Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 22 replies
  • Subscribers 4 subscribers
  • Views 73375 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Slow IPsec VPN

Emotive
I have two Sophos UTM Home endpoints, one at my house and another at my friends with a VPN between us. I cannot get speeds over 30Mbps on the VPN from me to my friends house but if he downloads directly from my web server he maxes my connection out at around 75Mbps.

My UTM - Dual Core Celeron 2.9Ghz 4GB
All security services enabled
75/75Mb fiber (tested to 80/80)

Friends UTM - Dual Core Celeron 2.9Ghz 4GB
All security services enabled
105/10Mb cable (Tested to 125/12)

VPN is AES128 SHA2 128 with PFS.(I have tried all different types of combinations) Both systems show about 5-9% CPU load when transferring, and I have even tried turning off the IPS/Web proxy with no difference in speed. Our previous configuration was with an EdgeRouter Lite on both ends which allowed IPsec VPN speeds to max my connection out.

The issue is on the UTMs somewhere but I cannot seem to find something that works.


This thread was automatically locked due to age.
Parents
  • 0
    I have never seen a UTM IPSec connect that was not skow, especially for file transfers. I Have a customer that complains daily about their 3 sites IPSec speeds to their hosted environment at a dat center. Juniper on the other end. Stuck 9.106 because Sophos gave us a one time patch to disable a it replay and refuses to provide another so we can update to patch vulnerabilities,
Reply
  • 0
    I have never seen a UTM IPSec connect that was not skow, especially for file transfers. I Have a customer that complains daily about their 3 sites IPSec speeds to their hosted environment at a dat center. Juniper on the other end. Stuck 9.106 because Sophos gave us a one time patch to disable a it replay and refuses to provide another so we can update to patch vulnerabilities,
Children
  • 0 in reply to BeanAnimal
    Hi,

    I have the same issue, The issue is related to the threads used. One thread get about 2-4Mbit. 
    So to max your VPN tunnel you have to use multiple threads. This seems like a bug or some veird QoS function. However disabling QoS will not help.

    Changing TCP window will not help neither PMTU.
    https://community.sophos.com/products/unified-threat-management/astaroorg/f/58/t/55194

    Now we are both on 9.312-8 but issue is the same.

    Best Regards
    Frank
  • 0 in reply to TKITFrank
    Have you tried turning on compression? [[:)]]

    Yes, this increased the speed about 1-2Mbps.

    what nics?

    Intel Pro 1000 pcie on one end and an older broadcom NIC on the other end (not sure of the exact model)

    William has a good nose for these kinds of problems.  He and others here contributed to the recommendations in #7 in Rulz.

    Cheers - Bob

    I have already went through your list [[:)]]

    Hi,

    I have the same issue, The issue is related to the threads used. One thread get about 2-4Mbit. 
    So to max your VPN tunnel you have to use multiple threads. This seems like a bug or some veird QoS function. However disabling QoS will not help.

    Changing TCP window will not help neither PMTU.
    https://www.astaro.org/gateway-products/vpn-site-site-remote-access/51103-ipsec-site-site-vpn-slow.html

    Now we are both on 9.312-8 but issue is the same.

    Best Regards
    Frank

    Reading the thread I seen one endpoint was a Cisco ASA. If I could afford 2 ASA5506's I would be using them since I always had great IPsec speeds with ASA5510s (80Mbps+ with 1000+ connections) Hardware crypto offload is the best.

    I have never seen a UTM IPSec connect that was not skow, especially for file transfers. I Have a customer that complains daily about their 3 sites IPSec speeds to their hosted environment at a dat center. Juniper on the other end. Stuck 9.106 because Sophos gave us a one time patch to disable a it replay and refuses to provide another so we can update to patch vulnerabilities,

    Are you speaking about Anti-Reply checking?

    I am going to grab another Intel Pro 1000 dual port NIC to replace the Broadcom NIC.
  • 0 in reply to Emotive
    Hi,


    Reading the thread I seen one endpoint was a Cisco ASA. If I could afford 2 ASA5506's I would be using them since I always had great IPsec speeds with ASA5510s (80Mbps+ with 1000+ connections) Hardware crypto offload is the best.
    .

    No both ends where Sophos UTM, At the time the thread was created is was one beta installation and one with the latest stable at the time.

    Same setup today is 9.312-8 on the same hardware on both ends.
    The ASA part was added later by someone else. I have no experience with Sophos to ASA setup.

    Best Regards
    Frank
Unfiltered HTML