Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 22 replies
  • Subscribers 4 subscribers
  • Views 73363 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Slow IPsec VPN

Emotive
I have two Sophos UTM Home endpoints, one at my house and another at my friends with a VPN between us. I cannot get speeds over 30Mbps on the VPN from me to my friends house but if he downloads directly from my web server he maxes my connection out at around 75Mbps.

My UTM - Dual Core Celeron 2.9Ghz 4GB
All security services enabled
75/75Mb fiber (tested to 80/80)

Friends UTM - Dual Core Celeron 2.9Ghz 4GB
All security services enabled
105/10Mb cable (Tested to 125/12)

VPN is AES128 SHA2 128 with PFS.(I have tried all different types of combinations) Both systems show about 5-9% CPU load when transferring, and I have even tried turning off the IPS/Web proxy with no difference in speed. Our previous configuration was with an EdgeRouter Lite on both ends which allowed IPsec VPN speeds to max my connection out.

The issue is on the UTMs somewhere but I cannot seem to find something that works.


This thread was automatically locked due to age.
  • 0
    Have you tried turning on compression? [:)]
  • 0
    what nics?

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0
    William has a good nose for these kinds of problems.  He and others here contributed to the recommendations in #7 in Rulz.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    I have never seen a UTM IPSec connect that was not skow, especially for file transfers. I Have a customer that complains daily about their 3 sites IPSec speeds to their hosted environment at a dat center. Juniper on the other end. Stuck 9.106 because Sophos gave us a one time patch to disable a it replay and refuses to provide another so we can update to patch vulnerabilities,
  • 0 in reply to BeanAnimal
    Hi,

    I have the same issue, The issue is related to the threads used. One thread get about 2-4Mbit. 
    So to max your VPN tunnel you have to use multiple threads. This seems like a bug or some veird QoS function. However disabling QoS will not help.

    Changing TCP window will not help neither PMTU.
    https://community.sophos.com/products/unified-threat-management/astaroorg/f/58/t/55194

    Now we are both on 9.312-8 but issue is the same.

    Best Regards
    Frank
  • 0 in reply to TKITFrank
    Have you tried turning on compression? [[:)]]

    Yes, this increased the speed about 1-2Mbps.

    what nics?

    Intel Pro 1000 pcie on one end and an older broadcom NIC on the other end (not sure of the exact model)

    William has a good nose for these kinds of problems.  He and others here contributed to the recommendations in #7 in Rulz.

    Cheers - Bob

    I have already went through your list [[:)]]

    Hi,

    I have the same issue, The issue is related to the threads used. One thread get about 2-4Mbit. 
    So to max your VPN tunnel you have to use multiple threads. This seems like a bug or some veird QoS function. However disabling QoS will not help.

    Changing TCP window will not help neither PMTU.
    https://www.astaro.org/gateway-products/vpn-site-site-remote-access/51103-ipsec-site-site-vpn-slow.html

    Now we are both on 9.312-8 but issue is the same.

    Best Regards
    Frank

    Reading the thread I seen one endpoint was a Cisco ASA. If I could afford 2 ASA5506's I would be using them since I always had great IPsec speeds with ASA5510s (80Mbps+ with 1000+ connections) Hardware crypto offload is the best.

    I have never seen a UTM IPSec connect that was not skow, especially for file transfers. I Have a customer that complains daily about their 3 sites IPSec speeds to their hosted environment at a dat center. Juniper on the other end. Stuck 9.106 because Sophos gave us a one time patch to disable a it replay and refuses to provide another so we can update to patch vulnerabilities,

    Are you speaking about Anti-Reply checking?

    I am going to grab another Intel Pro 1000 dual port NIC to replace the Broadcom NIC.
  • 0 in reply to Emotive
    Hi,


    Reading the thread I seen one endpoint was a Cisco ASA. If I could afford 2 ASA5506's I would be using them since I always had great IPsec speeds with ASA5510s (80Mbps+ with 1000+ connections) Hardware crypto offload is the best.
    .

    No both ends where Sophos UTM, At the time the thread was created is was one beta installation and one with the latest stable at the time.

    Same setup today is 9.312-8 on the same hardware on both ends.
    The ASA part was added later by someone else. I have no experience with Sophos to ASA setup.

    Best Regards
    Frank
  • 0
    If I switch out the Broadcom NIC with an Intel NIC, do I need to reinstall the ASG software?
  • 0
    Hardware crypto offload is the best.


    If you use AES 128 GCM (not 3DES) and one of the new Intel processors with AES-NI, you should now be getting hardware crypto.  Unless you already have a similar Intel NIC in the box, you will need to reload.

    So to max your VPN tunnel you have to use multiple threads.


    Have you tested that Frank?  I assume you mean multiple IPsec Connection definitions, thus creating multiple tunnels.

    Cheers - Bob

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    HI,


    Have you tested that Frank?  I assume you mean multiple IPsec Connection definitions, thus creating multiple tunnels.
    Cheers - Bob


    No one VPN connection to the remote site and multiple TCP connections inside.
    Example,
    You want to download 5 ISO files from the remote site via FTP inside the tunnel.
    1; Download one at a time results in an download speed the is for instance 2-4mbit.
    2; Add one new download and it will get the same speed. But altogether 6-8Mbit
    3; Add another and it two till get 2-4mbit but the aggregated speed is now 11-13Mbit.


    If I download an single file using Free Download Manager and have 4 sections the alltogether speed of the dowenload is the same as the max above but using 1 section results in 2-4mbit.


    So it is the single tcp connection that is the limiting factor. 
    I have tried FTP, SMB that I recall. Could be more. 

    I did some testing and the issue is the same when using Site-To-Site SSL tunnel as well.

    My guess is an buffer, Perhaps the NIC buffer or and system wide QoS buffer that will not be shut off when I disable QoS.

    I did some googling about this last time and there was an command to see the buffers and you could see that it was counting although QoS was shut off.


    Best Regards
    Frank
Unfiltered HTML