Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 6424 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Site2Site Bandwith Monitoring

all4it
We got a problem at a customers remote office, they have two small ADSL links with 16/1MBit, one link is used for ipsec VPN to HQ.

So the Upstream is somethimes at 100% of the link and we can only see that ipsec traffic is using  that bandwith. We can not find out what service is causing the high bandwith usage or whats the source or the target host on the other side. When the happens working with citrix is impossible for users.

Help or hints appreciated!


This thread was automatically locked due to age.
Parents
  • 0
    Toby, from the command line as root run:

    cc
    ipsec
    connections@
    exit


    That will show you the REF to use below in place of REF_IpsSitUtmInAws in the following command that lets you watch the traffic in the tunnel.  If it's busy, you will need to capture the output to a file.

    espdump -n --conn REF_IpsSitUtmInAws -vv



    The other thing I would try is looking on the 'Bandwidth Usage' tab in 'Logging & Reporting >> Network Usage'.

    Cheers - Bob
  • 0 in reply to BAlfson
    Thanks for the answer, the tcpdump is one thing, I m not quiet sure if I have the expertice to read it.
    The flowmonitor shows only "ipsec", so I guess its not able to minitor whats going on inside the tunnel.

    So if worst comes to worse, we will need to talk to the customer if he is willed to pay us for implementing a different firewall before the UTM to see whats going on.

    We are absolutly in the dark, we recieve support by our distributor and not directly from sophos, they are also clueless and say there is no way to see inside the tunnel! [:O]
Reply
  • 0 in reply to BAlfson
    Thanks for the answer, the tcpdump is one thing, I m not quiet sure if I have the expertice to read it.
    The flowmonitor shows only "ipsec", so I guess its not able to minitor whats going on inside the tunnel.

    So if worst comes to worse, we will need to talk to the customer if he is willed to pay us for implementing a different firewall before the UTM to see whats going on.

    We are absolutly in the dark, we recieve support by our distributor and not directly from sophos, they are also clueless and say there is no way to see inside the tunnel! [:O]
Children