Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 1 subscriber
  • Views 3566 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos UTM 425 Performance

P.Alger
I am new to the Sophos world and have finally reached my end.. I have a UTM 425 with software version 9-109.1

We have a mid size network 200 end users. We have a 20mb fiber connection to the internet. My issue is we are experiencing slow page response times and even timeouts when going to sites.

I have removed the firewall and tested the internet connection and we are getting our full 20mb up and down. Our utilization is only on average 9-11mbps of the full 20 so its not oversaturation.

I have turned all the antivirus to single pass. We are only filtering on a few categories and no application filtering.

Where do I start? What can I post to show our issues?

Also my logs are flooded with this and I have no idea on how to resolve it either as the .21 address is the firewall itself and the 10.201 address doesn't even exist anymore.

2014:05:07-12:31:11 Sh******s-1 httpproxy[23941]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="POST" srcip="10.1.1.21" dstip="10.201.1.25" user="" statuscode="504" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" request="0x162f90b8" url="10.201.1.25/.../schemas-xmlsoap-org_ws_2005_04_discovery" exceptions="" error="Timeout while reading response from Server" reputation="neutral" category="9998" reputation="neutral" categoryname="Uncategorized"


This thread was automatically locked due to age.
  • 0
    Any other FW in front of UTM, like Cisco 1841 or 1941?

    I've had similar problems with Cisco 1841 in front of UTM with DNS inspection enabled.

    Speedtest.net tests was reporting full ISP guaranteed speed, but access to portal based sites (many objects delivered from other locations in order to display the full page) was incredible slow (but not always, we have spent almost 3 months tracking this problem down to Cisco router).
  • 0
    No firewall in front, just a pass through router handing the circuit off.. No configuration in it other then IP info...

    On a side note I turned off endpoint protection and it speeds it up drastically it looks like.. This isn't a good solution though..
  • 0
    What is your cpu and memory utilization on the firewall?
  • 0
    I am new to the Sophos world and have finally reached my end.. I have a UTM 425 with software version 9-109.1

    We have a mid size network 200 end users. We have a 20mb fiber connection to the internet. My issue is we are experiencing slow page response times and even timeouts when going to sites.

    I have removed the firewall and tested the internet connection and we are getting our full 20mb up and down. Our utilization is only on average 9-11mbps of the full 20 so its not oversaturation.

    I have turned all the antivirus to single pass. We are only filtering on a few categories and no application filtering.

    Where do I start? What can I post to show our issues?

    Also my logs are flooded with this and I have no idea on how to resolve it either as the .21 address is the firewall itself and the 10.201 address doesn't even exist anymore.

    2014:05:07-12:31:11 Sh******s-1 httpproxy[23941]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="POST" srcip="10.1.1.21" dstip="10.201.1.25" user="" statuscode="504" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" request="0x162f90b8" url="http://10.201.1.25/StableWSDiscoveryEndpoint/schemas-xmlsoap-org_ws_2005_04_discovery" exceptions="" error="Timeout while reading response from Server" reputation="neutral" category="9998" reputation="neutral" categoryname="Uncategorized"


    first i owuld disable web filtering totlaly for a bit.  Then i would make sure the non existant addy isn't still in the network definitions.  I would then reboot the utm..then after about 5 minutes re-enable http proxy.

    If you have sophos endpoint installed behind this unit contact support/reseller pronto..[:)]
  • 0
    Hi, P.Alger, and welcome to the User BB!

    the .21 address is the firewall itself and the 10.201 address doesn't even exist anymore

    If you haven't tried rebooting the 425, then try restarting the httpproxy by either doing /var/mdw/scripts/httpproxy restart at the command line or toggling Disable/Enable Web Filtering in WebAdmin.  Any luck with that?  If not, then it's time to get Sophos Support involved!

    Cheers - Bob
  • 0 in reply to BAlfson
    You should update to 9.111 ASAP (fixes the Heartbleed vulnerability).

    I would start a Sophos Support case ASAP as well, they will be able to dig into your issue and get to the root of the matter.
  • 0
    I have exactly this...We have UTM 320s and a mix of 90 percent PC and 10 percent Macs. Macs have no problem as they endpoint doesn't do any web control or scanning. PC users were screaming at us saying browsing on our 100Mbps link was slower than home DSL

    So we investigated and its the endpoint

    If you have Web Control OR Web Protection switched on in the endpoint group then browsing speeds are really slow. Turn off both features and the browsing is back to normal speed (same as the Macs which were proving it wasn't a UTM CPU or ISP problem)

    I have a call open with Sophos, they have admitted this is an issue

    Feel free to PM me and I will share the testing methodology and current progress with Sophos
  • 0 in reply to toby.wells@publicis.ie
    I have exactly this...We have UTM 320s and a mix of 90 percent PC and 10 percent Macs. Macs have no problem as they endpoint doesn't do any web control or scanning. PC users were screaming at us saying browsing on our 100Mbps link was slower than home DSL

    So we investigated and its the endpoint

    If you have Web Control OR Web Protection switched on in the endpoint group then browsing speeds are really slow. Turn off both features and the browsing is back to normal speed (same as the Macs which were proving it wasn't a UTM CPU or ISP problem)

    I have a call open with Sophos, they have admitted this is an issue

    Feel free to PM me and I will share the testing methodology and current progress with Sophos


    I can confirm that this was my issue as well.  In this case, I was using Sophos Enterprise Console-managed AV.  Browsing, all of a sudden, became frustratingly slow.  I tried many options such as downloading the URL database and running it from ram (quad core CPU and 8GB of memory on my box), recreating the web filtering policies, changing to a different policy, etc.  The only thing that helped was disabling web filtering on the Sophos UTM completely.  Once I disabled "Web protection" in the Sophos Enterprise Console, web browsing was immediately faster and more responsive.
  • 0
    Euphrates, if you had a support ticket for this, please PM me with it.  This is very interesting to me.
  • 0 in reply to Michael Dunn
    Euphrates, if you had a support ticket for this, please PM me with it.  This is very interesting to me.


    No support ticket was opened for this.