Ir al contenido
Avanet

Realizar una prueba de velocidad de Internet en Sophos Firewall mediante SSH

Una prueba de velocidad de Internet en el navegador no siempre muestra lo que realmente puede ofrecer la conexión a Internet. El navegador, el cliente, el Wi-Fi, el proxy, el IPS, el filtro web, la inspección TLS, el VPN, el NAT y las reglas del firewall pueden influir en el resultado. A veces, por lo tanto, es útil realizar una prueba directamente en el Sophos Firewall para distinguir la conexión WAN del firewall de los problemas del cliente o de las reglas.

El artículo describe una sencilla prueba de descarga mediante SSH en el Sophos Firewall, la correcta interpretación del resultado y las limitaciones en comparación con iPerf, Log Viewer o Packet Capture. Es especialmente importante la delimitación en caso de múltiples conexiones WAN: la prueba mide el tráfico de descarga propio del firewall, no automáticamente el mismo camino que un cliente detrás del firewall.

¿Qué prueba de rendimiento es adecuada?

Una descarga directamente en el firewall es solo una herramienta. Dependiendo de la pregunta, otra prueba puede ser más significativa:

Esta separación evita interpretaciones erróneas. Una descarga rápida en el firewall no prueba que un camino de cliente, un tramo de VPN o una regla de inspección TLS también deba ser rápido.

Lo que prueba una prueba de velocidad en el firewall

Una prueba de velocidad directamente en el firewall responde a una pregunta concreta: ¿Puede el firewall mismo descargar un archivo de Internet a la velocidad esperada a través de su ruta de enrutamiento actual?

Esto es útil si se desea saber:

  • si la conexión WAN es generalmente lo suficientemente rápida
  • si la conexión del proveedor ofrece aproximadamente la tasa de descarga esperada
  • si un problema está más bien delante o detrás del firewall
  • si se deben incluir en el análisis el cliente, Wi-Fi, switch, filtro web, inspección TLS o VPN

Sin embargo, la prueba no prueba automáticamente que los clientes detrás del firewall deban alcanzar la misma velocidad. El tráfico del cliente pasa por reglas de firewall, NAT, políticas de seguridad y, dependiendo de la configuración, por IPS, Web Protection, Application Control o inspección TLS. La descarga local en el firewall evita parte de este procesamiento y, por lo tanto, es adecuada como delimitación, no como una prueba completa de extremo a extremo.

Para la interpretación de los valores de la hoja de datos, las características de seguridad y el rendimiento real, es útil complementar con Comprender correctamente los datos de rendimiento de Sophos Firewall.

Considerar múltiples conexiones WAN y SD-WAN

En firewalls con múltiples enlaces WAN, se debe aclarar antes de la prueba a través de qué ruta el firewall mismo accede a Internet. La descarga es generada por el Sophos Firewall. Por lo tanto, es tráfico propio del sistema y no sigue necesariamente la misma decisión que un flujo de cliente procesado por una regla de firewall, regla NAT o ruta SD-WAN.

Suposiciones típicas erróneas:

  • Múltiples gateways WAN: La descarga del firewall puede pasar por un gateway diferente al tráfico del cliente afectado
  • Enrutamiento SD-WAN para clientes: Las reglas SD-WAN del cliente no prueban automáticamente la ruta para el tráfico propio del firewall
  • Failover o WAN de respaldo activo: La prueba puede estar midiendo actualmente la ruta alternativa
  • Enrutamiento basado en políticas o NAT especial: Un camino de cliente puede ser tratado de manera diferente a la descarga local del firewall

En tales configuraciones, siempre se debe documentar el resultado con la hora, el enlace WAN activo y el gateway observado. Si el tráfico propio del sistema, los paquetes de respuesta o las decisiones SD-WAN son poco claros, es útil complementar con Comprender el enrutamiento SD-WAN, los paquetes de respuesta y el tráfico del sistema en Sophos Firewall.

Requisitos previos

Antes de la prueba, se deben cumplir estos puntos:

  • El acceso SSH o Advanced Shell está permitido de forma deliberada, preferiblemente solo desde una red de administración de confianza.
  • El firewall tiene acceso a Internet y el DNS funciona.
  • Hay una ventana de mantenimiento o al menos un momento no crítico.
  • Está claro a través de qué interfaz WAN el firewall realiza la descarga.
  • Hay suficiente espacio libre para el archivo de prueba.
  • El archivo de prueba se eliminará después de la prueba.

