Prueba de velocidad muestra baja velocidad después de conectarse a SSLVPN

Spicy-Cornpepper · June 13, 2025, 9:45am

Hola chicos,

Soy nuevo en Fortinet. Tenemos un circuito DIA de 1G alimentando al FortiGate 200F. Funciona como un enrutador SSLVPN dedicado, no ejecuta muchas otras funciones. Como aún está en fase de prueba, solo hay un par de conexiones SSLVPN activas. Desactivé el túnel dividido para que todo el tráfico vuelva a ser enviado a través del FortiGate. Solo obtengo 65M de descarga y 104M de carga según speedtest.net. Activé el túnel DTLS en la configuración de VPN. Sin embargo, no puedo marcar la casilla en FortiClient. La versión de FortiClient que usamos es gratis, así que no sé si eso está relacionado. Según la hoja de datos, el rendimiento de SSLVPN es de 2G (si no recuerdo mal). ¿Cuál es la razón por la que mi prueba de velocidad muestra que solo obtengo 65/104? Gracias de antemano por la ayuda.

BananaBaconFries · June 13, 2025, 9:45am

Sin embargo, no puedo marcar la casilla en FortiClient. La versión que usamos es gratis,

Revisa de nuevo, necesitas habilitar DTLS en el FortiClient también. Aquí tienes una captura de pantalla.

https://imgur.com/a/o9EuExo

La versión gratuita también la tiene, la captura incluso muestra arriba que estoy usando la versión gratuita

Fuzzybunnyofdoom · June 13, 2025, 9:45am

¿Cuál es la latencia al servidor de speedtest? Estás duplicando tu latencia al ir de casa a 200F y con conexiones TCP (asumiendo que es una prueba TCP aquí), eso afectará mucho el rendimiento. Mira este wiki sobre el productor ancho de banda-retardo.

Una mejor prueba es tener un servidor iperf en la oficina y ejecutar pruebas iperf desde el PC con FortiClient. No puedes solucionar problemas de latencia y lo que realmente importa es el rendimiento bruto de la conexión SSL-VPN entre el Fortigate y el PC con FortiClient.

Por experiencia, con DTLS habilitado y baja latencia, pude alcanzar casi 800 Mbps en conexiones SSL-VPN. Con IPSEC, saturé conexiones de 1 Gbps.

exaymssik · June 13, 2025, 9:45am

u/Spicy-Cornpepper ¿Lograste avanzar en este problema? Tengo un cliente que está experimentando exactamente el mismo problema con sus 200Fs en HA con una conexión de Giga. Ejecutando FortiOS 7.2.8.

NotAnotherNekopan · June 13, 2025, 9:45am

Entonces tienes una conexión de 1G en la puerta, ¿qué pasa con donde estás tú?

ee0808 · June 13, 2025, 9:45am

¿Qué versión de firmware estás usando?

“Ten en cuenta que, a partir de FortiOS v7.2.x, se ha eliminado la aceleración de SSL VPN.”

blin787 · June 13, 2025, 9:45am

Además, hay un fallo en curso en 7.2.6 y otros para exactamente 200F. La respuesta que recibí hoy para problemas similares (no SSLVPN, no lo uso, pero muchos otros sí)

Lamentablemente, estás afectado por un problema conocido en el que nuestro equipo de ingeniería ya está trabajando (afecta a todos los dispositivos 20xF con versiones 7.4.2, 7.2.6 y 7.0.13).

placebo_button · June 13, 2025, 9:45am

Desactivé el túnel dividido para que todo el tráfico vuelva a ser enviado a través del FortiGate.

Esto es 100% el problema. Nunca alcanzarás el rendimiento anunciado usando túnel completo por SSL-VPN. Necesitas usar túnel dividido para mejorar tu velocidad, aunque tendrás que aceptar las implicaciones.

Luché contra este problema durante años porque nuestra organización solo permitía VPN de túnel completo. Terminé ofreciendo conexiones VPN IPSEC a quienes tenían muy malas conexiones por SSL VPN y a veces ayudaba.

DTLS ayuda un poco, pero no es una solución definitiva para este tipo de configuración. Los usuarios de Mac tampoco tendrán la opción de DTLS.