Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 19 replies
  • Subscribers 38 subscribers
  • Views 12088 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VPN (SSL) seit UTM 9 sehr langsam

Germansailor
Hallo!

Seit der Umstellung auf die UTM 9 (auf Basis Backup-File der V8) ist der VPN-Datendurchsatz (SSL) äußerst langsam geworden. RDP-Sitzungen sind praktisch nicht mehr möglich (Verzögerung vom Maus-Klick bis Bildschirm-Aktion ca. 15 Sekunden).

Hier noch ein paar Rahmenbedingungen:

  • Anbindung über ADSL 50000/2500
  • Langsame Geschwindigkeit tritt beim alten VPN-Client (V8) wie auch beim neuen Client auf
  • Durchsatzproblem ist auch nicht nur auf RDP beschränkt, sondern trifft den gesamten Traffic


Bei zwei weiteren Installationen (hier ist fast die gesamte IT-Abteilung privat auf dem Astaro-Trip) hat ein Kollege das gleiche Phänomen - beim anderen funktioniert es reibungslos.

Haben noch mehr User diese Probleme?

Und jetzt die 1-Million-Euro-Frage: Wer kann helfen? [;)]

Gruß
Germansailor


This thread was automatically locked due to age.
  • 0
    Hallo Germansailor. Hast Du IPS aktiv und ggf drops im ips.log?

    Gruss Sascha

    Wer Schreibfehler findet, darf sie behalten. Wenn ich via IPad poste, sind Verschreiber und grammatikalische Aussetzer irgendwie an der Tagesordnung.
  • 0 in reply to Sascha Paris
    Hallo Germansailor. Hast Du IPS aktiv und ggf drops im ips.log?
     grammatikalische Aussetzer irgendwie an der Tagesordnung.


    Hallo Sascha,

    Danke für den Hinweis!

    Ja ich habe IPS aktiv - und Nein ich habe keine Log-Einträge.

    Ich habe testweise das IPS mal deaktiviert - hat aber nichts gebracht.

    In den anderen Logs habe ich auch nichts verdächtiges gefunden.

    Gruß
    Germansailor
  • 0
    Hast du das Problem sowohl wenn du mit Rechnernamen und IPs arbeitest?
    Will fragen ggf. DNS Probleme?

    Gruss
  • 0 in reply to rprengel
    Es ist kein DNS-Problem, da ich die RDP-Sitzung (oder z. b. auch den VMware-vSphere-Client) über die IP-Adresse aufrufe.

    Hier auch nochmal ein Zeitvergleich: Aufruf des VMware-Clients:
    Mit ASG V8: ca. 10 - 15 Sekunden
    Mit UTM 9: ca. 4 Minuten
  • 0 in reply to Germansailor
    Hier noch das VPN-Log ... obwohl ich hier keine Besonderheiten erkenne: 


    2012:07:26-14:59:39 mail openvpn[31441]: MULTI: multi_create_instance called

    2012:07:26-14:59:39 mail openvpn[31441]: Re-using SSL/TLS context

    2012:07:26-14:59:39 mail openvpn[31441]: LZO compression initialized

    2012:07:26-14:59:39 mail openvpn[31441]: Control Channel MTU parms [ L:1556 D:140 EF:40 EB:0 ET:0 EL:0 ]

    2012:07:26-14:59:39 mail openvpn[31441]: Data Channel MTU parms [ L:1556 D:1450 EF:56 EB:135 ET:0 EL:0 AF:3/1 ]

    2012:07:26-14:59:39 mail openvpn[31441]: Local Options hash (VER=V4): 'a4f12474'

    2012:07:26-14:59:39 mail openvpn[31441]: Expected Remote Options hash (VER=V4): '619088b2'

    2012:07:26-14:59:39 mail openvpn[31441]: TCP connection established with 217.***.***.***:52628

    2012:07:26-14:59:39 mail openvpn[31441]: Socket Buffers: R=[131072->131072] S=[131072->131072]

    2012:07:26-14:59:39 mail openvpn[31441]: TCPv4_SERVER link local: [undef]

    2012:07:26-14:59:39 mail openvpn[31441]: TCPv4_SERVER link remote: 217.***.***.***:52628

    2012:07:26-14:59:39 mail openvpn[31441]: 217.***.***.***:52628 TLS: Initial packet from 217.***.***.***:52628, sid=65f22472 f4f79ee6

    2012:07:26-14:59:41 mail openvpn[31441]: 217.***.***.***:52628 VERIFY OK: depth=1, C=de, L=******x, O=Privat, CN=Privat VPN CA, emailAddress=***xx@******x.de

