Realizar una prueba de velocidad de Internet en Sophos Firewall mediante SSH
Una prueba de velocidad de Internet en el navegador no siempre muestra lo que realmente puede ofrecer la conexión a Internet. El navegador, el cliente, el Wi-Fi, el proxy, el IPS, el filtro web, la inspección TLS, el VPN, el NAT y las reglas del firewall pueden influir en el resultado. A veces, por lo tanto, es útil realizar una prueba directamente en el Sophos Firewall para distinguir la conexión WAN del firewall de los problemas del cliente o de las reglas.
El artículo describe una sencilla prueba de descarga mediante SSH en el Sophos Firewall, la correcta interpretación del resultado y las limitaciones en comparación con iPerf, Log Viewer o Packet Capture. Es especialmente importante la delimitación en caso de múltiples conexiones WAN: la prueba mide el tráfico de descarga propio del firewall, no automáticamente el mismo camino que un cliente detrás del firewall.
¿Qué prueba de rendimiento es adecuada?
Una descarga directamente en el firewall es solo una herramienta. Dependiendo de la pregunta, otra prueba puede ser más significativa:
| Situación | Mejor punto de partida |
|---|---|
| Verificar la descarga WAN directamente en el firewall | Este artículo |
| Medir el rendimiento entre dos redes definidas | Uso correcto de iPerf detrás de Sophos Firewall |
| Interpretar valores de hoja de datos y rendimiento de seguridad real | Comprender correctamente los datos de rendimiento de Sophos Firewall |
| Verificar qué regla o política de firewall se aplica | Probar reglas de firewall con Log Viewer, Policy Test y Packet Capture |
| Analizar paquetes individuales, NAT o ruta de retorno | Uso específico de Packet Capture en Sophos Firewall |
| VPN es lenta o inestable | Verificar MTU y MSS en problemas de VPN de Sophos Firewall |
| Ver patrones de tráfico y picos de volumen a través de interfaces | Configurar sFlow Monitoring en Sophos Firewall |
Esta separación evita interpretaciones erróneas. Una descarga rápida en el firewall no prueba que un camino de cliente, un tramo de VPN o una regla de inspección TLS también deba ser rápido.
Lo que prueba una prueba de velocidad en el firewall
Una prueba de velocidad directamente en el firewall responde a una pregunta concreta: ¿Puede el firewall mismo descargar un archivo de Internet a la velocidad esperada a través de su ruta de enrutamiento actual?
Esto es útil si se desea saber:
- si la conexión WAN es generalmente lo suficientemente rápida
- si la conexión del proveedor ofrece aproximadamente la tasa de descarga esperada
- si un problema está más bien delante o detrás del firewall
- si se deben incluir en el análisis el cliente, Wi-Fi, switch, filtro web, inspección TLS o VPN
Sin embargo, la prueba no prueba automáticamente que los clientes detrás del firewall deban alcanzar la misma velocidad. El tráfico del cliente pasa por reglas de firewall, NAT, políticas de seguridad y, dependiendo de la configuración, por IPS, Web Protection, Application Control o inspección TLS. La descarga local en el firewall evita parte de este procesamiento y, por lo tanto, es adecuada como delimitación, no como una prueba completa de extremo a extremo.
Para la interpretación de los valores de la hoja de datos, las características de seguridad y el rendimiento real, es útil complementar con Comprender correctamente los datos de rendimiento de Sophos Firewall.
Considerar múltiples conexiones WAN y SD-WAN
En firewalls con múltiples enlaces WAN, se debe aclarar antes de la prueba a través de qué ruta el firewall mismo accede a Internet. La descarga es generada por el Sophos Firewall. Por lo tanto, es tráfico propio del sistema y no sigue necesariamente la misma decisión que un flujo de cliente procesado por una regla de firewall, regla NAT o ruta SD-WAN.
Suposiciones típicas erróneas:
| Situación | Por qué el resultado puede ser engañoso |
|---|---|
| Múltiples gateways WAN | La descarga del firewall puede pasar por un gateway diferente al tráfico del cliente afectado |
| Enrutamiento SD-WAN para clientes | Las reglas SD-WAN del cliente no prueban automáticamente la ruta para el tráfico propio del firewall |
| Failover o WAN de respaldo activo | La prueba puede estar midiendo actualmente la ruta alternativa |
| Enrutamiento basado en políticas o NAT especial | Un camino de cliente puede ser tratado de manera diferente a la descarga local del firewall |
En tales configuraciones, siempre se debe documentar el resultado con la hora, el enlace WAN activo y el gateway observado. Si el tráfico propio del sistema, los paquetes de respuesta o las decisiones SD-WAN son poco claros, es útil complementar con Comprender el enrutamiento SD-WAN, los paquetes de respuesta y el tráfico del sistema en Sophos Firewall.
