This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Poor download/upload performance

Hi! New user here. 

I've recently installed UTM 9 Home (latest version) on my small box (Atom D2550, 4GB, 32GB SSD, Dual 1GB Broadcom BCM 57788 NICs). I had pfSense installed before, but decided to try Sophos. 

Anyway, after installation I noticed that my speed decreased quite a bit. My ISP is Comcast and I'm paying for a 50/10 line, but during speed tests with direct connection to a PC or through pfSense (same hardware) I was getting more like 120/12. 

With the Sophos installed now I'm getting 45/8.5, and this is with just Firewall protection. If I enable Web protection and IPS the speed is about 43/7.5. What the heck?

I ran top command in the terminal to check CPU load. When IPS is enabled I see that Snort uses 99% of one of the cores (being single-threaded I know that's the limiting factor for me with IPS on). However, without IPS during speed tests (firewall only) the CPU idle stays at about 90%, so the limiting factor doesn't seem to be any of the processes nor the CPU. 

I connected my modem directly to my PC and I was again getting the 120/12 speeds. I connected back to Sophos box and again slow speeds. I went as far as duplicating my PC's MAC address on the external NIC. Still the same slower speed. 

The interesting thing is that during the speedtest (speedtest.net) my download speed (with FW only) stays right at 45mbps, doesn't go above, just a straight line on the graph. As if something is "throttling" the speed. I checked my QoS and no throttling there (I had it there for VoIP QoS, but disabled it). 

I'm out of ideas here. Either something in the Sophos software stack is limiting the speed or something is up with my NICs (but I had pfSense installed on the same exact hardware and was getting the 110/12 speeds, and that's with snort ON, maxing out 1 core).

Any help would be appreciated!

Thanks a lot!


This thread was automatically locked due to age.
Parents
  • KKnecht and William,

    1) Thank You for noting that I did not execute correctly. I do not know what went wrong as I typed exactly.
    To set things "back to original" for 9.2 (which uses CFFS by default):
     cc set http sc_local_db none
     cc set http use_sxl_urid 0
     /var/mdw/scripts/httpproxy restart

    2) I thought it is correct as I see that output which I actually do not comprehend.
    /home/login # ps aux | grep urid
     root 5589 0.0 0.0 3608 748 pts/1 S+ 12:32 0:00 grep urid

    3) I executed the following as advised.

    /home/login # cc set http use_sxl_urid 1
    1
    /home/login # /var/mdw/scripts/httpproxy restart
    :: Restarting httpproxy
    :: Stopping httpproxy                                                done
    :: Starting httpproxy                                                done

    /home/login # ps aux | grep urid
    810      10644  0.2  0.2 132580  6176 ?        Ss   21:52   0:00 /var/chroot-http/opt/ws/bin/urid --chroot /var/chroot-http --user 810 --admin /opt/ws/conf/admin.urilist --admin-ip /opt/ws/conf/adminip.kvlist
    root     10941  0.0  0.0   3612   748 pts/0    S+   21:54   0:00 grep urid
    /home/login #

    4) Thus am I back to Original Settings of V9.2 AND with SXL Enabled now?

    5) Is there a command I can type to show the settings 
         5.1) cc set http sc_local_db none
    AND
         5.2) SXL is ON for you all to confirm?

    Once again - Thank You All.
Reply
  • KKnecht and William,

    1) Thank You for noting that I did not execute correctly. I do not know what went wrong as I typed exactly.
    To set things "back to original" for 9.2 (which uses CFFS by default):
     cc set http sc_local_db none
     cc set http use_sxl_urid 0
     /var/mdw/scripts/httpproxy restart

    2) I thought it is correct as I see that output which I actually do not comprehend.
    /home/login # ps aux | grep urid
     root 5589 0.0 0.0 3608 748 pts/1 S+ 12:32 0:00 grep urid

    3) I executed the following as advised.

    /home/login # cc set http use_sxl_urid 1
    1
    /home/login # /var/mdw/scripts/httpproxy restart
    :: Restarting httpproxy
    :: Stopping httpproxy                                                done
    :: Starting httpproxy                                                done

    /home/login # ps aux | grep urid
    810      10644  0.2  0.2 132580  6176 ?        Ss   21:52   0:00 /var/chroot-http/opt/ws/bin/urid --chroot /var/chroot-http --user 810 --admin /opt/ws/conf/admin.urilist --admin-ip /opt/ws/conf/adminip.kvlist
    root     10941  0.0  0.0   3612   748 pts/0    S+   21:54   0:00 grep urid
    /home/login #

    4) Thus am I back to Original Settings of V9.2 AND with SXL Enabled now?

    5) Is there a command I can type to show the settings 
         5.1) cc set http sc_local_db none
    AND
         5.2) SXL is ON for you all to confirm?

    Once again - Thank You All.
Children
  • KKnecht and William,

    1) Thank You for noting that I did not execute correctly. I do not know what went wrong as I typed exactly.
    To set things "back to original" for 9.2 (which uses CFFS by default):
     cc set http sc_local_db none
     cc set http use_sxl_urid 0
     /var/mdw/scripts/httpproxy restart

    2) I thought it is correct as I see that output which I actually do not comprehend.
    /home/login # ps aux | grep urid
     root 5589 0.0 0.0 3608 748 pts/1 S+ 12:32 0:00 grep urid

    3) I executed the following as advised.

    /home/login # cc set http use_sxl_urid 1
    1
    /home/login # /var/mdw/scripts/httpproxy restart
    :: Restarting httpproxy
    :: Stopping httpproxy                                                done
    :: Starting httpproxy                                                done

    /home/login # ps aux | grep urid
    810      10644  0.2  0.2 132580  6176 ?        Ss   21:52   0:00 /var/chroot-http/opt/ws/bin/urid --chroot /var/chroot-http --user 810 --admin /opt/ws/conf/admin.urilist --admin-ip /opt/ws/conf/adminip.kvlist
    root     10941  0.0  0.0   3612   748 pts/0    S+   21:54   0:00 grep urid
    /home/login #

    4) Thus am I back to Original Settings of V9.2 AND with SXL Enabled now?

    5) Is there a command I can type to show the settings 
         5.1) cc set http sc_local_db none
    AND
         5.2) SXL is ON for you all to confirm?

    Once again - Thank You All.

    ok to make sure you are back on the sxl system:
     cc set http sc_local_db none
     cc set http use_sxl_urid 1
     /var/mdw/scripts/httpproxy restart

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow


  • 5) Is there a command I can type to show the settings 
         5.1) cc set http sc_local_db none
    AND
         5.2) SXL is ON for you all to confirm?

    Once again - Thank You All.


    My post about how to get to the "9.2 original settings" intended to show the settings at install.  Yes, if you have Endpoint enabled then SXL should be enabled (which you did in step 3).

    Step 2 makes more sense if you know linux.  Basically it is asking to list all running processes and then filter for those that include the word "urid" and in step 2 the only process it found was itself (the grep search).  In Step 3 now you see that it found two processes, the grep search and the real process.

    5.1)
    replace the "set" with "get" in the command lines (and leave off the final value) to get the current value.
    cc get http sc_local_db
    cc get http use_sxl_urid

    5.2)
    The output of Step 2 where it shows urid is running is confirmation.