Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 1 subscriber
  • Views 4786 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL Remote Access plus IPSec Site2Site Performance

MM1985
Hi there,

I have the following situation:
We are using SSL VPN for Remote Users to connect to the corporate network. Therefore on our main ASG320 we have this feature enabled. This works very well so far and the performance is good.

Most branch offices are connected to the main office via a managed network. Just recently we have started to run one branch office with an IPSec Site2Site connection. The remote site uses an ASG110 appliance.
The IPSec connection from the ASG320 to the 110 is working stable and connections (fileserver, rdp, etc.) from the main office to the remote site work well with decent performance.

Now the problem we have is as follows:  Whenever a user is connected from external to our network with the SSL VPN client and tries to access resources on the remote site over the IPSec tunnel it is painfully slow.

I have already searched the net and the board here and one proposal regarding SSL VPN performance is to change to UDP. However, I am not sure, if I should follow this route. As I mentioned above the performance when connecting to SSL VPN and accessing resources on the main site is quite good. In addition to that, if I understood correctly, changing to UDP would mean that I have to reconfigure all SSL clients.

I would appreciate, if anybody had any hints in what direction to look to find any further information on what causes this behavior and how to fix it.

Thanks very much in advance for your responses!
best regards
Martin


This thread was automatically locked due to age.
  • 0
    Hello, Martin,

    Yes, changing to UDP speeds things up - it does require that all clients install the new configuration file.  If you're upgrading to V9.1, I would recommend that everyone uninstall and reinstall completely including the Client software.  

    Whenever you see strange slowness, check the Intrusion Prevention log - anything interesting there?

    Cheers - Bob
    PS You mention that you are using "a managed network" with most remote offices.  If this is MPLS, you likely can save a lot of money by replacing that with UTM 110/120 devices connected to your ASG 320 via RED tunnels.  If VoIP is an issue, often another connection for that alone solves the problem more cost-effectively.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hi, 

    1. have you checked ping times and/or traceroutes?

    2. have you checked for packet loss?

    3. do any of the connections have a reduced MTU?

    4. Have you checked the IPS logs?

    Barry
  • 0
    Thanks for your responses. I will take a look at your proposals first thing Monday morning. I will keep you posted about any findings.


    @Bob: you are right it is mpls connections that we are using right now and we are also investigating alternatives to that... Did I understand correctly and you would rather use a RED configuration on two ASGs instead of an IPsec tunnel to connect the sites? And maybe a little more off topic: does configuring an asg appliance as RED leave all firewall functions available?

    Thanks,
    Martin
  • 0
    Except for the QoS inside your ISP's network, the RED tunnel acts like a direct Ethernet connection like MPLS. Here's an example where Ethernet segments in two locations are bridged using RED: https://community.sophos.com/products/unified-threat-management/astaroorg/f/86/t/66014

    You can simply use RED as a substitute for an IPsec VPN and the rest of the UTM functions remain as usual. If the goal is to send all of the branch traffic back to HQ, then a RED 10 or a RED 50 is more cost-effective. An IPsec tunnel using 3DES is, I'll guess, slower than a RED tunnel, while one using AES128 would be faster. 

    Cheers - Bob

    Sorry for any short responses.  Posted from my iPhone.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hi Bob

    I have now create a RED tunnel between my main ASG and the remote ASG. I have now adviced users to check, whether they see any difference.

    If that does not help, I will - as you and Barry suggested - take a closer look at the IPS Log. 

    Thanks.
    best regards
    Martin
  • 0 in reply to MM1985
    Hello there,

    it took a little while, but I have now finally run some tests and got the first results. It seems that changing to a RED tunnel did not change anything regarding performance of the connection to the remote site.

    I have also checked the IPS log but cannot see any entries that have anything to do with VPN IP ranges. I will also run some more tests with disabling and enabling IPS.

    best regards
    Martin
  • 0
    I didn't expect that changing to RED for the site-to-site would make much difference.  I think changing the SSL VPN to UDP would be an improvement.

    More important are the questions Barry asked above.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hello,

    I ran some more tests yesterday, also including a switch-back to the old configuration using the managed line again. The results over the leased line were even worse. Which indicates that the connection itself does not have a problem. Opening files over the new line was much faster than the old - although still really slow.

    I also took a closer look at Barry's questions:

    1. have you checked ping times and/or traceroutes?
    on the leased line I get around 120ms avrg
    on the RED connection I get around 41ms avrg

    EDIT:
    forgot about the traceroutes:
    the traces go through as expected. Using the leased line there are some hops over the managed gateway devices, whereas with the RED, I have one hop to the astaro and the next one to the target network. 

    2. have you checked for packet loss?
    I must admit I am not sure where I check that..

    3. do any of the connections have a reduced MTU?
    All Interfaces on the astaro do no have anything set except for 1500, which is default I believe. 

    4. Have you checked the IPS logs?
    The IPS log does not show anything that I would bring into a connection with the traffic that goes over SSL.

    Best regards
    Martin
  • 0
    2. Start with ifconfig at the command line. 

    3. You might experiment with a lower MTU on the WAN interface - you might have a different value on the RED side. 

    Cheers - Bob

    Sorry for any short responses.  Posted from my iPhone.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hi,

    Tools like MS pathping, or MTR / WinMTR are better for checking for packetloss.

    ifconfig can show interface errors.

    Barry
Unfiltered HTML