    2012:07:26-14:59:41 mail openvpn[31441]: 217.***.***.***:52628 VERIFY OK: depth=0, C=de, L=******x, O=Privat, CN=Juergen, emailAddress=juergen.******@******xx.de

    2012:07:26-14:59:42 mail openvpn[31441]: 217.***.***.***:52628 PLUGIN_CALL: POST /usr/lib/openvpn-utm.so/PLUGIN_AUTH_USER_PASS_VERIFY status=0

    2012:07:26-14:59:42 mail openvpn[31441]: 217.***.***.***:52628 TLS: Username/Password authentication succeeded for username 'fritz' 

    2012:07:26-14:59:42 mail openvpn[31441]: 217.***.***.***:52628 Data Channel Encrypt: Cipher 'AES-128-CBC' initialized with 128 bit key

    2012:07:26-14:59:42 mail openvpn[31441]: 217.***.***.***:52628 Data Channel Decrypt: Cipher 'AES-128-CBC' initialized with 128 bit key

    2012:07:26-14:59:42 mail openvpn[31441]: 217.***.***.***:52628 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA

    2012:07:26-14:59:42 mail openvpn[31441]: 217.***.***.***:52628 [Juergen] Peer Connection Initiated with 217.***.***.***:52628

    2012:07:26-14:59:42 mail openvpn[31441]: id="2201" severity="info" sys="SecureNet" sub="vpn" event="Connection started" username="fritz" variant="ssl" srcip="217.***.***.***" virtual_ip="10.20.20.6"

    2012:07:26-14:59:42 mail openvpn[31441]: Juergen/217.***.***.***:52628 PLUGIN_CALL: POST /usr/lib/openvpn-utm.so/PLUGIN_CLIENT_CONNECT status=0

    2012:07:26-14:59:42 mail openvpn[31441]: Juergen/217.***.***.***:52628 MULTI: Learn: 10.20.20.6 -> Juergen/217.***.***.***:52628

    2012:07:26-14:59:42 mail openvpn[31441]: Juergen/217.***.***.***:52628 MULTI: primary virtual IP for Juergen/217.***.***.***:52628: 10.20.20.6

    2012:07:26-14:59:44 mail openvpn[31441]: Juergen/217.***.***.***:52628 PUSH: Received control message: 'PUSH_REQUEST'

    2012:07:26-14:59:44 mail openvpn[31441]: Juergen/217.***.***.***:52628 SENT CONTROL [Juergen]: 'PUSH_REPLY,route remote_host 255.255.255.255 net_gateway,route 192.168.178.0 255.255.255.0,dhcp-option DNS 192.168.178.211,dhcp-option DNS 192.168.178.5,route 10.20.20.1,topology net30,ping 10,ping-restart 120,ifconfig 10.20.20.6 10.20.20.5' (status=1)
  • 0
    (Sorry, I can't get my German-speaking brain to work. [:(])

    Ich habe testweise das IPS mal deaktiviert - hat aber nichts gebracht.

    Did you check the Intrusion Prevention log?  'Anti-DoS Flooding' activity also is logged there.

    MfG - Bob (Bitte auf Deutsch weiterhin !)
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Ja - ich habe sämtliche Logs durchgeschaut - aber keine relevanten Einträge gefunden.

    Auch wenn ich diese Funktion komplett deaktiviere hilft das nicht.
  • 0 in reply to Germansailor
    Leider haben alle Maßnahmen bis jetzt nicht geholfen.

    So bleibt mir leider nichts anders übrig als der temporäre Downgrade auf die V8 bis ich eine andere Lösung gefunden habe.

    Trotzdem Danke für die Unterstützung!

    Gruß
    Germansailor
  • 0 in reply to Germansailor
    Hier noch ein Nachtrag:

    Das Geschwindigkeitsproblem ist nicht nur bei VPN, sondern beim gesamten Datenverkehr vorhanden. Nur fällt es bei einer 50.000er Leitung beim surfen oder beim Email-Versand nicht besonders auf.

    Ich habe einige Geschwindigkeitsmessungen durchgeführt und dieses Verhalten festgestellt.

    Sobald ich die Astaro V8 wieder starte, ist alles wieder in Ordnung.

    Es liegt also an der UTM-9 - wobei es dieser virtuellen Appliance weder an Arbeitsspeicher noch an fehlender CPU-Leistung fehlt (28 % RAM-Auslastung und 5 % CPU).

    Gruß
    Germansailor
  • 0
    Mir ist gestern auf einer 9er Dns abgeschmiert. Hast du ggf.   ein ähnliches Problem?
    Grusd
Unfiltered HTML