Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 119 replies
  • Subscribers 1 subscriber
  • Views 291397 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[9.200] Web filtering causing slow internet browsing?

Jimstigator
I upgraded to 9.200 a few weeks ago and noted no decrease in internet browsing speed.  The unit is a 320 with max 100 users behind it.  Most features turned on, including IPS and now ATP.  

As of the past few days, browsing is... SLOWWWW.  All of a sudden, sites with lots of images, say, a shopping website, are extremely slow to load.  I went in, turned Web Filtering off, and boom, right back to instant load.  Anyone else experiencing this?

As far as the web filtering config, pretty much default.  Transparent mode, single scan, only block p0rn, all other traffic allowed.

I rebooted the UTM which didn't help.
Thoughts? 

-Jim


This thread was automatically locked due to age.
Parents
  • 0
    Let me try to explain some things because there is a little misunderstanding.

    Endpoints do cloud lookups to sophosxl, these are all very small and fast packets.  In a system that is working correctly the UTM recognizes that these are lookups that are originating from an endpoint that it manages.  When it does so the UTM does no scanning of the traffic that comes from that computer and also should not log the traffic from that computer nor should it log the sophosxl traffic.  The fact that you see sophosxl in the log means that the UTM is not recognising that it manages those endpoints and that there is a misconfiguration or confusion somewhere.  This is a symptom of a problem, not a problem in itself.  In addition to the sophosxl traffic you will likely be seeing regular traffic from the same source ip.

    This misconfig (I hate to call it that since it isn't really) can cause things to be scanned twice.  However that shouldn't add seconds of delay.  Note that you can actually force dual scanning (though it should not log) under Endpoint Protection \ Web Control \ Advanced.  Also note that the Endpoint cannot do HTTPS scanning, so if that is done at the UTM.

    Note: The endpoint must be configured for the UTM that it is going through to prevent dual scanning.  In other words if you have a work UTM and a home UTM, with a work laptop that has endpoint installed from work.  When you bring that laptop home and put it behind your home UTM it will print those sophosxl messages.  The hyperlink that use used to install an Endpoint specifies the UTM it should be configured for, you must use the correct link/download.

    On one of the computers that has endpoint and is slow, can you please uninstall endpoint.  Then use the link from the UTM to download and install a fresh copy.  After install, is it fast or slow?  Do you see sophosxl logs from that endpoint (search for the source ip).

    In addition, for someone who is experiencing this problem (endpoints printing sophosxl in logs) can you please post here or PM me your UTM ID (found in Endpoint/ Computer Manangement / Advanced).  We can look at it on Cloud servers tommorrow.
Reply
  • 0
    Let me try to explain some things because there is a little misunderstanding.

    Endpoints do cloud lookups to sophosxl, these are all very small and fast packets.  In a system that is working correctly the UTM recognizes that these are lookups that are originating from an endpoint that it manages.  When it does so the UTM does no scanning of the traffic that comes from that computer and also should not log the traffic from that computer nor should it log the sophosxl traffic.  The fact that you see sophosxl in the log means that the UTM is not recognising that it manages those endpoints and that there is a misconfiguration or confusion somewhere.  This is a symptom of a problem, not a problem in itself.  In addition to the sophosxl traffic you will likely be seeing regular traffic from the same source ip.

    This misconfig (I hate to call it that since it isn't really) can cause things to be scanned twice.  However that shouldn't add seconds of delay.  Note that you can actually force dual scanning (though it should not log) under Endpoint Protection \ Web Control \ Advanced.  Also note that the Endpoint cannot do HTTPS scanning, so if that is done at the UTM.

    Note: The endpoint must be configured for the UTM that it is going through to prevent dual scanning.  In other words if you have a work UTM and a home UTM, with a work laptop that has endpoint installed from work.  When you bring that laptop home and put it behind your home UTM it will print those sophosxl messages.  The hyperlink that use used to install an Endpoint specifies the UTM it should be configured for, you must use the correct link/download.

    On one of the computers that has endpoint and is slow, can you please uninstall endpoint.  Then use the link from the UTM to download and install a fresh copy.  After install, is it fast or slow?  Do you see sophosxl logs from that endpoint (search for the source ip).

    In addition, for someone who is experiencing this problem (endpoints printing sophosxl in logs) can you please post here or PM me your UTM ID (found in Endpoint/ Computer Manangement / Advanced).  We can look at it on Cloud servers tommorrow.
Children
  • 0 in reply to Michael Dunn
    Let me try to explain some things because there is a little misunderstanding.

