USG Flex 100AX

Stsnislav_Khovanskiy
Stsnislav_Khovanskiy Публикаций: 8  Freshman Member
First Comment Friend Collector

Добрый день
Купили сетевой экран USG Flex 100AX.
Очень долго открывает сайты - по разному - но от 10 до 30 секунд. Иногда пару раз выдает ошибку по таймауту, но потом заходит. (интересно то, что если на сайт зашел, то "внутри" сайта (домена) работает вполне приемлемо.

Локалка работает отлично. (добавлять 40 объектов DHCP); Настраивал VPN IPsec - работа тоже в норме.

Интернет - подключал получение динамического ip и как PPPoe…

При 100Мбит-ом подключении, speedtest показывает 85-88Мбит

Есть еще 2 устройства USG20W и USG60 - оба работают нормально с этим же провайдером и по этим же протоколам подключения (PPPoE, динамический IP)
USG Flex 100AX - тупит на сайтах.
Прописывал DNS провайдера как первичные, вторичные; прописывал гугловские DNS.
Ситуация не меняется.
Все проверки с разными устройствами (20W; 60; flex100ax) делал на одном и том же ПК (т.е. от производительности ПК не влияет)


Еще заметил - периодически сильно поднимается загрузка процессора у USG Flex 100AX. (В отличии от других устройств) Причем без видимых причин - см. скрин - загрузка 99% при: 2 объекта DHCP, один пользователь в вэб конфигуратора, нет ни одного впн канала - нагрузка практически нулевая, а загрузка проца на 99%)

«1

All Replies

  • jonatan
    jonatan Публикаций: 188  Master Member
    5 Answers First Comment Friend Collector Seventh Anniversary

    @Stsnislav_Khovanskiy

    Приветствую, проверь включены ли сервисы: Репутационный фильтр и Контентная фильтрация, если да,то отключите их.

  • Stsnislav_Khovanskiy
    Stsnislav_Khovanskiy Публикаций: 8  Freshman Member
    First Comment Friend Collector

    Добрый день. Спасибо за подсказку

    Ситуация такая:

    1. На настроенном устройстве (прописаны объекты, сервисы, NAT, политики, 1 IPSec VPN, BWM) отключаю 3 «галки» отмеченные на скринах — ничего не меняется
    2. Сбрасываю устройство до заводских настроек, отключаю эти же «галки» — все работает — сайты открываются нормально. 
      Без каких либо изменения сетевой экран в простое 30 мин… (я готовлю инфу чтобы прописывать заново вручную все настройки). Через 30 мин проверяю — сайты открываются снова очень медленно.

      По скринам:
      1. на DNS фильтре нет «галки» — белые и черные списки пусты.
      2. пробовал отключать абсолютно все галки на этих страницах — ситуация не меняется — сайты долго загружаются.

  • frjonatan
    frjonatan Публикаций: 21  Freshman Member
    First Comment First Answer Friend Collector First Anniversary
    отредактировано 5 сен

    Попробуйте обновить прошивку до последней.

    Попробовать отключить ADP, Контроль количества сессий и ssl инспекцию если включены.

    На cкрине почти 25000 активных сессий при двух выданных адресах, это довольно странно и тоже может вызывать повышенную нагрузку на CPU.

    В Пункте Обслуживание-Диагностика-Статус CPU/Память, отображается информация что загружает CPU.

  • Victor_net
    Victor_net Публикаций: 9  Freshman Member
    First Comment

    Прошивка последняя

    5.39(ABUH.0)C0

    Шлюз по прежнему Очень долго открывает сайты. Имеются Веб сервера во внутренней сети (они кстати быстро открываются)

    Может есть какое-то решений?

  • jonatan
    jonatan Публикаций: 188  Master Member
    5 Answers First Comment Friend Collector Seventh Anniversary
    отредактировано 18 сен

    @Victor_net

    Странно, у меня несколько разных шлюзов, таких проблем нет. DNS в Вашей сети является Zyxel?

    Со свеми сайтами наблюдается проблема или только например с зарубежными?

    Еженедельную прошивку пробовали?

    Еще вариант wireshark-ом посмотреть куда шлюз обращается и где зависают запросы.

  • Stsnislav_Khovanskiy
    Stsnislav_Khovanskiy Публикаций: 8  Freshman Member
    First Comment Friend Collector

    DNS установлено 3 :
    - zyWall
    - адрес Domain Controller
    - 8.8.8.8

  • Stsnislav_Khovanskiy
    Stsnislav_Khovanskiy Публикаций: 8  Freshman Member
    First Comment Friend Collector

    Подключение интернета по интерфейсу PPP. (PPPoE)

    Со слов специалиста (Тех поддержка), пакеты посылались на интерфейс WAN, а не РРР.Много было предпринято действий, по итогу решающими считаю:

    1. через терминал вырубил репутационный фильтр

    2. отключил заводские профили и сделал свои:

    - Интерфейс - PPPinter c зоной onlyPPP

    -Зона - onlyPPP, в которую вошел ТОЛЬКО интерфейс PPPinter

    - Пользовательский транк, в который вошли интерфейсы PPPinter и wan

    - в настройках Интерфейс/Ethernet - wan - назначит статику с адресом 0.0.0.0 и такой же маской (вместо DHCP)

    Сейчас открытие страниц работает нормально.

  • jonatan
    jonatan Публикаций: 188  Master Member
    5 Answers First Comment Friend Collector Seventh Anniversary

    Приветствую,указание ip/mask 0.0.0.0 /0.0.0.0 на WAN порту при использовании подключения PPOe, ускоряет коннект соедининия.

    Получается тупил дефортовый транк. А для чегов пользовательский транк включили PPOE и WAN , Вас два провайдера?

  • jonatan
    jonatan Публикаций: 188  Master Member
    5 Answers First Comment Friend Collector Seventh Anniversary
    отредактировано 1 окт

    Клиентам сети выдаете 3 DNS адреса?

  • Stsnislav_Khovanskiy
    Stsnislav_Khovanskiy Публикаций: 8  Freshman Member
    First Comment Friend Collector

    да.