Para un acceso SSH seguro, es útil Conectar Sophos Firewall mediante SSH. En SFOS, SSH se permite en Administration > Device access mediante Local service ACL o, de forma más precisa, mediante una Local service ACL exception rule. SSH no debería permitirse ampliamente desde zonas WAN o Wi-Fi y, después de las tareas de solución de problemas, debe limitarse nuevamente al mínimo necesario. Sophos Firewall cierra las sesiones SSH inactivas después de 15 minutos.

⚠️ Una prueba de descarga genera tráfico real y puede saturar la línea temporalmente. En firewalls productivos, no se deben realizar tales pruebas durante horas de trabajo críticas o en paralelo a ventanas de mantenimiento, VoIP o copias de seguridad.

Comprobar DNS y routing antes de la descarga

Antes de descargar un archivo de prueba grande, conviene comprobar brevemente si la resolución de nombres y la accesibilidad funcionan en principio. De lo contrario, es fácil confundir problemas de DNS, routing o proveedor con un resultado de speedtest.

En el menú principal de la CLI, abrir primero 4 Device Console y ejecutar comprobaciones sencillas:

dnslookup www.avanet.io
ping www.avanet.io
traceroute www.avanet.io

dnslookup comprueba la resolución de nombres, ping ofrece una prueba rápida de accesibilidad y traceroute muestra la ruta aproximada hasta el destino. En Device Console, Sophos admite parámetros adicionales para ping, como interface o sourceip. Esto resulta útil con varios enlaces WAN cuando se quiere comprobar una fuente o interfaz concreta.

Si DNS ya falla, la prueba posterior con curl no es significativa. En ese caso, comprobar primero DNS, default route, gateway WAN, decisión SD-WAN o disponibilidad del proveedor.

Realizar la prueba de velocidad mediante SSH

Iniciar sesión en Sophos Firewall mediante SSH como admin. En el menú principal de la CLI, seleccionar 5 Device Management y después abrir 3 Advanced Shell. Advanced Shell es una shell Linux con acceso profundo a componentes del sistema. En este artículo solo se usa para descargar un archivo a /tmp y eliminarlo de nuevo después.

Luego, descargue el archivo de prueba en un directorio temporal para que no quede accidentalmente en un directorio de trabajo inapropiado.

cd /tmp
curl -L -o 1GB.bin https://www.avanet.io/1GB.bin

El servidor de prueba está en Suiza y está destinado a una medición aproximada de la línea. Para pruebas más pequeñas, se puede usar 100MB.bin en lugar de 1GB.bin:

cd /tmp
curl -L -o 100MB.bin https://www.avanet.io/100MB.bin

Si el DNS no funciona, la prueba fallará ya en la resolución de nombres. En ese caso, no se debe analizar la velocidad de la línea, sino primero el DNS, el enrutamiento y la disponibilidad de WAN.

En firewalls con múltiples enlaces WAN, la prueba no debe considerarse de forma aislada. Paralelamente, se debe verificar en el WebAdmin qué enlace WAN está activo y si hay un failover, un cambio de SD-WAN o una interrupción del proveedor.

Eliminar el archivo de prueba

Después de la prueba, se debe eliminar el archivo:

rm /tmp/1GB.bin

En una prueba con el archivo más pequeño:

rm /tmp/100MB.bin

Si la prueba se interrumpió, verifique si hay un archivo parcialmente descargado:

ls -lh /tmp/*GB.bin

Los archivos de prueba grandes no deben permanecer en el firewall. Especialmente en dispositivos pequeños o particiones ya llenas, el consumo innecesario de espacio puede causar problemas difíciles de rastrear más adelante.

Evaluar la prueba de velocidad

Durante y después de la descarga, curl muestra, entre otras cosas, la tasa de descarga promedio. En el ejemplo, el valor es de aproximadamente 107 MB/s.

