XG IPSec против SSL Road Warrior Производительность

Многолетний опыт использования Sophos XGs в моей работе показывает, что удаленные соединения через SSL VPN работают отлично в пределах одной страны, но при работе за границей возникают значительные задержки, делая использование VPN практически невозможным (отклик может занимать несколько секунд).

Поначалу я думал, что проблема в пингах, и пытался улучшить их с помощью VPN, ориентированного на игры, что снизило задержки с 400-500 до около 300 мс, но всё равно оставалось плохо. Тогда я решил попробовать другой подход.

Для теста я попросил офис включить IPSec Road Warrior, и внезапно оказалось, что я словно снова внутри страны и работаю из дому.

Я тестирую его уже несколько месяцев, и независимо от интернет-соединения, IPSec показывает значительно лучшую отзывчивость при использовании RDS по сравнению с SSL VPN.

При работе внутри страны разница практически незаметна, некоторые коллеги перешли на IPSec и убедились, что производительность одинаковая. Но другой сотрудник, уехавший за границу, недавно попробовал IPSec и также убедился, что SSL практически непригоден, а IPSec работает почти идеально.

Гугл ничего не показывает, чтобы объяснить улучшение только при смене типа VPN.

Кто-нибудь знает, связано ли это со спецификой Sophos или есть какие-то моменты, которые я не учитываю, и которые влияют на скорость RDS при использовании SSL против IPSec?

Хотя более высокая производительность приятна, хотелось бы понять, почему так происходит, чтобы в случае проблем знать причину и уметь её исправить.

SSL можно улучшить, переключившись с TCP на UDP. Это исключает трехфазный рукопожатие для каждого пакета.

Я заметил то же самое с туннелями RED по сравнению с продуктами типа StS от Cisco или Meraki при соединениях через всю США. Значительное улучшение, причины не совсем ясны.

При соблюдении требований PCI нам пришлось получать документацию о “сертификатной пиннинге” для сдачи банкам. Они делают что-то немного по-другому, и специалисты в области безопасности должны были разобраться. (Меня это не так волнует, просто наблюдаю за хорошим соединением)

Попробуйте отключить аппаратное ускорение IPSec и ускорение брандмауэра. Если это улучшит ситуацию, это может быть известной проблемой, сейчас она изучается.

Для отключения ускорения брандмауэра подключитесь по SSH к XG и выполните команду: system firewall-acceleration disable

Замените “disable” на “show” для проверки статуса.

SSL VPN более подвержен задержкам, так как работает на уровне приложений, в отличие от IPsec, который работает на сетевом уровне.

Единственный способ ускорить его — использовать провайдеров вроде Equinix или Akamai, которые маршрутизируют трафик через свою платформу, а не через публичный интернет.

Их RED использует самоподписанный сертификат для туннеля.

Это очень безопасное решение, и использование самоподписанных сертификатов — это хорошо (нет риска компроментации CA; и если устройство взломают, уже будет сложно). Жаль, что они не используют Let’s Encrypt, это сделало бы проблему проще и обеспечивает чащее обновление.

Где-то я предполагаю, что дело в высокой нагрузке и способности национальных брандмауэров видеть, фильтровать или применять MITM-атаки к трафику.

Эти параметры уже отключены, так как они вызывали у нас проблемы более года назад. Но почему их отключение улучшает производительность SSL VPN? Кажется, что они скорее влияют на IPSec VPN.

Их RED используют самоподписанные сертификаты, что очень безопасно (нет риска компрометации CA; и если устройство взломают, уже поздно). Жаль, что они не используют Let’s Encrypt, это упростило бы проблему и делало бы обновление чаще.

Обновление сертификатов каждые 3 месяца для RED может стать сложной задачей из-за большого числа устройств. В случае проблем, например в последние годы, приходится менять сертификаты у всех устройств.