Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 4 subscribers
  • Views 2119 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ASG120->ASG220 langsames IPsec VPN

BastardOperatorFromHell
Hallo Community,

ich falle dann gleich mal mit der Tür ins Haus (die Suchfunktion habe ich schon bemüht und entweder hab ich die falschen Key-Words verwendet oder ich bin der Einzige mit dem Problem)

Wir haben einen Hauptsitz (ASG220, Anbindung 10/10Mbit) und eine Ausstelle (ASG120, Anbindung 100/10MBit). Diese beiden sind über einen IPsec-Tunnel verbunden. 
Die beiden Astaros gehen nicht direkt ins Internet sondern jeweils über einen Cisco-Router. Soweit so gut, Tunnel steht, Routing klappt doch was mich Ärgert ist der Datendurchsatz von nur knapp 200kbit.

Ich habe schon folgendes überprüft:

  • Leitungen außerhalb des VPN
  •  - ASG220 Durchschnittdurchsatz etwa 1Mbit/800kbit (auf öffentlichen FTP der Außenstelle)
  •  - ASG120 Durchschnittdurchsart etwa 9Mbit/700kbit (auf öffentlichen FTP des Hauptsitzes)
  • MTU verringert
  • temporär die meisten Firewallregeln deaktiviert


Ich komme mit meinen Überlegungen auf keinen grünen Zweig.
Hat vielleicht einer von euch noch eine Idee, was ich versuchen kann?

Schon mal Danke im voraus und das ihr überhaupt bis hierhin gelesen habt [;)]

Grüße


This thread was automatically locked due to age.
  • 0
    MTU verringert

    Hast Du 'Pfad-MTU-Erkennung zulassen' im 'entfernten Gateway' 'Erweitert' geklickt?

    MfG - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hallo BAlfson,

    ich habe jetzt beides getestet sowohl mit "Pfad-MTU-Erkennung zulassen" aktiv und deaktiviert. Leider ist dabei kein Unterschied festzustellen. [:(]
  • 0
    Hi, BofH, (Great name! [:D])

    Und für Richtlinie, hast Du AES statt 3DES genommen?

    MfG - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hi BAlfons,

    richtig, ich verwende als Krypto AES.

    Grüße vom BOfH
  • 0 in reply to BastardOperatorFromHell

    Wir haben bei uns in der Firma das gleiche Problem seit ca 4 Wochen.

    Zweit Standorte SitetoSite VPN

    Standort 1: SG135, 500/500 Mbit Synchrone Leitung, FW: 9.605-1

    Standort 2: SG125, 100/30 Mbit Telekom DSL Leitung FW: 9.605-1

     

    Seitdem letzten Firmware Update ist der SitetoSite VPN extrem langsam. Ich bekomme nur noch eine Geschwindigkeit von exakt 780 KB/s zusammen.

    Vor dem Update konnten wir die volle Bandbreite nutzen.

     

    Beide Tunnel wurden schon mal gelöscht, bei Firewall´s neu gestartet und Tunnel neu eingerichtet. Keine Verbesserung.

    IPS wird an beiden Standorten nicht verwendet und der MTU Support ist auch aktiv.

     

    Ist hier inzwischen seitens Sophos was bekannt?

    Vielen Dank

  • 0 in reply to Johannes Lang1

    Hallo Johannes,

    Herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    Is the MTU on the External interface of both SGs set correctly?  If so, then I think this is not going to be solved without someone looking at your two SGs...

    Please let us know what Sophos Support discovers about this..

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson

    MTU ist auf 1500 gesetzt und das schon immer.

    Soll noch was versuchen?

  • 0 in reply to Johannes Lang1

    Die client-MTU drastisch verkleinern ist ein aussagekräftiger test.

    Bei so großen unterschieden in Sende-/Empfangsrichtung, würde ich aber auf einen Duplex-mismatch tippen.

    Ein 10 MBit Anschluss wird vom Provider (z.B. T-...) meist mit 10 MBit Full-o. HalfDuplex konfiguriert.

    Das kollidiert mit der "Auto-" Einstellung anderer Geräte (so auch der UTM).

    Evtl. mal unter Interfaces / Hardware 100MBit FullDuplex als Festeinstellung am externen Interface testen.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Leider auch keine Verbesserung.

    Nur seit 2 Jahren läuft der Tunnel ohne Probleme, kaum gibt es ein Update von Sophos geht nichts mehr. Das war jetzt nicht das erste mal.

    Bin mit meinem Latein am Ende

  • 0 in reply to Johannes Lang1

    Ich habe jetzt einen SSL Site to Site Tunnel gemacht und siehe da volle Bandbreite. Ich lass das jetzt erstmal so.

    Danke

Unfiltered HTML