Sophos Firewall Performance mit iPerf testen
iPerf ist ein gutes Werkzeug, wenn die Performance einer konkreten Netzwerkstrecke gemessen werden soll. Bei einer Sophos Firewall betrifft das zum Beispiel Tests zwischen zwei internen Netzen, über eine Site-to-Site-VPN-Verbindung, über Remote Access VPN oder zwischen einem Client hinter der Firewall und einem Server im Internet.
Ein iPerf-Test ersetzt keinen normalen Anwendungstest und auch keinen reinen WAN-Speedtest direkt auf der Firewall. Er beantwortet eine andere Frage: Wie viel TCP- oder UDP-Durchsatz erreicht diese eine Strecke zwischen zwei definierten Endpunkten unter den gewählten Testbedingungen?
Einsatzbereich und Messmodell
iPerf ist dann sinnvoll, wenn man eine konkrete Strecke reproduzierbar messen möchte. Bevor man Befehle ausführt, sollte klar sein, was gemessen wird und was der Test bewusst nicht beantwortet.
Wann iPerf sinnvoll ist
iPerf hilft vor allem dann, wenn eine Performance-Aussage reproduzierbar sein muss:
- nach einer Firewall-Migration oder einem Modellwechsel
- vor und nach Änderungen an Firewall-Regeln, IPS, TLS Inspection oder Traffic Shaping
- bei langsamen Verbindungen zwischen VLANs oder Standorten
- bei VPN-Performance-Problemen über IPsec, SSL VPN oder Sophos Connect
- bei UDP-Themen wie Voice, Konferenz-Streams oder bestimmten Branchenanwendungen
- zur Abgrenzung zwischen Firewall, WAN, WLAN, Client, Server und Anwendung
Für einen reinen Internettest aus Sicht der Firewall ist der Artikel Internet Speedtest über die Sophos Firewall CLI besser geeignet. Für die Einordnung der Firewall-Auslastung passt zusätzlich Sophos Firewall Performance-Metriken prüfen.
Was iPerf misst
iPerf baut eine Testverbindung zwischen einem Server und einem Client auf. Der gemessene Wert gilt deshalb für genau diesen Pfad, diese Richtung, diesen Port, dieses Protokoll und diese Endpunkte.
Wichtig ist die richtige Interpretation:
- TCP zeigt erreichbaren Durchsatz mit Staukontrolle, Retransmits und Fenstergrössen.
- UDP zeigt Paketverlust und Jitter, benötigt aber eine definierte Zielbandbreite.
- Ein einzelner Testlauf ist keine belastbare Kapazitätsaussage.
- WLAN, Client-CPU, virtuelle Maschinen, USB-Netzwerkadapter und Energiesparfunktionen können die Messung begrenzen.
- Security-Funktionen auf der Sophos Firewall wirken nur dann auf das Ergebnis, wenn die Testverbindung durch eine passende Regel und Policy läuft.
Testaufbau planen
Vor dem ersten Befehl sollte klar sein, welche Strecke geprüft wird:
- Wo steht der iPerf-Server?
- Wo steht der iPerf-Client?
- In welche Richtung soll getestet werden?
- Welche Firewall-Regel greift für diese Verbindung?
- Gibt es NAT, VPN, Traffic Shaping, IPS oder TLS Inspection auf dem Pfad?
- Läuft der Test über Kabel oder WLAN?
- Soll TCP-Durchsatz, UDP-Verlust oder beides geprüft werden?
Für Tests hinter einer Sophos Firewall ist ein sauberer Aufbau meist wichtiger als der einzelne Maximalwert. Ein Client im WLAN, ein überlasteter Hypervisor oder ein langsamer Public-iPerf-Server kann ein falsches Firewall-Problem vortäuschen.
iPerf installieren
iPerf ist für Windows, macOS, Linux, Android und iOS verfügbar. Eine bekannte Download-Quelle ist iPerf.fr.

