Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 27 replies
  • Subscribers 1 subscriber
  • Views 9920 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Transparent mode makes speed terrible!

guillerone
Hi guys.

We are setting up the web proxy for url and av filtering but with our tests transparent mode is slow as The Walking Dead zombies.

The tests:
Standard mode without configuring a proxy in the browser: good speed (obviously not filtering undesired sites)
Standard mode configuring a proxy in the browser: good speed (blocking undesired sites)
Transparent mode without configuring a proxy in the browser: BAD speed (blocking undesired sites)
Transparent mode configuring a proxy in the browser: good speed (blocking undesired sites)

When I say bad speed means loading a page in 90 seconds instead of the 4 when it works correctly.

Can anyone tell us why this could be happening? We are not using cache although we also tried clearing it following similar posts.

Specs are SG230 with 2x30Mb WAN and about 50 users. RAM is 14% and CPU 3%.

Thanks in advanced!


This thread was automatically locked due to age.
  • 0
    Thanks Bob. I didn´t find anything relevant in the help or online but I'll leave it with the availability group anyway.

    I'll test on Tuesday to see if this is sorted. Have a great weekend.
  • 0
    Sorry Sascha, replied at the same time as you [:D]

    According to the help:
    Always Resolved: This option is selected by default, so that if all hosts are unavailable, the group will resolve to the host which was last available. Otherwise the group will be set to unresolved if all hosts are dead.

    As of the 60/5, that was my concern. If the primary DNS forwarder is down it will take the UTM between 1 and 5 minutes without noticing. Therefore there will be a downtime of all that. Am I getting it right? That's not a very good approach for DNS forwarders. If a lookup fails on the first then the second should be used then for 0 downtime.

    What do you think?
  • 0 in reply to guillerone
    Sorry Sascha, replied at the same time as you [[:D]]
    ...If a lookup fails on the first then the second should be used then for 0 downtime.

    What do you think?


    The idea is good...It´s preferrable to keep non working DNS as low as possible. Sadly there´s no way to go lower...maybe by pinging every second and fail over after 1 failed check. But this definately will lead to false switching / flapping, as sometimes UDP packets get lost, or servers does not response to a ping. And it also puts more load on public servers maybe evoking countermeasures of the operators by blocking you or disabling ping etc.

    Lowest I´d go is 5/3, which leads to failover after 15secs. But Usually my 15/3 works quite well...How often do you have a DNS failing per day ? [[:D]]
  • 0
    Just use the Google or OpenDNS servers - never had a problem with those.  I would think that any problem with those would be caused by a local outage probably preventing connection to any name servers.

    Cheers - Bob
  • 0
    I'm afraid to say the problem persists although considerably lower.

    Through manually set proxy website loads in 4 seconds, in transparent mode it does it in 12. Not the 90 seconds of before but still big difference. Tried with different websites, all have same average difference.
    The load is similar to last week. RAM is 19% and CPU 8%.

    What could be going on?
  • 0
    I'll try [:)]

    You mentioned it was fast one evening when nobody was in the office, is this still the case when the office is empty?

    Also can you confirm the following:

    Your current DNS config on DNS server, UTM and clients.

    Web protection profile in use.

    Web browser config on client that's slow.

    Might help summarise all those settings so we can step back and hopefully suggest something.

    Thanks
    Ross
  • 0
    if you are using sophos endpoints try uninstlaling one of them and see if the problem magically disappears.
  • 0
    Sascha and William recommend using your ISP's name servers, but, for me, OpenDNS is fastest - try Steve Gibson's DNS Benchmark.

    Cheers - Bob
  • 0
    Hi!
    We do not use Sophos Endopoints so nothing to do there.

    I spent several days optimising the DNSs acording to your indications and 2 different benchmarks (Steve Gibson's and another one). Now it's supposed to be the best it can be.
    The config is as follows:
    Clients: InternalDNS1, InternalDNS2, UTM, GoogleDNS1, GoogleDNS2
    InternalDNS1/2: UTM, GoogleDNS1, GoogleDNS2, ISPDNS
    UTM: Availavility group with GoogleDNS1, OpenDNS1, GoogleDNS2, OpenDNS2

    The browser config for the tests is "no proxy" when it's slow (transparent proxy kicks in) and "manually configuring proxy" when it's much faster.

    The web filtering profile config:
    - No authentication required.
    - All categories allowed except spyware communication and the malicious sites category.
    - No file extension filtering.
    - Antivirus single scan activated. (tried deactivating it but still the same).
    The rest is the default.