Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 1 subscriber
  • Views 44211 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Slow site 2 site ipsec VPN

Mark597
Hi all,

I have a problem with my "site to site ipsec vpn". I have already found other posts about this problem but i cant seem to fix mine [:S] 

My situation is as followed, i'm using 2 Sophos UTMs running version 9.3 home license (running on Vmware Vsphere). One UTM is in a datacenter in France and the other UTM is behind my ISP router at home. This all works fine no problem but the transfer speed is slow about 2MB/s between 2 windows 2012 r2 servers from site 2 site. 

I think there's a bug somewhere because a ping command from one server to the other server in the other site: ping 192.168.3.90 -f -l 1472 gives back the following result:

ping 192.168.3.90 -f -l 1472

Pinging 192.168.3.90 with 1472 bytes of data:
Reply from 192.168.2.1: Packet needs to be fragmented but DF set.
Packet needs to be fragmented but DF set.
Packet needs to be fragmented but DF set.
Packet needs to be fragmented but DF set.

The lowest setting that seems to be working is 1394. All my network devices are set to 1500 mtu (vmare Vsphere, isp router, switches). 

Can someone tell me whats wrong. [H]


This thread was automatically locked due to age.
Parents
  • 0
    All I would know to do would be a packet capture, Mark, but you already have a number, 1386, so try that for the WAN interfaces and let us know your results. 

    Cheers - Bob

    Sorry for any short responses.  Posted from my iPhone.
  • 0 in reply to BAlfson
    I was tired not getting it to work and so tried the "well know" windows method [:P] and so rebooted both UTMs and now it is working (needs reboot after VPN mtu changes?). I also changed the windows client mtu setting:

    netsh interface ipv4 set subinterface "Local Area Connection" mtu=1422 store=persistent

    Its working now, not completely happy with this setup but its working. When i have a little more time on my hands i will try the UTM WAN mtu settings.

    Thanks Bob.
  • 0 in reply to Mark597
    And the problem just came back. Looks like it's not the mtu, reboot solved it again. Can it be a buffer of some sort ?
  • 0 in reply to Mark597
    And the problem just came back. Looks like it's not the mtu, reboot solved it again. Can it be a buffer of some sort ?


    Hi, I solved a similar problem between my two UTMs connected with an IPsec tunnel. I have configured in the remote gateways "Support path MTU discovery" and "Support congestion signaling (ECN)". Speed was limited to 2-2.5Mbit/s (the line capacity is 5Mbit/s).

    I disabled "Support congestion signaling (ECN)" in both remote gateway definitions and instantly the full 5Mbit/s were available through the IPsec tunnel.

    Maybe worth a try.
  • 0 in reply to HiRN
    Nothing works, tried all setting out but no luck. Maybe it's the hypervisor. I will try a physical machine at home this weekend.
  • 0 in reply to Mark597
    Just tried a PfSense openvpn site 2 site and it works like a charm [:D]. 

    Can it be a IPSEC or a Sophos UTM bug ?
Reply Children
No Data