Advisory: Support Portal Maintenance. Login is currently unavailable, more info available here.

SophosUTM (Alixboard) ist eine Performancebremse

Guten Morgen Sophos Kollegen,

 

habe zwar ähnliche Posts gelesen, aber keinen in meiner Konstellation. Deshalb wage ich es mich mit einem separaten Eintrag an euch zu wenden:

Ich habe eine SophosUTM9 (aktueller Patchlevel) auf einem Alixboard laufen.
Die UTM hängt hinter einem „bridged Port“ einer Fritzbox 6591.
Die Fritzbox fungiert also als ein reines Kabelmodem, die Sophos spielt Firewall/Router.


Das Problem:

Der Anschluss selbst liefert durchschnittlich über 200Mbps down.
Ein Speedtest direkt auf der Fritzbox, sowie per Notebook auf der Fritzbox liefern dieses Ergebnis.

Ein Rechner, der hinter der Sophos hängt erhält leider nur max. 40Mbps/down.
Die UTM scheint also die komplette Leistung aufzufressen. Des weiteren ist eine Videokonferenz nicht möglich, da das Bild ständig ausfällt und abgehackt ist, obwohl die Leitung nicht ausgelastet ist.

Habe sämtliche Mechanismen wie IPS & Advanced Thread Protection bereits komplett abgeschaltet. Auch das einschalten und setzen von Ausnahmen bringt keine Verbesserung.

Hat jemand eine Idee, wo die ganze Leitung raus läuft? :-)

 

Vorab DANKE!

LG

  • Ohne zu wissen was ein Alixboard ist, aber was für eine CPU mit welcher Taktung ist verbaut?

    Beste Grüße 

    Alex 

    -

  • Hallo,

    vielen Dank für deine Antwort.

    Ein Alixboard ist ein recht Preiswertes, aber sehr stabil laufendes Teil:
    https://www.amazon.de/dp/B01GEIEI7M/ref=cm_sw_r_cp_api_fabc_GcyWFbNRVCBPY?_encoding=UTF8&psc=1

    Darin verbaut sind u.a.:

    - Prozessor: 1,0 GHz AMD Embedded G-Series GX-412TC CPU (Quad-Core 64 Bit Prozessor, AES-NI Erweiterung)
    - 4 GByte DDR3-1333 DRAM Speicher (nicht erweiterbar)
    - 3 x 10/100/1000 MBit/s Intel i210AT Netzwerkschnittstellen

    Auf der UTM sehe ich allerdings zu keiner Zeit, dass der CPU nach oben geht. Die Hardware scheint sich zu langweilen. Auch während eines Speedtests.

    Kann es sein, dass die Hardware einfach nicht dafür ausgelegt ist, obwohl die Ressourcen da wären?

    Grüße

  • Hallo Tomily,

    ich sitze am Laptop hinter einer "Home" Sophosbox, die ich in 2018 mit folgender Hardware gebaut habe:

    https://www.minipc.de/de/catalog/il/1999

    Das Ding ist mittlerweile überholt, was die CPU betrifft, aber es läuft super und verbraucht wenig Strom.  Wir haben im Homeoffice eine Unitymedia/Vodafone Leitung alter Facon, d.h. mit einem alten Vertrag für 250 MBit Download und 20 MBit Upload.

    Mein Laptop kommt im Speedtest von www.wieistmeineip.de auf ca. 225 MBit.

    Wir haben auch eine Fritzbox, weil wir noch DECT Telefone darüber betreiben.

    Ich hatte am Anfang mit dieser Konstellation Riesenprobleme und die Ursache war die MTU-Size!

    Seitdem ich das interne Interface auf 1320 Bytes gesetzt habe, flutscht alles wie geschmiert.

    Einfach mal testen.

    Mit freundlichem Gruß, Regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • Hallo Philipp,

    herzlichen Dank für deine schnelle und ausführliche Antwort.
    Die Hardware ist auch cool. Hab es fürs nächste Projekt gleich vorgemerkt Slight smile

    Danke für den goldwerten Tipp. Habe die MTU nun auch mal herunter gedreht und das Ergebnis hat sich direkt zum positiven. verbessert.
    Allerdings kann ich es momentan nur per Remote auf einer virtuellen Maschine Testen. Bin am Montag wieder vorort und mache dann nochmal ein Speedtest.

    Habe es so verstanden, dass ich NUR das interne Interface herunterdrehen soll. Standardmäßig sind alle auf MTU = 1500 eingestellt. Das ist meine aktuelle Konfig:

    WAN Interface = 1500
    LAN Interface = 1320

    Ich gebe nach dem Test Bescheid und lasse das Thema so lange noch offen.

    Viele Grüße
    Tom

  • Hallo Philipp,

    nochmals Danke auf deine Antwort.

    Habe es nochmals vorort getestet. Leider hat es doch keine Verbesserung gebracht.
    Habe nach wie vor max 90mbit/s :-/

    Überlege tatsächlich die Sophos abzuschalten und nur noch die Fritzbox zu verwenden. Allerdings sind dann auch alle Firewall-Features weg.

    Hat evtl. noch jemand eine Idee? Oder soll ich die MTU auf dem WAN-Interface auch noch herunterdrehen?

    Grüße
    Tom

  • Das riecht irgendwie immer noch danach das irgendwo auf der Strecke nur 100mbit zugelassen sind. Hast Du es schon mal direkt an der Firewall getestet? Also ohne Switch oder ähnliches dazwischen?

  • Ja. Um die Verbindungen im Gebäude und am Switch auszuschließen, habe ich mich jeweils 1x auf die UTM und auf die Fritzbox gesteckt. Die Geräte haben beide Gigabit.

    Echt seltsam, dass es einen so großen Unterschied gibt.

  • Log dich mal per Putty auf die Konsole der Sophos ein und schau per Top wie die Auslastung aussieht wenn Du den Speedtest machst... Evtl kommen wir da dem Problem auf den Grund.

  • Hallo tomily

    bist du sicher, dass dein Mainboard (PCI-Steckplatz für die Nics) auch die die 1000 Mbit/s schafft?

    Kuck mal hier, mein letzter Beitrag:

    https://community.sophos.com/utm-firewall/f/german-forum/124175/problem-mit-netzwerkgeschwindigkeit

    Ich glaube die Situation ist ähnlich gelagert.

  • Danke für die Tipps. Also es sind 3 Gigabit-Ports. Aber wie im anderen Beitrag zu lesen ist, kann ich mir natürlich schon vorstellen, dass das Alixboard damit nicht zurecht kommt, wenn an mehreren Ports gleichzeitig Gigabit abgerufen wird.

    Wenn ich mich per LAN-Kabel direkt dran klemme und über speedtest.net und wieistmeineip.de einen Speedtest durchführe komme schwankt es pro Test zwischen 70& max 120 mbit. Sobald ich mich auf den nachgelagerten Netgear Gigabitswitch stöpsele, sind es nur noch 40/50 mbit.

    Die Fritzbox habe ich auf den gleichen Switch gehängt um die Verkabelung bzw. den Switch auszuschließen. Dort sind es sofort 250mbit.

    Wenn die Hardware das wirklich nicht packt, werde ich auf eine andere Hardware gehen. Allerdings wäre es ärgerlich, wenn ich dort das gleiche Problem habe :-)

    Der TOP per putty zeigt während dem Speedtest max. eine Load von 0.66, 0.35, 0.33. Höher geht es nicht.

    Ich danke euch für den Input bis hierher :-)

    Grüße