Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 1 subscriber
  • Views 4789 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL Remote Access plus IPSec Site2Site Performance

MM1985
Hi there,

I have the following situation:
We are using SSL VPN for Remote Users to connect to the corporate network. Therefore on our main ASG320 we have this feature enabled. This works very well so far and the performance is good.

Most branch offices are connected to the main office via a managed network. Just recently we have started to run one branch office with an IPSec Site2Site connection. The remote site uses an ASG110 appliance.
The IPSec connection from the ASG320 to the 110 is working stable and connections (fileserver, rdp, etc.) from the main office to the remote site work well with decent performance.

Now the problem we have is as follows:  Whenever a user is connected from external to our network with the SSL VPN client and tries to access resources on the remote site over the IPSec tunnel it is painfully slow.

I have already searched the net and the board here and one proposal regarding SSL VPN performance is to change to UDP. However, I am not sure, if I should follow this route. As I mentioned above the performance when connecting to SSL VPN and accessing resources on the main site is quite good. In addition to that, if I understood correctly, changing to UDP would mean that I have to reconfigure all SSL clients.

I would appreciate, if anybody had any hints in what direction to look to find any further information on what causes this behavior and how to fix it.

Thanks very much in advance for your responses!
best regards
Martin


This thread was automatically locked due to age.
Parents
  • 0
    Hi,

    Tools like MS pathping, or MTR / WinMTR are better for checking for packetloss.

    ifconfig can show interface errors.

    Barry
  • 0 in reply to BarryG
    Hello again,

    I went through some more testing now and have the following results:

    I ran a ping / pathping from the HQ Site to the remote site and from a VPN users computer to the remote site (via HQ site). The results are 

    pathping:
    HQ --> remote site 2 hops, no loss, 19ms in total
    VPN --> remote site 2 hops, no loss, 164ms total
    remote site --> HQ 3 hops, no loss, 19ms in total

    ping:
    HQ --> remote site --> avrg 31ms
    VPN --> remote site --> avrg 108ms

    So from my point of view these numbers look good.


    In addition to that I used iperf to measure the throughput of the line with the following result. (is iperf something that is recommendable for these kinds of tests?)

    1st run (yesterday evening):
    VPN user to remote site: between 2,1 and 3,1 MBit/s
    remote site to VPN user: between 1,0 and 2,0 MBit/s (we had some backup jobs running during that time, so this explains the lower throughput)

    2nd run (this morning):
    VPN user to remote site: between 2,1 and 3,1 MBit/s
    remote site to VPN user: between 1,75 and 2,75 MBit/s
    (this test was run this morning when users started to work, so there was also other traffic on the line)

    3rd run:
    HQ site to remote site: between 2,5 and 3,0 MBit/s
    remote site to HQ site: between 2,4 and 2,6 MBit/s

    Given that the line at the remote site is a line with a guaranteed 3,0MBit rate, the numbers look quite good to me. Also keeping in mind, that there is hardly a time when there is not traffic running on these lines, the results sound very reasonable to me.


    One more question regarding ifconfig: Do I run this on the firewalls themselves while being connected via SSH?

    Do you think that creating QoS rules for the internal traffic is something to try? Maybe the users slow connection was a coincidence with someone using a lot of bandwidth for an internet connection, etc..

    Thanks.
    best regards
    Martin
Reply
  • 0 in reply to BarryG
    Hello again,

    I went through some more testing now and have the following results:

    I ran a ping / pathping from the HQ Site to the remote site and from a VPN users computer to the remote site (via HQ site). The results are 

    pathping:
    HQ --> remote site 2 hops, no loss, 19ms in total
    VPN --> remote site 2 hops, no loss, 164ms total
    remote site --> HQ 3 hops, no loss, 19ms in total

    ping:
    HQ --> remote site --> avrg 31ms
    VPN --> remote site --> avrg 108ms

    So from my point of view these numbers look good.


    In addition to that I used iperf to measure the throughput of the line with the following result. (is iperf something that is recommendable for these kinds of tests?)

    1st run (yesterday evening):
    VPN user to remote site: between 2,1 and 3,1 MBit/s
    remote site to VPN user: between 1,0 and 2,0 MBit/s (we had some backup jobs running during that time, so this explains the lower throughput)

    2nd run (this morning):
    VPN user to remote site: between 2,1 and 3,1 MBit/s
    remote site to VPN user: between 1,75 and 2,75 MBit/s
    (this test was run this morning when users started to work, so there was also other traffic on the line)

    3rd run:
    HQ site to remote site: between 2,5 and 3,0 MBit/s
    remote site to HQ site: between 2,4 and 2,6 MBit/s

    Given that the line at the remote site is a line with a guaranteed 3,0MBit rate, the numbers look quite good to me. Also keeping in mind, that there is hardly a time when there is not traffic running on these lines, the results sound very reasonable to me.


    One more question regarding ifconfig: Do I run this on the firewalls themselves while being connected via SSH?

    Do you think that creating QoS rules for the internal traffic is something to try? Maybe the users slow connection was a coincidence with someone using a lot of bandwidth for an internet connection, etc..

    Thanks.
    best regards
    Martin
Children
No Data
Unfiltered HTML