Prueba de velocidad de la conexión a Internet en Sophos Firewall
Prueba de velocidad de la conexión a Internet en Sophos Firewall

Es importante la unidad:

  • MB/s significa megabytes por segundo.
  • Mbit/s o Mbps significa megabits por segundo.
  • 1 byte equivale a 8 bits.

Como conversión aproximada se aplica:

MB/s x 8 = Mbit/s

Por lo tanto, 107 MB/s equivalen aproximadamente a 856 Mbit/s. El overhead, el comportamiento TCP, el punto final, el enrutamiento y la carga pueden influir en el valor. Por lo tanto, no se debe usar una sola medición como prueba definitiva.

Convertir velocidad de descarga
Convertir velocidad de descarga

Es recomendable realizar varias pruebas en diferentes momentos del día. Si los valores varían mucho, se debe verificar el proveedor, el enlace WAN, el enrutamiento SD-WAN, los errores de interfaz y la carga.

Para soporte o documentación interna, no solo se debe anotar el número. Un conjunto de datos de medición breve ayuda significativamente más tarde:

  • Momento: 2026-06-21 10:15
  • Firewall y firmware: XGS 2100, SFOS 22.0 MR1
  • Archivo de prueba: 1GB.bin
  • Tasa medida: 107 MB/s, aproximadamente 856 Mbit/s
  • Enlace WAN activo: WAN1 Fiber
  • Anomalías: copia de seguridad paralela, failover, alta CPU, Packet Capture activo

Cuando se comparan múltiples mediciones, el archivo de prueba, el destino, la hora y la ruta WAN deben permanecer lo más constantes posible. De lo contrario, se comparan rápidamente la hora del día, la ruta del proveedor o el punto final en lugar del rendimiento real del firewall.

Comparar con pruebas de cliente

El siguiente paso es la comparación con un cliente detrás del firewall. Esto permite delimitar dónde se pierde el rendimiento.

  • Descarga directamente en el firewall es rápida: La conexión WAN del firewall probablemente no es el principal cuello de botella
  • Descarga directamente en el firewall es lenta: Verificar proveedor, enlace WAN, enrutamiento, DNS o enlace del firewall
  • Firewall rápido, cliente lento: Verificar cliente, Wi-Fi, switch, regla de firewall, NAT, política de seguridad o inspección TLS
  • Solo aplicaciones individuales lentas: Verificar filtro web, Application Control, DNS, proxy o servidor de destino
  • Solo VPN lenta: Verificar protocolo VPN, MTU/MSS, enrutamiento, reglas de firewall y red del cliente

Para pruebas de tramo específicas, iPerf es a menudo mejor que una descarga pública. Con iPerf se puede definir dónde están el servidor y el cliente, si se prueba TCP o UDP y qué ancho de banda se espera.

Interpretaciones erróneas típicas

La prueba de velocidad del firewall es rápida, pero los usuarios informan de Internet lento

Entonces, la conexión WAN no es automáticamente inocente, pero el enfoque cambia. Se debe verificar la red del cliente, Wi-Fi, puerto del switch, DNS, regla de firewall, NAT, IPS, Web Protection, Application Control e inspección TLS. Especialmente la inspección TLS o los perfiles de seguridad agresivos pueden tratar el tráfico del cliente de manera muy diferente a una descarga directamente en el firewall.

La prueba de velocidad del navegador es lenta, la prueba de velocidad del firewall es rápida

Esto a menudo indica un problema detrás del firewall o en la ruta del cliente. Sin embargo, se deben probar varios navegadores, un cliente con cable y un segundo destino antes de asumir una causa fija.

La prueba de velocidad del firewall es lenta

Entonces, primero verifique el estado de WAN, la velocidad del enlace, el dúplex, el enrutamiento SD-WAN, el DNS, la interrupción del proveedor y la carga. En caso de múltiples conexiones WAN, debe estar claro a través de qué gateway se realiza la descarga.

Solo el upload es lento

La descarga curl descrita aquí prueba principalmente la dirección de descarga. Para pruebas de upload o bidireccionales, iPerf u otra configuración de prueba definida es más adecuada.