Für produktive Messungen ist iPerf3 die übliche Wahl. Server und Client sollten möglichst dieselbe Hauptversion verwenden.
iPerf ausführen
Wenn der Testaufbau klar ist, startet man zuerst den Server und führt danach gezielte Client-Tests aus. TCP, UDP, Gegenrichtung und parallele Streams beantworten unterschiedliche Fragen und sollten deshalb nicht vermischt werden.
iPerf-Server starten
Auf dem Zielsystem wird iPerf im Servermodus gestartet:
iperf3 -s
Standardmässig wartet iPerf3 auf TCP-Port 5201. Wenn ein anderer Port verwendet werden soll, wird er auf Server und Client gleich angegeben:
iperf3 -s -p 5200
Achtung: Auf Windows, macOS oder Linux kann die lokale Host-Firewall den iPerf-Port blockieren. Wenn der Client den Server nicht erreicht, sollte zuerst die lokale Firewall auf dem iPerf-Server geprüft werden.
TCP-Test starten
Auf dem Client wird der Server mit seiner IP-Adresse angesprochen:
iperf3 -c 10.10.10.50
Für stabilere Ergebnisse ist ein längerer Test sinnvoll:
iperf3 -c 10.10.10.50 -t 30

Wenn eine Sophos Firewall zwischen Client und Server steht, muss die passende Firewall-Regel den Verkehr erlauben. Bei unklarer Regelzuordnung hilft Sophos Firewall-Regeln gezielt testen. Bei Verbindungsproblemen sind Packet Capture auf der Sophos Firewall und Sophos Firewall Service Logs prüfen die nächsten Schritte.
Richtung gezielt prüfen
Performance-Probleme treten oft nur in einer Richtung auf. iPerf3 kann den Datenfluss umkehren, ohne Server und Client zu tauschen:
iperf3 -c 10.10.10.50 -t 30 -R
Das ist besonders nützlich bei VPN-Strecken, asymmetrischem Routing, Upload-Problemen oder WAN-Leitungen mit unterschiedlicher Downstream- und Upstream-Bandbreite.
UDP-Test durchführen
UDP muss immer mit einer sinnvollen Zielbandbreite getestet werden. Ohne passende Zielbandbreite misst der Test nicht die real erwartete Last.
iperf3 -c 10.10.10.50 -u -b 100M -t 30
Für eine 1-Gbit-Strecke kann ein höherer Zielwert sinnvoll sein:
iperf3 -c 10.10.10.50 -u -b 1G -t 30
Bei UDP sind vor allem diese Werte wichtig:
- Lost/Total Datagrams: Paketverlust
- Jitter: Schwankung der Paketlaufzeit
- Bitrate: effektiv gesendete oder empfangene Bandbreite
Ein UDP-Test mit zu hoher Zielbandbreite erzeugt absichtlich Überlast. Das kann für Grenztests nützlich sein, darf aber nicht als normaler Leitungstest missverstanden werden.
Mehrere Streams verwenden
Ein einzelner TCP-Stream kann durch Latenz, TCP Window Size oder Client-Leistung begrenzt sein. Für Kapazitätstests kann man mehrere parallele Streams verwenden:
iperf3 -c 10.10.10.50 -t 30 -P 4
Das Ergebnis zeigt eher die nutzbare Gesamtkapazität der Strecke. Für eine einzelne Anwendung ist ein Single-Stream-Test trotzdem oft aussagekräftiger.
Public-iPerf-Server verwenden
Für grobe Internetvergleiche kann ein öffentlicher iPerf-Server genutzt werden. Public-Server sind aber nicht kontrollierbar: Auslastung, Limitierung, Erreichbarkeit und Entfernung können stark schwanken. Eine gepflegte Übersicht findet man zum Beispiel in der Liste der iPerf Public Server auf GitHub.
Wenn es um die Frage geht, ob die lokale Firewall, das VPN oder eine bestimmte Policy bremst, ist ein eigener iPerf-Server auf der Gegenseite meist deutlich zuverlässiger.
