Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 6423 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site2Site Bandwith Monitoring

all4it
We got a problem at a customers remote office, they have two small ADSL links with 16/1MBit, one link is used for ipsec VPN to HQ.

So the Upstream is somethimes at 100% of the link and we can only see that ipsec traffic is using  that bandwith. We can not find out what service is causing the high bandwith usage or whats the source or the target host on the other side. When the happens working with citrix is impossible for users.

Help or hints appreciated!


This thread was automatically locked due to age.
  • 0
    Toby, from the command line as root run:

    cc
    ipsec
    connections@
    exit


    That will show you the REF to use below in place of REF_IpsSitUtmInAws in the following command that lets you watch the traffic in the tunnel.  If it's busy, you will need to capture the output to a file.

    espdump -n --conn REF_IpsSitUtmInAws -vv



    The other thing I would try is looking on the 'Bandwidth Usage' tab in 'Logging & Reporting >> Network Usage'.

    Cheers - Bob
  • 0 in reply to BAlfson
    Thanks for the answer, the tcpdump is one thing, I m not quiet sure if I have the expertice to read it.
    The flowmonitor shows only "ipsec", so I guess its not able to minitor whats going on inside the tunnel.

    So if worst comes to worse, we will need to talk to the customer if he is willed to pay us for implementing a different firewall before the UTM to see whats going on.

    We are absolutly in the dark, we recieve support by our distributor and not directly from sophos, they are also clueless and say there is no way to see inside the tunnel! [:O]
  • 0 in reply to all4it
    Even if I would do a dump from the ipsec tunnel, I would only see whats going on in the tunnel and not the satturation of the link, right? I would need to guess again.

    Any other suggestions?
  • 0
    they are also clueless and say there is no way to see inside the tunnel

    That's what espdump lets you do.  All you really need its to see ports and IPs, so it's probably easier to find the traffic on the 'Bandwidth Usage' tab.

    Cheers - Bob
  • 0 in reply to BAlfson
    And thats the Problem, in the Bandwith Tap, all we see is protocol "ipsec" with high usage. But whats causing it inside the ipsec? How to find out? There are many clients on both sides of the tunnel, there is alos of stuff going on but with a normal behaviour not enough to fill up the Uplink.
    So I dont see how and why espdump could help me, I agree, I need something like the bandwith tap to see inside the ipsec tunnel.
  • 0
    Hey guys,

    You should be able to distinguish what's flowing through the links if you click the top interface 'all' for in or out

    Usually I find I can match what is traveling through with that view and yes have a couple of offices with a similar scenario.