Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 4 subscribers
  • Views 19343 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos UTM throughput limitations

APrassas
Hi

I would like some help with troubleshooting a really frustrating issue with my UTM. My Internet speed is 100Mbps. I was downloading a game on Steam and my speed was maxing out at 2.1MB/sec and at the same time everything that consumes Internet bandwidth was slow. I was running continuous ping to Google DNS during the download and the average latency was more than 500ms which doesn't make sense for this Internet speed. For some reason the UTM wouldn't allow more traffic in. I wondered if that was the maximum speed that could go through my UTM WAN port and I ran a speed test. The maximum speed achieved was 95Mbps which signifies that the interface can carry more traffic.

I'm an IT pro and after seeing Sophos in action at work and loved it, I decided to play with it at home. My setup is as described below:


  • ESXi 6.0 on HP MicroServer Gen 8 with 16GB of total RAM
  • Sophos UTM v9.314-13 installed on a VM
  • VM runs on 2GB of RAM, 40GB Thin Provisioned Disk, IntelRegistered CeleronRegistered G1610T (2.3Hz/2 - core), 2 vNICs
  •  UTM is the only VM running on the ESXi host and doesn't even share any resources with any other VMs


Steps that I have already taken for troubleshooting: 


  • Returned to my provider's original router setup to ensure that the provider was not to blame - speed was maxing out as it should
  • Restarted everything, including the ESXi host
  • Restored Factory Default Settings with the only active configurations for NAT masquerading my internal network and firewall rule to allow all traffic from my internal network to any destination
  • During the download described above, incoming traffic to the UTM WAN interface was 20Mbps which means the issue starts from there. Consequently, outgoing traffic to the LAN interface was pretty much the same.
  • Ensured that the maximum link speed has been properly configured on the interfaces with autonegotiation (1Gbps)
  • Checked the UTM hardware resource utilisation on the main dashboard and everything was on normal below 50% levels. I even tried with 4GB of RAM just in case.


I'm leaning towards the possibility that this is caused by a hardware incompatibility issue of some sort rather than a misconfiguration I have done on the UTM itself. Your thoughts and opinions would be very much appreciated in resolving this case.


This thread was automatically locked due to age.
  • 0
    What do you have for NICs?  Are they Intel or Broadcom, or is it something else?

    OPNSense 64-bit | Intel Xeon 4-core v3 1225 3.20Ghz
    16GB Memory | 500GB SSD HDD | ATT Fiber 1GB
    (Former Sophos UTM Veteran, Former XG Rookie)

  • 0
    Hi Amodin,

    The physical NICs are Broadcom NetXtreme BCM5720 Gigabit Ethernet as reported by ESXi. The UTM however recognises them as Intel Corporation 82545EM Gigabit Ethernet Controller (Copper). I don't know if ESXi uses that as a generic driver and if it's supposed to be that way.

    I ran shell ifconfig and there are no errors reported on any of the interfaces. Speed is also 1Gbps as expected from autonegotiation.
  • 0
    The dashboard and graphs can be deceptive with regard to CPU utilization.  On a two cpu system they will show 50% if one CPU is at 100% and the other 0%, or if both are at 25% - two very different system situations.

    Use the command line: atop or top. 

    System performance is a frequent topic on the forum, which does tend to lead to some redundancy in threads.
  • 0
    Hi

    I would like some help with troubleshooting a really frustrating issue with my UTM. My Internet speed is 100Mbps. I was downloading a game on Steam and my speed was maxing out at 2.1MB/sec and at the same time everything that consumes Internet bandwidth was slow. I was running continuous ping to Google DNS during the download and the average latency was more than 500ms which doesn't make sense for this Internet speed. For some reason the UTM wouldn't allow more traffic in. I wondered if that was the maximum speed that could go through my UTM WAN port and I ran a speed test. The maximum speed achieved was 95Mbps which signifies that the interface can carry more traffic.

    I'm an IT pro and after seeing Sophos in action at work and loved it, I decided to play with it at home. My setup is as described below:


    • ESXi 6.0 on HP MicroServer Gen 8 with 16GB of total RAM
    • Sophos UTM v9.314-13 installed on a VM
    • VM runs on 2GB of RAM, 40GB Thin Provisioned Disk, Intel® Celeron® G1610T (2.3Hz/2 - core), 2 vNICs
    •  UTM is the only VM running on the ESXi host and doesn't even share any resources with any other VMs


    Steps that I have already taken for troubleshooting: 


    • Returned to my provider's original router setup to ensure that the provider was not to blame - speed was maxing out as it should
    • Restarted everything, including the ESXi host
    • Restored Factory Default Settings with the only active configurations for NAT masquerading my internal network and firewall rule to allow all traffic from my internal network to any destination
    • During the download described above, incoming traffic to the UTM WAN interface was 20Mbps which means the issue starts from there. Consequently, outgoing traffic to the LAN interface was pretty much the same.
    • Ensured that the maximum link speed has been properly configured on the interfaces with autonegotiation (1Gbps)
    • Checked the UTM hardware resource utilisation on the main dashboard and everything was on normal below 50% levels. I even tried with 4GB of RAM just in case.