    Endpoints do cloud lookups to sophosxl, these are all very small and fast packets.  In a system that is working correctly the UTM recognizes that these are lookups that are originating from an endpoint that it manages.  When it does so the UTM does no scanning of the traffic that comes from that computer and also should not log the traffic from that computer nor should it log the sophosxl traffic.  The fact that you see sophosxl in the log means that the UTM is not recognising that it manages those endpoints and that there is a misconfiguration or confusion somewhere.  This is a symptom of a problem, not a problem in itself.  In addition to the sophosxl traffic you will likely be seeing regular traffic from the same source ip.

    This misconfig (I hate to call it that since it isn't really) can cause things to be scanned twice.  However that shouldn't add seconds of delay.  Note that you can actually force dual scanning (though it should not log) under Endpoint Protection \ Web Control \ Advanced.  Also note that the Endpoint cannot do HTTPS scanning, so if that is done at the UTM.

    Note: The endpoint must be configured for the UTM that it is going through to prevent dual scanning.  In other words if you have a work UTM and a home UTM, with a work laptop that has endpoint installed from work.  When you bring that laptop home and put it behind your home UTM it will print those sophosxl messages.  The hyperlink that use used to install an Endpoint specifies the UTM it should be configured for, you must use the correct link/download.

    On one of the computers that has endpoint and is slow, can you please uninstall endpoint.  Then use the link from the UTM to download and install a fresh copy.  After install, is it fast or slow?  Do you see sophosxl logs from that endpoint (search for the source ip).

    In addition, for someone who is experiencing this problem (endpoints printing sophosxl in logs) can you please post here or PM me your UTM ID (found in Endpoint/ Computer Manangement / Advanced).  We can look at it on Cloud servers tommorrow.


    That is exactly the issue! The Endpoint should realise its behind a UTM and not callout to Sophosxl.net. They maybe small and fast but they are definitely the cause of the delay. Switch Web Control and Protection off in Endpoint and things get back to normal and no sophosxl.net calls in the log

    My endpoints are not realising they are behind a UTM

    What Im trying to get to is what mechanism/process does the Endpoint use to determine its behind a UTM. Has something changed in 9.2 or the fact that my Default Gateway is different to the LAN port on my UTM to blame etc etc. 

    I have checked we aren't set to dual scanning...

    We have used VMs that are rebooted after each test, New built HP laptops with clean Endpoint installs and Re-installed endpoint on more than one device. The pattern is the same. 

    We do have 3 sites and 3 UTMs but staff move between the sites so we have only ever used one installer package from the 'HQ' UTM where Endpoint is activated. Our CEO and management team never move office and their PCs have endpoint installed from the HQ UTM they are behind and he has the issue. However its an interesting point I never knew or was told about during the install by Sophos Pro Services.

    I will PM the UTM ID and the current case number
  • 0 in reply to Michael Dunn
    Let me try to explain some things because there is a little misunderstanding.

    Endpoints do cloud lookups to sophosxl, these are all very small and fast packets.  In a system that is working correctly the UTM recognizes that these are lookups that are originating from an endpoint that it manages.  When it does so the UTM does no scanning of the traffic that comes from that computer and also should not log the traffic from that computer nor should it log the sophosxl traffic.  The fact that you see sophosxl in the log means that the UTM is not recognising that it manages those endpoints and that there is a misconfiguration or confusion somewhere.  This is a symptom of a problem, not a problem in itself.  In addition to the sophosxl traffic you will likely be seeing regular traffic from the same source ip.

    This misconfig (I hate to call it that since it isn't really) can cause things to be scanned twice.  However that shouldn't add seconds of delay.  Note that you can actually force dual scanning (though it should not log) under Endpoint Protection \ Web Control \ Advanced.  Also note that the Endpoint cannot do HTTPS scanning, so if that is done at the UTM.

    Note: The endpoint must be configured for the UTM that it is going through to prevent dual scanning.  In other words if you have a work UTM and a home UTM, with a work laptop that has endpoint installed from work.  When you bring that laptop home and put it behind your home UTM it will print those sophosxl messages.  The hyperlink that use used to install an Endpoint specifies the UTM it should be configured for, you must use the correct link/download.

    On one of the computers that has endpoint and is slow, can you please uninstall endpoint.  Then use the link from the UTM to download and install a fresh copy.  After install, is it fast or slow?  Do you see sophosxl logs from that endpoint (search for the source ip).

    In addition, for someone who is experiencing this problem (endpoints printing sophosxl in logs) can you please post here or PM me your UTM ID (found in Endpoint/ Computer Manangement / Advanced).  We can look at it on Cloud servers tommorrow.


    I have just re-read your message again and checked the installer we are using. We are using the full package installer from 9.1 we have saved on a network share

    I notice on the 9.2 Endpoint page the installer has changed 

    You used to get the option of a slim or full installer now its a different one. 

    Question is do we need to go round and re-install this new endpoint on all our PCs to fix the issue! Well I will put this on a test device tomorrow and let you know...