Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 119 replies
  • Subscribers 1 subscriber
  • Views 291397 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[9.200] Web filtering causing slow internet browsing?

Jimstigator
I upgraded to 9.200 a few weeks ago and noted no decrease in internet browsing speed.  The unit is a 320 with max 100 users behind it.  Most features turned on, including IPS and now ATP.  

As of the past few days, browsing is... SLOWWWW.  All of a sudden, sites with lots of images, say, a shopping website, are extremely slow to load.  I went in, turned Web Filtering off, and boom, right back to instant load.  Anyone else experiencing this?

As far as the web filtering config, pretty much default.  Transparent mode, single scan, only block p0rn, all other traffic allowed.

I rebooted the UTM which didn't help.
Thoughts? 

-Jim


This thread was automatically locked due to age.
Parents
  • 0
    Actually the Endpoint has no clue whether it is behind a UTM or not.  It is the UTM that sees the traffic is coming from an Endpoint and the UTM that stops it's filtering.

    Again I want to stress that the sophosxl traffic is a symptom not a cause of slowness.  Its like going to your doctor complaining that you have a cough.  The doctor tells you that you have the flu, but you keep talking about cough suppressants.  Please stop obsessing over the sophosxl being logged.

    What I would be more interested in is this:
    For the log lines that are sophosxl, take a look at the srcip.  In toby's last post 10.8.12.103.  Now are there any lines in the log that are from 10.8.12.103 but are not sophosxl?  If you see a whole bunch of normal web traffic from that IP being logged that is proof that the UTM is not recognizing the traffic is coming from an endpoint and skipping its checks.

    Take a look at eplog.log.  The Endpoints should be logging into that file.  If the file is empty that is another proof of things not configured correctly.

    The differences in the 9.1 and 9.2 installer is minimal - in 9.2 we got rid of the full installer and only have the slim.  It will auto update to the latest version anyway.  We found that the full installer would often be saved on a network share, get quickly out of date, and it would autoupdate everything and behave just like the slim installer.  The more important thing is that the installer get a special filename that includes the Token (found on the Computer Management Advanced page).  The token that is part of the filename must match the token of the UTM at the time of install in order for the two to be linked.
Reply
  • 0
    Actually the Endpoint has no clue whether it is behind a UTM or not.  It is the UTM that sees the traffic is coming from an Endpoint and the UTM that stops it's filtering.

    Again I want to stress that the sophosxl traffic is a symptom not a cause of slowness.  Its like going to your doctor complaining that you have a cough.  The doctor tells you that you have the flu, but you keep talking about cough suppressants.  Please stop obsessing over the sophosxl being logged.

    What I would be more interested in is this:
    For the log lines that are sophosxl, take a look at the srcip.  In toby's last post 10.8.12.103.  Now are there any lines in the log that are from 10.8.12.103 but are not sophosxl?  If you see a whole bunch of normal web traffic from that IP being logged that is proof that the UTM is not recognizing the traffic is coming from an endpoint and skipping its checks.

    Take a look at eplog.log.  The Endpoints should be logging into that file.  If the file is empty that is another proof of things not configured correctly.

    The differences in the 9.1 and 9.2 installer is minimal - in 9.2 we got rid of the full installer and only have the slim.  It will auto update to the latest version anyway.  We found that the full installer would often be saved on a network share, get quickly out of date, and it would autoupdate everything and behave just like the slim installer.  The more important thing is that the installer get a special filename that includes the Token (found on the Computer Management Advanced page).  The token that is part of the filename must match the token of the UTM at the time of install in order for the two to be linked.
Children
  • 0 in reply to Michael Dunn
    Actually the Endpoint has no clue whether it is behind a UTM or not.  It is the UTM that sees the traffic is coming from an Endpoint and the UTM that stops it's filtering.

    Again I want to stress that the sophosxl traffic is a symptom not a cause of slowness.  Its like going to your doctor complaining that you have a cough.  The doctor tells you that you have the flu, but you keep talking about cough suppressants.  Please stop obsessing over the sophosxl being logged.

    What I would be more interested in is this:
    For the log lines that are sophosxl, take a look at the srcip.  In toby's last post 10.8.12.103.  Now are there any lines in the log that are from 10.8.12.103 but are not sophosxl?  If you see a whole bunch of normal web traffic from that IP being logged that is proof that the UTM is not recognizing the traffic is coming from an endpoint and skipping its checks.

    Take a look at eplog.log.  The Endpoints should be logging into that file.  If the file is empty that is another proof of things not configured correctly.

    The differences in the 9.1 and 9.2 installer is minimal - in 9.2 we got rid of the full installer and only have the slim.  It will auto update to the latest version anyway.  We found that the full installer would often be saved on a network share, get quickly out of date, and it would autoupdate everything and behave just like the slim installer.  The more important thing is that the installer get a special filename that includes the Token (found on the Computer Management Advanced page).  The token that is part of the filename must match the token of the UTM at the time of install in order for the two to be linked.



    Yes we see normal traffic going to cnn.com, moatads.com and turner.com etc (ads or CDN loading into cnn.com) coming from the same source IP as the sophosxl.net calls

    So its the UTM that should recognise the endpoint then - so the question remains what mechanism/process achieves this. In my scenario it broke post 9.2

    in eplog.log I see the test device with Control and Protection enabled sending data to this log. As its the only device with Control and Protection enabled the only stuff there is from the test device
  • 0 in reply to toby.wells@publicis.ie
    Toby,

    You say you're having UTM  Endpoint communication issues with 9.2.  I've noticed some issues as well with my Endpoint not updating their setting if Web Control is turned off.  Once it's turned off the Endpoints are unable to receive policy changes you make from the UTM  (they show as "Offline" in the WebAdmin).  I've documented these issues in another thread (here) .  I wonder if you're issues are similar in nature.
  • 0 in reply to cpod
    Toby,

    You say you're having UTM  Endpoint communication issues with 9.2.  I've noticed some issues as well with my Endpoint not updating their setting if Web Control is turned off.  Once it's turned off the Endpoints are unable to receive policy changes you make from the UTM  (they show as "Offline" in the WebAdmin).  I've documented these issues in another thread (here) .  I wonder if you're issues are similar in nature.


    Nope the endpoints communicate fine with the UTM/broker service, so I have everyone disabled from web control and protection right now put if I push a change to on access scanning to a test group that happens and they all show as green in the UTM endpoint admin page