Solución de problemas después de la prueba

Si después de la prueba de velocidad sigue sin estar claro dónde está el problema, se debe continuar de manera estructurada:

  1. Verificar Device Console: Usar dnslookup, ping y traceroute antes de interpretar valores de descarga.
  2. Verificar Log Viewer: ¿Qué regla de firewall afecta al tráfico del cliente?
  3. Usar Policy Test: Verificar la fuente, el destino, el servicio y el usuario esperados.
  4. Iniciar Packet Capture: ¿Se ven paquetes, paquetes de respuesta y NAT?
  5. Verificar estado de la interfaz: Evaluar velocidad del enlace, errores, caídas y carga.
  6. Verificar características de seguridad: IPS, filtro web, inspección TLS, Application Control.
  7. Realizar prueba de verificación con iPerf: Probar tramo, TCP/UDP y dirección de manera específica.

Para análisis de reglas y flujo de paquetes, es útil Probar reglas de firewall con Log Viewer, Policy Test y Packet Capture. Para los registros más profundos, ayuda Solución de problemas en Sophos Firewall: Servicios y registros.

Lista de verificación

Antes de la prueba

  • Acceso SSH o Advanced Shell permitido de forma deliberada.
  • Device Access o Local Service ACL exception rule para SSH correctamente limitado.
  • DNS y accesibilidad comprobados mediante Device Console.
  • Momento de la prueba elegido.
  • Ruta WAN conocida.
  • Suficiente espacio de almacenamiento disponible.
  • Objetivo de la medición definido: prueba WAN, comparación de cliente o delimitación de VPN.

Durante la prueba

  • Descargar archivo de prueba en /tmp.
  • Anotar tasa de descarga y unidad.
  • En caso de errores, no confundir DNS, enrutamiento o accesibilidad con velocidad.
  • No realizar grandes cambios paralelos en reglas de firewall o SD-WAN.

Después de la prueba

  • Eliminar archivo de prueba.
  • Convertir resultado a Mbit/s.
  • Comparar con prueba de cliente o iPerf.
  • En caso de discrepancias, usar Log Viewer, Policy Test y Packet Capture.
  • Documentar resultado con hora, enlace WAN y objetivo de prueba.

FAQ

¿Se puede medir la verdadera velocidad de Internet con esta prueba?

Se mide la tasa de descarga del firewall a un objetivo de prueba específico. Es un buen indicativo de la conexión WAN, pero no una prueba completa de extremo a extremo para clientes detrás del firewall.

¿Por qué una prueba de velocidad en el navegador detrás del firewall es diferente?

El tráfico del cliente puede verse afectado por Wi-Fi, switches, reglas de firewall, NAT, IPS, Web Protection, inspección TLS o Application Control. Una descarga directamente en el firewall no utiliza el mismo camino de procesamiento.

¿Debería probarse 100 MB o 1 GB?

Para conexiones rápidas, 1 GB es más significativo porque la prueba dura más. Para verificaciones cortas o conexiones más pequeñas, a menudo basta con 100 MB. En firewalls pequeños o con poco espacio, se debe probar con precaución y eliminar después.

¿Es iPerf mejor que curl?

Para análisis de rendimiento específicos, generalmente sí. curl es rápido y sencillo para una prueba de descarga WAN. iPerf es mejor si se desea controlar la dirección, el destino, TCP/UDP, la duración y el ancho de banda.

¿La prueba con curl es un speedtest oficial de Sophos?

No. Sophos documenta el acceso CLI, Device Console y Advanced Shell, pero no un speedtest oficial propio de Internet mediante curl. La prueba es un método práctico de Avanet para delimitar la conexión WAN y debe complementarse con pruebas de cliente, logs o iPerf.

¿Por qué debe eliminarse el archivo de prueba?

El firewall no es un servidor de archivos. Los archivos de prueba grandes consumen espacio de almacenamiento y pueden causar problemas más adelante en dispositivos pequeños o particiones llenas.

¿Por qué la prueba de velocidad del firewall puede diferir de una prueba de cliente con múltiples WANs?

La prueba es generada por el propio firewall. Por lo tanto, puede usar una ruta de enrutamiento diferente al tráfico del cliente que pasa por reglas de firewall, NAT o rutas SD-WAN. En caso de múltiples enlaces WAN, siempre se debe documentar la ruta activa.