VPN, provided the end user has taken the time to configure the server and client configs appropriately.

With that being said, business users are SOL since, for reasons beyond comprehension, Sophos does not provide a way to manage OpenVPN through the WebGUI; and per their terminal warning, no support will be provided if changes were made via the cli without being explicitly told to do so by tech support.  

If you're a home user, I strongly encourage reading OpenVPN's HowTo and Man pages, then editing the openvpn config located at /var/sec/chroot-openvpn/etc/openvpn/openvpn.conf-default.  You must edit the default file, as the openvpn.conf is created dynamically from the default file whenever a profile is turned on.  

Remember, most options added to the server config must also be added to the client config located at /var/sec/chroot-openvpn/etc/openvpn/client/config-default

To provide an example of properly configuring OpenVPN for the best performance possible, below is an example config from the wiki I wrote on OpenWRT for setting up OpenVPN on OpenWRT routers.  

Due to the three factor authentication Sophos employs with OpenVPN (1st - User Name/Password; 2. TLS via certificate attributes; 3. the SSL certs themsevles), certain options from the example config will not apply, and prior to editing any config file, please read the OpenVPN HowTO and ManPage. The HowTo takes ~15 minutes to read, while the ManPage takes ~45 minutes, and both are important because the HowTO gives a basic rundown on how to do the most popular options, while the ManPages provide every configuration option, allowing you to truly personalize your VPN for low latency, high throughput.

• Included at the bottom of the above linked tutorial are links to cover every concievable question about OpenVPN configs [regardless of OS]
  
• Please note, OpenWRT's "option" and single quotes [ ' ' ] should not be utilized in Linux; space underlines " _ " [i.e. tun_mtu] should be dashes " - " in Linux [i.e. tun-mtu]
  
• SSL CA and certs should be configured with SHA512, which processes faster than SHA256 [bare minimum... md5 and sha1 should never be utilized]
  
• Unless you require a private tunnel to transport TS/SCI [3072bit], your certs and dh should never exceed 2048bit, which is currently uncrackable until at least 2030.  2048bit's performance hit vs 1024bit is so miniscule, it's negligible; however, anything higher than 2048 will severely affect throughput and latency 
  

Server Config [OpenWRT]

config openvpn 'VPNserver'
 
        option enabled     '1'
 
    # --- Protocol ---#
        option dev         'tun'
        option dev         'tun0'
        option topology    'subnet'
        option proto       'udp'
        option port        '1194'
 
    #--- Routes ---#
        option server    '10.1.1.0 255.255.255.0'
 
    #--- Client Config ---#
#       option ccd_exclusive           '1'
#       option ifconfig_pool_persist   '/etc/openvpn/clients/ipp.txt'
#       option client_config_dir       '/etc/openvpn/clients/'
        option ifconfig                '10.1.1.1 255.255.255.0'
 
    #--- Pushed Routes ---#
        list push    'route 192.168.1.0 255.255.255.0'
        list push    'dhcp-option DNS 192.168.1.1'
        list push    'dhcp-option WINS 192.168.1.1'
        list push    'dhcp-option DNS 8.8.8.8'
        list push    'dhcp-option DNS 8.8.4.4'
        list push    'dhcp-option NTP 129.6.15.30'
 
    #--- Encryption ---#
        option cipher     'AES-256-CBC'
        option dh         '/etc/openvpn/keys/dh2048.pem'
        option pkcs12     '/etc/openvpn/keys/my-server.p12'
        option tls_auth   '/etc/openvpn/keys/ta.key 0'
 
    #--- Logging ---#
        option log           '/tmp/openvpn.log'
        option status        '/tmp/openvpn-status.log'
        option verb          '7'
 
    #--- Connection Options ---#
        option keepalive        '10 120'
        option comp_lzo         'yes'
 
    #--- Connection Reliability ---#
        option client_to_client '1'
        option persist_key      '1'
        option persist_tun      '1'
 
    #--- Connection Speed ---#    
        option sndbuf            '393216'
        option rcvbuf            '393216'
        option fragment          '0'
        option mssfix            '0'
        option tun_mtu           '48000'
 
    #--- Pushed Buffers ---#
        list push    'sndbuf 393216'
        list push    'rcvbuf 393216'
 
    #--- Permissions ---#
        option user     'nobody'
        option group    'nogroup'

Client Config [Windows]

client
dev tun
tun-mtu 48000
fragment 0
mssfix 0
proto udp
remote your.ddns.com 1194
float
resolv-retry infinite
nobind
persist-key
persist-tun
pkcs12 OpenWRT-VPNclient1.p12
key-direction 1

-----BEGIN OpenVPN Static key V1-----
#---PASTE KEY HERE---#
-----END OpenVPN Static key V1-----

remote-cert-tls server
cipher AES-256-CBC
auth-nocache
verb 5
comp-lzo

Client Config [Android]

client
dev tun
tun-mtu 48000
fragment 0
mssfix 0
proto udp
remote your.ddns.com 1194
float
nobind
persist-key
persist-tun
key-direction 1

-----BEGIN OpenVPN Static key V1-----
#---PASTE KEY HERE---#
-----END OpenVPN Static key V1-----

remote-cert-tls server
cipher AES-256-CBC
auth-nocache
verb 5
comp-lzo

We have the same exact problem with a SG230, the SSL VPN seems limitted to 10Mbps even though we have 300/100Mbps in the remote site where the firewall is and 100/10 in the office.

The current configuration is UDP, no compression, SHA2 256, Key size 2048 bit, AES-256-CBC. We have tried TCP and other combinations with the algorithms with no luck. IPS and flood protections are disabled.

Jon, what result do you get withSHA1, 1024 and AES-128-CBC?  Watch the Intrusion Prevention Live Log when you try.

Cheers - Bob

Hi Bob,

Same results, with Intrusion Prevention completely off.

Actually, it was the other things in that log that might be of interest.  Snort rarely causes these issues, but Anti-DoS Flooding can.

Cheers - Bob