    I'm leaning towards the possibility that this is caused by a hardware incompatibility issue of some sort rather than a misconfiguration I have done on the UTM itself. Your thoughts and opinions would be very much appreciated in resolving this case.


    is QOS on?  Also do you have QOS inside of esxi off as well?  Secondly which modules are you using?  this isn't a ram issue(though 4 gigs is the realistic minimum) BUT what kind of cpu ghz settings are you using?  Make sure you only have two vcpus max on the vm..and how much of the 4.6 total ghz are dedicated to the vm?

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0 in reply to William Warren
    The dashboard and graphs can be deceptive with regard to CPU utilization.  On a two cpu system they will show 50% if one CPU is at 100% and the other 0%, or if both are at 25% - two very different system situations.

    Use the command line: atop or top. 

    System performance is a frequent topic on the forum, which does tend to lead to some redundancy in threads.


    During the download, top reported 22% CPU utilisation by snort.


    is QOS on?  Also do you have QOS inside of esxi off as well?  Secondly which modules are you using?  this isn't a ram issue(though 4 gigs is the realistic minimum) BUT what kind of cpu ghz settings are you using?  Make sure you only have two vcpus max on the vm..and how much of the 4.6 total ghz are dedicated to the vm?



    I'm running ESXi with basic home licence. No type of QoS has been enabled on the vSwitch or any other point on ESXi. I know that ESXi has a firewall enabled by default but I don't think it would mess with the traffic somehow. As for UTM QoS, I originally mentioned that I reset my UTM to factory settings and tried again with only 2 active settings and QoS is disabled by default.

    I'm using 2x8GB Kingston DDR3 1600MHz ECC modules.

    The CPU setting on the VM is 1 socket with 2 cores per socket which makes a total 2 number of cores. As I originally mentioned, this is currently the only active VM and doesn't share any resources with any other VMs.
  • 0 in reply to APrassas
    During the download, top reported 22% CPU utilisation by snort.





    I'm running ESXi with basic home licence. No type of QoS has been enabled on the vSwitch or any other point on ESXi. I know that ESXi has a firewall enabled by default but I don't think it would mess with the traffic somehow. As for UTM QoS, I originally mentioned that I reset my UTM to factory settings and tried again with only 2 active settings and QoS is disabled by default.

    I'm using 2x8GB Kingston DDR3 1600MHz ECC modules.

    The CPU setting on the VM is 1 socket with 2 cores per socket which makes a total 2 number of cores. As I originally mentioned, this is currently the only active VM and doesn't share any resources with any other VMs.


    how much in ghz do you have dedicated to the vm?

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0 in reply to William Warren
    how much in ghz do you have dedicated to the vm?


    4588MHz, I guess that's all of it and the unlimited box is ticked. This was the default setting. Do I need to set a limit?
  • 0 in reply to William Warren
    how much in ghz do you have dedicated to the vm?


    The ghz is determined by the number of cores assigned to the vm and the speed per core.  There is no way to add more per core assigned to the vm than the physical core has available.  For instance, a dual core 2ghz physical machine cannot provice 3ghz of CPU speed to a machine with 1vCPU.  It just doesn't work that way.  All you can do is limit the amount of CPU speed you provide or prioritize access to the shares for that VM when multiple VMs experience contention for CPU resources.
  • 0 in reply to darrellr_01
    The ghz is determined by the number of cores assigned to the vm and the speed per core.  There is no way to add more per core assigned to the vm than the physical core has available.  For instance, a dual core 2ghz physical machine cannot provice 3ghz of CPU speed to a machine with 1vCPU.  It just doesn't work that way.  All you can do is limit the amount of CPU speed you provide or prioritize access to the shares for that VM when multiple VMs experience contention for CPU resources.


    For the VM CPU settings I have assigned 1 virtual socket and 2 virtual cores which resembles the physical CPU spec. ESXi sees the total resources available as twice the core speed. If this is not how it's supposed to work then has ESXi somehow gone mental? See pic below:

    Capture.PNG
  • 0
    No, that is the correct configuration.  I just wanted to clarify William's comment that you cannot assign more ghz to a vcpu than the physical counterpart has.  For example, you cannot assign 4.6ghz (2.3ghz x 2 cores) to one core in a VM to get a super-fast single vCPU core.  You can only assign 2.3ghz worth of processor (the full speed of a single core) to a single vCPU core.

    Another thing William will correctly advise is that if you have IPS enabled, the core speed becomes very important and your lower speed (2.3ghz) will be a limiting factor in things like speed tests and whatnot that tend to be single-streamed (the IPS software, snort, is not multi-threaded).
Unfiltered HTML