Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 23 replies
  • Subscribers 4 subscribers
  • Views 64125 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPSEC Site-To-Site VPN Slow

TKITFrank
Hi,

I have an strange issue, When I download a file from internet I get the maximum speed of my ADSL connection (13Mbit) But when I download from my remote site using a IPSEC tunnel i only get 2-4Mbit per stream.
If I download via multiple streams every stream get 2-4Mbit and I can get the maximum speed.

The CPU is never close to maxed. Only 1-2%.

I have Path MTU enabled and also ECN on both sites. I have tried without also but the same result.

Anyone got an idea on what could be the cause of this?

Best Regards
Frank


This thread was automatically locked due to age.
  • 0
    What happens if you disable snort with an exception?

    Cheers - Bob

    Sorry for any short responses.  Posted from my iPhone.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Stupid question. As you're talking about adsl...this means you have asynchronous bandwidths...usually uplink is 5-10 times slower than downstream.

    Is the remote uplink of your tunnel even able to deliver data faster than those 2...4Mbit you receive on the local site? This speed looks quite ok to me for a "normal" adsl uplink?

    Sorry for short answers and typos. was written on mobile using astaro.org app.
  • 0 in reply to Sascha Paris
    What happens if you disable snort with an exception?

    Cheers - Bob

    Sorry for any short responses.  Posted from my iPhone.

    No difference, did that and also for appcontrol.


    Stupid question. As you're talking about adsl...this means you have asynchronous bandwidths...usually uplink is 5-10 times slower than downstream.

    Is the remote uplink of your tunnel even able to deliver data faster than those 2...4Mbit you receive on the local site? This speed looks quite ok to me for a "normal" adsl uplink?

    Sorry for short answers and typos. was written on mobile using astaro.org app.

    My Connection is 24/3Mbit ADSL. My actual speed is 13-14/2-2,5Mbit
    The remote site is 15/10Mbit via Radio and that it is actual speed as well.

    Both connections can download at there max speed and upload at there max speed without issues when the IPSEC is not in use. 
    I can upload without issues to the remote site since I will not be able to send at 3-4Mbit.
    But when I download it stops... And the remote site can deliver more. This is just so obvious when i use multiple FTP transfers.

    The first say 10sec the file transfer is using the entire connection 10Mbit when I look in FileZilla but then drops to 3-4Mbit.

    I looked at the packtfilterlogs and I can not find any thing that is related. Im thinking more and more on this as an buffer issue? Is there any way to check this?

    Best Regards,
    Frank
  • 0
    Your idea makes sense, Frank.  Can you get your reseller to submit a ticket to Sophos Support?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Your idea makes sense, Frank.  Can you get your reseller to submit a ticket to Sophos Support?

    Cheers - Bob


    Hi Bob,

    We are both home users [:$]

    We are evaluation it at work at the moment for the WAF support. It will if successful replace our TMG infrastructure as reverse proxy.
    But I don't think it's fair to contact them regarding this.

    Is there any other things I can check? If there are buffer issues then is there an way to see this?
    In my Cisco switches i can see it on the interfaces.

    Best Regards
    Frank
  • 0
    I know this is an old thread, but I ran into pretty much the exact scenario described here except that our sides were using different hardware. One side was using a cisco ASA 5510 and the other was a UTM 9.3.10 virtual appliance.

    Just like the OP, the symptom was that each individual connection stream could only use about 2-5MB of bandwidth, but we could use multiple connections at the same time to get the full speed of our connection (about 80MBs).

    In our case, it was a problem with the Cisco ASA's software. We never found out exactly what, but replacing the config from scratch, with identical settings for the IPSEC tunnel, on the ASA resolved the issue. No changes where needed on the UTM.
  • 0 in reply to tkent
    I know this is an old thread, but I ran into pretty much the exact scenario described here except that our sides were using different hardware. One side was using a cisco ASA 5510 and the other was a UTM 9.3.10 virtual appliance.

    Just like the OP, the symptom was that each individual connection stream could only use about 2-5MB of bandwidth, but we could use multiple connections at the same time to get the full speed of our connection (about 80MBs).

    In our case, it was a problem with the Cisco ASA's software. We never found out exactly what, but replacing the config from scratch, with identical settings for the IPSEC tunnel, on the ASA resolved the issue. No changes where needed on the UTM.


    Speaking of the ASAs, by default the hardware crypto accelerator is not enabled. This is usually the cause for slow IPsec VPNs on ASAs.

    To check the status
    show crypto accelerator statistics

    To enable
    crypto engine accelerator
  • 0
    Also experiencing poor bandwidth via site-to-site.  My observations should it help:

    scp a 1 GB file:
      From: UTM-9.315-2  s/w
      To: UTM-8.310  s/w

    Scenario 1
    -------------
    275 KB/s  over site-to-site IPSec VPN (AES-128 PFS,) no IPS enabled on either end. Destination is metal host on a 1-Gbit network.

    Scenario 2
    -------------
    6.6 MB/s directly to destination firewall where source is behind firewall.

    Comment
    -----------
    The metal host in Scenario 1 pulled the 1 GB file from the destination firewall in Scenario 2 @ 55 MB/s.
  • 0

    Hello,

     

     i know it's an old thread: I had the same issue, disabling UDP flood protection did the trick for me.

  • 0 in reply to ManagedServices1

    Hi, and welcome to the UTM Community!

    Rather than disable UDP flood protection for everything, check the Intrusion Prevention log to see what Exception(s) you need to add.

    Cheers - Bob 

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML