wudler 10 Geschrieben 12. März 2008 Melden Geschrieben 12. März 2008 Hallo, seit der Umstellung auf eine ASA 5520 (7.2(3)) ist das Surfen im Internet deutlich langsamer als mit der vorher eingesetzten Fortigate 200. Ich dachte zunächst es liegt vlt an dem CSC-SSM-Modul von TrendMicro, das den http-Traffic scannt. Aber auch nach dessen Deaktivierung ist das nicht besser geworden. Auch wenn nur wenig Traffic auf dem Outside-Interface (SDSL mit 4MBit sym) aufschlägt, ist das zu beobachten. die default-inspection-rule für http ist deaktiviert. Hat irgendjemand eine Idee oder vergleichbare Probleme ? Gruß
wudler 10 Geschrieben 13. März 2008 Autor Melden Geschrieben 13. März 2008 steht bei allen Interfaces auf 1500 Am "outside"-Interface hängt der CPE des ISP. An dieser config wurde allerdings nichts geändert.
Wordo 11 Geschrieben 13. März 2008 Melden Geschrieben 13. März 2008 Stells bei deinen Clients mal auf 1400, davor koenntest du noch schaun das die Clients Windowsfirewall deaktiviert haben, bzw ICMP eingehend erlauben und auf der ASA mal ICMP generell freischalten (besonders ausgehend am internen IF).
wudler 10 Geschrieben 13. März 2008 Autor Melden Geschrieben 13. März 2008 Wie ändere ich die MTU auf den Clients ? Habe mal beim ISP nachgefragt. Auf dem CPE ist MTU 1500 eingestellt.
Wordo 11 Geschrieben 13. März 2008 Melden Geschrieben 13. März 2008 Hast du das mit der Firewall und ICMP schon gemacht? Danach Client neustarten und testen. MTU kannste mit nem Tool recht leicht aendern ... DrTCP windows tcp tuning and tweaking - dslreports.com Setz mal auf 1400 ...
wudler 10 Geschrieben 13. März 2008 Autor Melden Geschrieben 13. März 2008 XP-Firewall ist inaktiv. ausgehender ping vom Client ist freigeschaltet. ping antwortet auf Anfrage eines Host im Internet. Eingehender ping macht keinen Sinn, da NAT auf der Firewall. D.h. Clients machen dynamisches NAT und "verstecken" sich hinter der IP der Firewall. MTU am Client auf 1400 eingestellt und reboot. Keine Verbesserung.
Wordo 11 Geschrieben 13. März 2008 Melden Geschrieben 13. März 2008 Komisch, poste mal die Config bitte.
wudler 10 Geschrieben 13. März 2008 Autor Melden Geschrieben 13. März 2008 config einer Firewall posten ? Ich will meinen Job behalten :) sind 565 Zeilen. vlt würden dir ja bestimmte Bereiche reichen
wudler 10 Geschrieben 14. März 2008 Autor Melden Geschrieben 14. März 2008 Das Problem hat sich in Luft aufgelöst. Der Support des ISP hatte den entscheidenden Tipp als ich wg. der MTU auf dem CPE gefragt habe. DNS !!. Habe auf einem Client die DNS-Server unseres ISP eingetragen und siehe da. Das war des Rätsels Lösung. Unser interner DNS-Server, der externe Anfragen an einen externen DNS weiterleitet, hat Probleme mit der Reaktionszeit. Vielen Dank jedenfalls für die Unterstützung.
Danielsun 10 Geschrieben 19. November 2010 Melden Geschrieben 19. November 2010 Ich kann das mit dem DNS nur bestätigen. Hatte das gleiche Problem. Will man die ASA nach dem Upgrade noch als DNS Server nutzen, muss man den neu confen ;) Mit "nslookup" lies sich der Fehler schnell diagnostizieren. Jede erste Anfrage lieg ins Nirvana ;) (Weiterleitung vom DC, die zweite hat er dann selbst aufgelöst.)
Otaku19 33 Geschrieben 19. November 2010 Melden Geschrieben 19. November 2010 a keine uralt threads ausgraben b die ASA ist KEIN DNS Server, die kann das nicht, fertig.
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden