Jump to content
Sign in to follow this  
wudler

HTTP-Traffic auf ASA 5520 langsam

Recommended Posts

Hallo,

 

seit der Umstellung auf eine ASA 5520 (7.2(3)) ist das Surfen im Internet deutlich langsamer als mit der vorher eingesetzten Fortigate 200. Ich dachte zunächst es liegt vlt an dem CSC-SSM-Modul von TrendMicro, das den http-Traffic scannt. Aber auch nach dessen Deaktivierung ist das nicht besser geworden.

 

Auch wenn nur wenig Traffic auf dem Outside-Interface (SDSL mit 4MBit sym) aufschlägt, ist das zu beobachten.

 

die default-inspection-rule für http ist deaktiviert.

 

Hat irgendjemand eine Idee oder vergleichbare Probleme ?

 

Gruß

Share this post


Link to post
Share on other sites

Stells bei deinen Clients mal auf 1400, davor koenntest du noch schaun das die Clients Windowsfirewall deaktiviert haben, bzw ICMP eingehend erlauben und auf der ASA mal ICMP generell freischalten (besonders ausgehend am internen IF).

Share this post


Link to post
Share on other sites

XP-Firewall ist inaktiv. ausgehender ping vom Client ist freigeschaltet. ping antwortet auf Anfrage eines Host im Internet. Eingehender ping macht keinen Sinn, da NAT auf der Firewall. D.h. Clients machen dynamisches NAT und "verstecken" sich hinter der IP der Firewall.

 

MTU am Client auf 1400 eingestellt und reboot. Keine Verbesserung.

Share this post


Link to post
Share on other sites

Das Problem hat sich in Luft aufgelöst. Der Support des ISP hatte den entscheidenden Tipp als ich wg. der MTU auf dem CPE gefragt habe. DNS !!.

 

Habe auf einem Client die DNS-Server unseres ISP eingetragen und siehe da. Das war des Rätsels Lösung. Unser interner DNS-Server, der externe Anfragen an einen externen DNS weiterleitet, hat Probleme mit der Reaktionszeit.

 

Vielen Dank jedenfalls für die Unterstützung.

Share this post


Link to post
Share on other sites

Ich kann das mit dem DNS nur bestätigen. Hatte das gleiche Problem. Will man die ASA nach dem Upgrade noch als DNS Server nutzen, muss man den neu confen ;)

 

Mit "nslookup" lies sich der Fehler schnell diagnostizieren.

 

Jede erste Anfrage lieg ins Nirvana ;) (Weiterleitung vom DC, die zweite hat er dann selbst aufgelöst.)

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...