Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 85 replies
  • Subscribers 1 subscriber
  • Views 58042 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Web Browing Slowness

Alvin
Hi

Currently, I "locked down" my Firewall with NO LAN -> Internet = Allow Rule.

This way, it is 100% via the HTTP Proxy which works.

But it is Really Significant slowness as long as I disable the LAN -> Internet Rule.

For DNS, I set it to use Astaro who in turn use Open DNS.

But I do not understand how come the browsing performance is significantly slower.

If I just turn on the rule, it simply is faster.


This thread was automatically locked due to age.
  • 0
    Hi

    1) AngeloC, when available please kindly have a look at the logs attached in my earlier post.

    2) For the rest of you, Just to share with you that I am quite sure it is indeed the latency I have from the URL Filtering that causes the slowness.

    4) What are the the URL Filtering Servers so that I can get my ISP  to see if they can get better routes. 
    I cant ask my ISP to check when I do not know the FQDN of the URL Servers so that I can at least submit trace routes etc.

    Does the URL Filtering have servers in Asia just like how your Up2Date is doing?

    3) I am using OpenDNS for my Filtering now ( I have been using Both Astaro and OpenDNS) just share with you all in case you do not know there is such a thing and faces the slowness.
  • 0
    Are these the URL Filtering Servers?
    Happen to see it when I disable and enable HTTP Proxy.

    cffs01.astaro.com' access time: 755ms
    cffs02.astaro.com' access time: 806ms
    cffs03.astaro.com' access time: 534ms
    cffs04.astaro.com' access time: 749ms
    cffs06.astaro.com' access time: 533ms
    cffs07.astaro.com' access time: 567ms
    cffs08.astaro.com' access time: 816ms
    cffs09.astaro.com' access time: 932ms
    cffs10.astaro.com' access time: 424ms
    cffs11.astaro.com' access time: 832ms
  • 0
    Just my thought because I seen plastic tz170 to tz210 get crushed by IPS.

    Too bad we couldn't start a PtP servers just for URL Filtering between members all around the world. I'll give you my scum for yours or we just give it to astaro. We could download what we want locally and pull the others via "CLOSE(r)" trusted servers. 

    Must see this link
    I-BlockList | Lists

    Your at almost 1 second delay 932ms. 
    This is why I uploaded 30,000 blocked scum sites. For me use thats plently but the corp enviroment must block them all or get sued for showing ****. 

    I like the possibility of an option of locally caching all the bad ips and fetching only the latest ones.

    I love europe ..Hey Im italian but the rt ping time to those servers yikes.

    ... former ddrt toymaker.
    Mike
  • 0 in reply to MikeinNYC
    Local cache would definatly be a big plus for me, and would make the surfing A LOT faster. It is currently the main cause of "lag" for me. When URL filtering is OFF everything is fast, but i need the feature turn on.

    Well worth an extra gig of ram [:)]
  • 0
    I noticed a huge slow down after upgrade from 8.000 to 8.001, anybody else notice this?
  • 0
    cffs01.astaro.com' access time: 755ms
    cffs02.astaro.com' access time: 806ms
    cffs03.astaro.com' access time: 534ms
    cffs04.astaro.com' access time: 749ms
    cffs06.astaro.com' access time: 533ms
    cffs07.astaro.com' access time: 567ms
    cffs08.astaro.com' access time: 816ms
    cffs09.astaro.com' access time: 932ms
    cffs10.astaro.com' access time: 424ms
    cffs11.astaro.com' access time: 832ms

    Not 932ms, but 424ms, as only the fastest respondant is consulted.

    Nonetheless, that's not insignificant - agreed that a local URL filtering cache is a good idea!

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hi

    Glad to get confirmation that you all experience the obvious significantly slowness with URL enabled.

    1) The List of the Servers are the Correct Host that I should do Trace route and get my ISP to fix the latency 

    OR it is simply the load on the servers is High thus slow response?

    2) Another thing I noticed is the More Category you Block, the slower it gets.
    What I mean is

    It seems if I blocked 20 Category, the server would need to check each URL 20 times for each category.

    And not whereby Submit the URL One time, The server respond with all the Category that this URL belong to and the Firewall would decide what to show.

    Local Cache is GOOD !  I have 3GB RAM, utilization at 32% Now so yeah I have about 2GB Available.

    But will those ASG Appliance be able to take it?
  • 0 in reply to Alvin
    I attached my Traceroute results as a Txt file due to the characters limitations.

    It does not seems to be network performance as it seems great to me.
  • 0 in reply to Alvin
    I am using v8.001.  One of my main reasons for using a proxy server is URL filtering being I have kids around that I need to prevent from going to these nasty sites.  This setup is pretty much unusable for me.  Every site I hit takes so much time, it's just not acceptable.  Just for my local news site, it's taking over a minute to load.  I bypass Astaro completely and it's 3 seconds.  I'm trying to replace my slow SonicWall box which I thought was bad, but it screams compared to this!!
  • 0 in reply to toadtheory
    Everybody advocating local caching, 3 words, not gonna happen. Local categorization has been tried before and is still used in some cases as a cheap content filter. Cloud computing is the future and its going to stay that way. P2P pattern updates will be a hard sell for any UTM not to mention certain ISPs have throttled it previously.

    I personally don't have any problems with astaro content servers. I hit astaro servers at 70-90ms rtt for the fast ones. Although some of my categorization times are close to 400ms so not quite sure if the fastest/closest server is always used.

    People that have freakishly slow speeds on decent connections need to look at their hardware/ minimum specs and DNS. Use google servers if outside the US and opendns inside the US. Don't enable everything on astaro just because you can specially IPS rules. If you don't have sql servers and linux desktops in your environments then don't enable those IPS rules and make sure you create the right exceptions for IPS. Same goes for p2p/IM control, it doesn't make any sense to enable that for home use.

    In any case, I think we should have an option for selective categorization for people like alvin who might need av scan but could skip categorization due to the 0.5 second rtt to the closest server.