RED 10 Throughput Unusable

Some of the items in #7 in https://community.sophos.com/products/unified-threat-management/astaroorg/f/51/t/22065 will apply to this.  Any luck?

Cheers - Bob

Thanks Bob,

I have tried all of the steps except the 'Hardware' tab as the RED device is a virtual interface and not listed.

I tried multiple MTU sizes and while the connection remained, the speed did not increase.

Also, it may be related, but I've also come across an issue where the VPN Pool DHCP server is acting funny. after one day, the one user was unable to access the internet through the RED connection. I ended up creating a static mapping for him on the UTM with an IP address outside the DHCP scope. Every morning I am required to log in and change the 1 user's IP address in the static mapping, then disable and re-enable the RED device through the UTM RED Management.

And lastly I have been getting the EXACT same results through my desk test setup where I connect my Windows laptop to my cellphone and share the Internet to the RED using my Ethernet port. Then with another machine on the LAN of the RED at my desk, I have tested and had ALL of the same problems. 

Crazy eh?

Well I called Sophos support and it turns out that this is entirely normal. 

Unified mode will greatly decrease the connection speed no matter what. Even if I burst my fibre line to 100/100 solid, we will always have TERRIBLE lag. I guess I will be returning my RED boxes.

Thanks for your help Bob. I hope this helps someone else out as clearly this should be outlined in the RED documentation. Basically Unified mode is a wasted function that shouldn't even be advertised.

Cheers,
-Nator

We just received 3 RED 10 boxes for testing and I'm not impressed as of yet.

Then something went terribly wrong ;o)

without RED is 18Mbps down, 2 Mbps up
...
Main office is Fibre 10 up and 10 down Guaranteed speed with ~20% usage. 

Sounds so far so good. Technically you should reach easily 6-8MBit download behind your RED with this constellation, if your Uplink on HQ side is really only ~20% of the available bw in use. Finally you only can download behind the RED with that speed, which your HQ 's uplink is able to deliver.

The RED user couldn't even watch a news video without shutter. Disconnect from RED, no problem. Any ideas? Is this normal?

With a assumend available bandwidth from your HQ to RED of 6...8MBit/s this is NOT normal. I would wonder, on base of what facts the supporter told you, that this should be "normal" - especially the 150kbit/s upload RED to HQ. 

BTW: "Unified" method is the default method and will definately not hurt your performance (also from my personal experience on different sites with RED installations, and my personal two active RED's ...[:D] )

So there could be many reasons, why the performance behind the RED may suck:
a) Do you have QoS active for the UTM WAN interface (or the RED interface) ? Depending on the configuration this also may have funny, counterproductive effects [;)]
b) Your UTM or a Router in front of the RED has UDP (or TCP) flood protection active and may drop packets
c) Your ISP (or a maybe crappy DSL/cable Router) which is throttling/dropping for some reason UDP packets
d) On the UTM is TCP Window Scaling disabled
e) MTU Mismatch on the UTM WAN Interface or the Router/Modem in front of the RED

So question: Which kind of router/modem you're using in front of your RED ? Did you already tried the RED10 on another internet connecion ?

Hope this helps...

Hmmm, I'm just not seeing this problem at my customers' sites...  You might check your Intrusion Prevention log...

Cheers - Bob

Hmmm, I'm just not seeing this problem at my customers' sites...  You might check your Intrusion Prevention log...

Cheers - Bob

Hello Bob

He wrote
No IPS
No Webfilter

;o)

Yes, Sascha, but he didn't say no Anti-DoS Flooding.

Cheers - Bob

Sorry for any short responses.  Posted from my iPhone.

Thanks for continuing with this. I have to keep one RED going for now so I don't mind troubleshooting a little further. I became very discouraged by the support call that lasted 4 minutes so I appreciate your help.

a) Do you have QoS active for the UTM WAN interface (or the RED interface) ? Depending on the configuration this also may have funny, counterproductive effects 
- We do have QoS active on our WAN to limit our 10 Meg burstable fibre line at 10 Mbps. I have tried turning it off an unleashing all 100/100 Mbps, but it did not help.

b) Your UTM or a Router in front of the RED has UDP (or TCP) flood protection active and may drop packets
- No Flood protection on either end. No AntiDOS on the UTM or the branch site. 

c) Your ISP (or a maybe crappy DSL/cable Router) which is throttling/dropping for some reason UDP packets
- May look into this a little later to find out.

d) On the UTM is TCP Window Scaling disabled
- TCP Window Scaling is ON as per Rulz #7

e) MTU Mismatch on the UTM WAN Interface or the Router/Modem in front of the RED
- I've tried changing the RED MTU size, but not the WAN. I'm worried to break the internet for our on-site 60 users at HQ. 

Thanks again,
-Nator

@Bob:
That's true - he didn't mention the DoS Protection...I was once again typing faster than thinking [:D]

@Astaronator:
I  had yesterday little time to play around with one of my RED10 between Office (75/7,5 MBit Cable Line / default MTU 1500), and my UTM 9.2 Beta (9.171) on a 100/10 MBit Cable Line - also default MTU1500.

As UTM9.2 contains fixes and optimizations for the RED anyway (I love the new compression feature ;o)), I'm not sure, that the 9.1 Release behaves same. 

However I did tests with:
- lowered the MTU of the WAN Interface of the Router in front of the RED down to 1350 but UTM still with 1500
- lowered MTU of the WAN Interface of the UTM down to 1350 but Router in front of the RED with 1500
- tested both above with TCP Window Scaling enabled and disabled
- tested with global ICMP settings all off / all on 
- Tested with QoS on the UTM WAN Interface with Auto Tuning Options on and off

And interestingly the RED seems (at least with the used 9.2 beta) to behave extremely constant - independent of all the settings I changed. I tested the speed by copying a large .mkv movie from my NAS@home to the Office client behind the RED and always got more or less constant results around 880KByte/s download speed on the client, which equals plusminus to 70% of the theoretical maximum throughput of my 10MBit uplink. As the UTM also has some other WAN traffic, and we may have to add some overhead to the RED tunnel I guess this result is quite ok.

Only case I got a drop around 10-15% of the throughput was, when I lowered the MTU on the UTM WAN Interface down to 1350. In the other hand the RED itself interestingly seems to be more or less resistant to any MTU changes down to 1350 (no difference in throughput)

That TCP Window Scaling did not have a effect on the tunnel itself was predictable, as the Tunnel is UDP and therefor stateless anyway. But usually it has effect for the TCP connections inside the RED Tunnel - even if there was no visible impact at this speeds.

I also filtered on the UTM WAN Interface and the RED Interface for icmptype 3 / icmpcode 4 (need to frag) - but it seems, that there also ocurred no fragmentation

# tcpdump -nni eth1 -e icmp[icmptype] == 3 && icmp[icmpcode] ==4

So my new favored guilty components where I would start to dig is:
"
c) Your ISP (or a maybe crappy DSL/cable Router) which is throttling/dropping for some reason UDP packets
"

or

Or your constellation really triggers a Issue with RED, which may be solved in UTM9.2

BTW: As you have QoS active anyway on your UTM's WAN Interface - try what happens, if you activate the "Download Equalizer" Feature in QoS for your WAN Interface...[H]