Requisitos previos
Antes de la prueba, se deben cumplir estos puntos:
- El acceso SSH o Advanced Shell está conscientemente permitido.
- El firewall tiene acceso a Internet y el DNS funciona.
- Hay una ventana de mantenimiento o al menos un momento no crítico.
- Está claro a través de qué interfaz WAN el firewall realiza la descarga.
- Hay suficiente espacio libre para el archivo de prueba.
- El archivo de prueba se eliminará después de la prueba.
Para un acceso SSH seguro, es útil Conectar Sophos Firewall mediante SSH. SSH solo debe permitirse desde redes de confianza y, después de las tareas de solución de problemas, debe limitarse nuevamente al mínimo necesario.
⚠️ Una prueba de descarga genera tráfico real y puede saturar la línea temporalmente. En firewalls productivos, no se deben realizar tales pruebas durante horas de trabajo críticas o en paralelo a ventanas de mantenimiento, VoIP o copias de seguridad.
Realizar la prueba de velocidad mediante SSH
Inicie sesión en el Sophos Firewall mediante SSH y abra la Advanced Shell. Luego, descargue el archivo de prueba en un directorio temporal para que no quede accidentalmente en un directorio de trabajo inapropiado.
cd /tmp
curl -L -o 1GB.bin https://www.avanet.io/1GB.bin
El servidor de prueba está en Suiza y está destinado a una medición aproximada de la línea. Para pruebas más pequeñas, se puede usar 100MB.bin en lugar de 1GB.bin:
cd /tmp
curl -L -o 100MB.bin https://www.avanet.io/100MB.bin
Si el DNS no funciona, la prueba fallará ya en la resolución de nombres. En ese caso, no se debe analizar la velocidad de la línea, sino primero el DNS, el enrutamiento y la disponibilidad de WAN.
En firewalls con múltiples enlaces WAN, la prueba no debe considerarse de forma aislada. Paralelamente, se debe verificar en el WebAdmin qué enlace WAN está activo y si hay un failover, un cambio de SD-WAN o una interrupción del proveedor.
Eliminar el archivo de prueba
Después de la prueba, se debe eliminar el archivo:
rm /tmp/1GB.bin
En una prueba con el archivo más pequeño:
rm /tmp/100MB.bin
Si la prueba se interrumpió, verifique si hay un archivo parcialmente descargado:
ls -lh /tmp/*GB.bin
Los archivos de prueba grandes no deben permanecer en el firewall. Especialmente en dispositivos pequeños o particiones ya llenas, el consumo innecesario de espacio puede causar problemas difíciles de rastrear más adelante.
Evaluar la prueba de velocidad
Durante y después de la descarga, curl muestra, entre otras cosas, la tasa de descarga promedio. En el ejemplo, el valor es de aproximadamente 107 MB/s.
Es importante la unidad:
MB/ssignifica megabytes por segundo.Mbit/soMbpssignifica megabits por segundo.- 1 byte equivale a 8 bits.
Como conversión aproximada se aplica:
MB/s x 8 = Mbit/s
Por lo tanto, 107 MB/s equivalen aproximadamente a 856 Mbit/s. El overhead, el comportamiento TCP, el punto final, el enrutamiento y la carga pueden influir en el valor. Por lo tanto, no se debe usar una sola medición como prueba definitiva.
Es recomendable realizar varias pruebas en diferentes momentos del día. Si los valores varían mucho, se debe verificar el proveedor, el enlace WAN, el enrutamiento SD-WAN, los errores de interfaz y la carga.
Para soporte o documentación interna, no solo se debe anotar el número. Un conjunto de datos de medición breve ayuda significativamente más tarde:
| Campo | Ejemplo |
|---|---|
| Momento | 2026-06-21 10:15 |
| Firewall y firmware | XGS 2100, SFOS 22.0 MR1 |
| Archivo de prueba | 1GB.bin |
| Tasa medida | 107 MB/s, aproximadamente 856 Mbit/s |
| Enlace WAN activo | WAN1 Fiber |
| Anomalías | copia de seguridad paralela, failover, alta CPU, Packet Capture activo |
Cuando se comparan múltiples mediciones, el archivo de prueba, el destino, la hora y la ruta WAN deben permanecer lo más constantes posible. De lo contrario, se comparan rápidamente la hora del día, la ruta del proveedor o el punto final en lugar del rendimiento real del firewall.
