Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 27 replies
  • Subscribers 1 subscriber
  • Views 9921 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Transparent mode makes speed terrible!

guillerone
Hi guys.

We are setting up the web proxy for url and av filtering but with our tests transparent mode is slow as The Walking Dead zombies.

The tests:
Standard mode without configuring a proxy in the browser: good speed (obviously not filtering undesired sites)
Standard mode configuring a proxy in the browser: good speed (blocking undesired sites)
Transparent mode without configuring a proxy in the browser: BAD speed (blocking undesired sites)
Transparent mode configuring a proxy in the browser: good speed (blocking undesired sites)

When I say bad speed means loading a page in 90 seconds instead of the 4 when it works correctly.

Can anyone tell us why this could be happening? We are not using cache although we also tried clearing it following similar posts.

Specs are SG230 with 2x30Mb WAN and about 50 users. RAM is 14% and CPU 3%.

Thanks in advanced!


This thread was automatically locked due to age.
  • 0
    I have my DNS setup as follows and have no speed issues, try it:

    Clients: internal DNS1, internal DNS2, internal DNS3

    Internal DNS1: internal DNS2, internal DNS3
    Internal DNS2: internal DNS1, internal DNS3
    Internal DNS3: internal DNS1, internal DNS2

    Internal DNS server properties: forwarders only the UTM IP address, leave use root hints if no forwarders are available ticked.

    UTM: Availability group with 2 ISP DNS servers, ticked use ISP DNS.  Configured reverse routing for internal IP ranges.

    IE browser settings automatically detect settings is the only thing ticked.

    If you could try all of the above it might help diagnose the issue.

    Thanks
    Ross
  • 0 in reply to BAlfson
    Sascha and William recommend using your ISP's name servers, but, for me, OpenDNS is fastest - try Steve Gibson's DNS Benchmark.

    Cheers - Bob


    if spam filtering is involved yes you really and nearly must use isp dns in order for spam filtering to work well.  Otherwise public dns is fine.
  • 0 in reply to guillerone
    Hi!
    We do not use Sophos Endopoints so nothing to do there.

    I spent several days optimising the DNSs acording to your indications and 2 different benchmarks (Steve Gibson's and another one). Now it's supposed to be the best it can be.
    The config is as follows:
    Clients: InternalDNS1, InternalDNS2, UTM, GoogleDNS1, GoogleDNS2
    InternalDNS1/2: UTM, GoogleDNS1, GoogleDNS2, ISPDNS
    UTM: Availavility group with GoogleDNS1, OpenDNS1, GoogleDNS2, OpenDNS2


    a bit of a setup recommendation.  In order for ATP to function well it should be the following:
    clients: If i read this right you avhe internal dns forwarding to the UTM.  Make it Internal dns 1 and Interna DNS 2..then UTM...then nothing else.
  • 0 in reply to William Warren
    a bit of a setup recommendation.  In order for ATP to function well it should be the following:
    clients: If i read this right you avhe internal dns forwarding to the UTM.  Make it Internal dns 1 and Interna DNS 2..then UTM...then nothing else.


    Sorry William but I don´t understand how you want me to try.

    Right now I have been trying
    internal DNS servers: Google, UTM, OpenDNS
    and happens the same that with
    internal DNS servers: UTM, Google, OpenDNS

    So I believe the problem may not be here. Today I had to come to the office (VMware host crashed) and tried accessing the same websites with nobody around and the problem persists. So it doesn´t seem a load problem, and either DNS configuration does the same.

    What could be on the way apart of DNS, Antivirus, and load problems?
  • 0 in reply to guillerone
    If we remove the internal DNS server from the forwarders list, won´t it have problems with name resolution through VPN?
    In our VPN we have specified the UTM as the primary DNS server and an internal server as the secondary, although we could put both internals if that works.

    Thanks again.


    VPN clients use settings in REMOTE ACCESS | ADVANCED tab client options
    . This is where you setup your dns settings for vpn clients...

    [:)]
  • 0 in reply to ser_user
    VPN clients use settings in REMOTE ACCESS | ADVANCED tab client options
    . This is where you setup your dns settings for vpn clients...

    [:)]


    If that is not setup then it uses the dns in the services section.  

    With how long this issue has been going on for the OP i think he needs to get either Sophos support(if he has premium support) or his reseller involved to get this nailed down.
  • 0
    Sascha and William recommend using your ISP's name servers, but, for me, OpenDNS is fastest - try Steve Gibson's DNS Benchmark.

    if spam filtering is involved yes you really and nearly must use isp dns in order for spam filtering to work well.  Otherwise public dns is fine.

    William, the reason I moved everyone to OpenDNS in 2009 was because Cox and Verizon were hijacking DNS, causing false positives for blacklisting.  I don't know if that continues today.

    Cheers - Bob