Comparar con pruebas de cliente
El siguiente paso es la comparación con un cliente detrás del firewall. Esto permite delimitar dónde se pierde el rendimiento.
| Prueba | Declaración |
|---|---|
| Descarga directamente en el firewall es rápida | La conexión WAN del firewall probablemente no es el principal cuello de botella |
| Descarga directamente en el firewall es lenta | Verificar proveedor, enlace WAN, enrutamiento, DNS o enlace del firewall |
| Firewall rápido, cliente lento | Verificar cliente, Wi-Fi, switch, regla de firewall, NAT, política de seguridad o inspección TLS |
| Solo aplicaciones individuales lentas | Verificar filtro web, Application Control, DNS, proxy o servidor de destino |
| Solo VPN lenta | Verificar protocolo VPN, MTU/MSS, enrutamiento, reglas de firewall y red del cliente |
Para pruebas de tramo específicas, iPerf es a menudo mejor que una descarga pública. Con iPerf se puede definir dónde están el servidor y el cliente, si se prueba TCP o UDP y qué ancho de banda se espera.
Interpretaciones erróneas típicas
La prueba de velocidad del firewall es rápida, pero los usuarios informan de Internet lento
Entonces, la conexión WAN no es automáticamente inocente, pero el enfoque cambia. Se debe verificar la red del cliente, Wi-Fi, puerto del switch, DNS, regla de firewall, NAT, IPS, Web Protection, Application Control e inspección TLS. Especialmente la inspección TLS o los perfiles de seguridad agresivos pueden tratar el tráfico del cliente de manera muy diferente a una descarga directamente en el firewall.
La prueba de velocidad del navegador es lenta, la prueba de velocidad del firewall es rápida
Esto a menudo indica un problema detrás del firewall o en la ruta del cliente. Sin embargo, se deben probar varios navegadores, un cliente con cable y un segundo destino antes de asumir una causa fija.
La prueba de velocidad del firewall es lenta
Entonces, primero verifique el estado de WAN, la velocidad del enlace, el dúplex, el enrutamiento SD-WAN, el DNS, la interrupción del proveedor y la carga. En caso de múltiples conexiones WAN, debe estar claro a través de qué gateway se realiza la descarga.
Solo el upload es lento
La descarga curl descrita aquí prueba principalmente la dirección de descarga. Para pruebas de upload o bidireccionales, iPerf u otra configuración de prueba definida es más adecuada.
Solución de problemas después de la prueba
Si después de la prueba de velocidad sigue sin estar claro dónde está el problema, se debe continuar de manera estructurada:
- Verificar Log Viewer: ¿Qué regla de firewall afecta al tráfico del cliente?
- Usar Policy Test: Verificar la fuente, el destino, el servicio y el usuario esperados.
- Iniciar Packet Capture: ¿Se ven paquetes, paquetes de respuesta y NAT?
- Verificar estado de la interfaz: Evaluar velocidad del enlace, errores, caídas y carga.
- Verificar características de seguridad: IPS, filtro web, inspección TLS, Application Control.
- Realizar prueba de verificación con iPerf: Probar tramo, TCP/UDP y dirección de manera específica.
Para análisis de reglas y flujo de paquetes, es útil Probar reglas de firewall con Log Viewer, Policy Test y Packet Capture. Para los registros más profundos, ayuda Solución de problemas en Sophos Firewall: Servicios y registros.
Lista de verificación
Antes de la prueba
- Acceso SSH o Advanced Shell conscientemente permitido.
- Momento de la prueba elegido.
- Ruta WAN conocida.
- Suficiente espacio de almacenamiento disponible.
- Objetivo de la medición definido: prueba WAN, comparación de cliente o delimitación de VPN.
Durante la prueba
- Descargar archivo de prueba en
/tmp. - Anotar tasa de descarga y unidad.
- En caso de errores, no confundir DNS, enrutamiento o accesibilidad con velocidad.
- No realizar grandes cambios paralelos en reglas de firewall o SD-WAN.
Después de la prueba
- Eliminar archivo de prueba.
- Convertir resultado a Mbit/s.
- Comparar con prueba de cliente o iPerf.
- En caso de discrepancias, usar Log Viewer, Policy Test y Packet Capture.
- Documentar resultado con hora, enlace WAN y objetivo de prueba.
FAQ
¿Se puede medir la verdadera velocidad de Internet con esta prueba?
¿Debería probarse 100 MB o 1 GB?
¿Es iPerf mejor que curl?
curl es rápido y sencillo para una prueba de descarga WAN. iPerf es mejor si se desea controlar la dirección, el destino, TCP/UDP, la duración y el ancho de banda.