Vergleichsmessung und Auswertung
Ein einzelner iPerf-Wert ist selten genug. Aussagekräftig wird der Test erst, wenn Richtung, Parameter, Firewall-Regel und Messzeitpunkt dokumentiert und später mit denselben Bedingungen wiederholt werden.
Baseline und Vergleichsmessung planen
iPerf ist besonders wertvoll, wenn vor und nach einer Änderung vergleichbar gemessen wird. Ein einzelner Test nach einer Beschwerde zeigt nur den aktuellen Zustand. Er sagt noch nicht, ob die Strecke schon vorher gleich langsam war oder ob eine neue Firewall-Regel, ein IPS-Profil, TLS Inspection, Traffic Shaping, ein VPN-Parameter oder ein Providerproblem die Änderung ausgelöst hat.
Für belastbare Vergleiche sollte man diese Testbedingungen festhalten:
- Datum und Uhrzeit: Backups, Updates, Reports oder Providerlast können Ergebnisse verfälschen.
- Quelle und Ziel: Andere Clients, Server oder VLANs ergeben andere Pfade.
- Richtung: Download, Upload und
-Rkönnen sehr unterschiedliche Werte zeigen. - Protokoll und Parameter: TCP, UDP, Streams, Dauer und Zielbandbreite müssen vergleichbar bleiben.
- Greifende Firewall-Regel: Security-Profile, Logging, NAT und Traffic Shaping hängen an der Policy.
- VPN- oder WAN-Pfad: SD-WAN, Route Precedence, Gateway-Status und Tunneltyp beeinflussen die Strecke.
- Umgebung: Kabel, WLAN, Hypervisor, CPU-Last und paralleler Traffic müssen eingeordnet werden.
Bei geplanten Änderungen ist ein einfacher Ablauf sinnvoll:
- Vor der Änderung einen Referenztest durchführen.
- Firewall-Regel, Policy, VPN-Pfad und Messparameter dokumentieren.
- Genau eine Änderung durchführen.
- Denselben Test erneut ausführen.
- Bei Abweichungen Log Viewer, Packet Capture, Interface-Fehler und Systemlast prüfen.
- Erst danach die nächste Änderung testen.
Gerade bei VPN- und Standorttests verhindert dieses Vorgehen, dass mehrere Ursachen vermischt werden. Wenn gleichzeitig MTU, IPS, SD-WAN, Firewall-Regeln und Clientprofile angepasst werden, ist ein besserer iPerf-Wert später kaum noch sauber zuzuordnen.
Ergebnisse auswerten
Bei der Auswertung sollte nicht nur auf die höchste Mbit/s-Zahl geachtet werden.
Typische Beobachtungen:
- Niedriger TCP-Durchsatz mit vielen Retransmits: Das deutet auf Paketverlust, Duplex-/Linkproblem, WAN-Qualität oder ein MTU/MSS-Thema hin.
- Guter Download, schlechter Upload: Möglich sind asymmetrische Leitung, Routing, Provider-Shaping oder VPN-Richtung.
- UDP-Paketverlust schon bei moderater Last: Häufige Ursachen sind Überlast, schlechte WAN-Qualität, falsches Shaping oder WLAN.
- Stark schwankende Werte: Parallele Last, WLAN, CPU-Limit oder virtuelle Umgebung prüfen.
- Nur Public-Server langsam: Dann ist eher externer Server oder Peering betroffen, nicht automatisch die lokale Firewall.
Während des Tests sollten auf der Sophos Firewall CPU, RAM, Interface-Last, IPS-Last und betroffene Regeln geprüft werden. Die Werte lassen sich mit den Performance-Metriken und den Live Logs besser einordnen.
Fehler und Checkliste
Viele falsche Schlussfolgerungen entstehen, weil der Testpfad nicht sauber definiert ist oder Public-Server, WLAN, lokale Host-Firewalls und VPN-Richtung nicht berücksichtigt werden.
Häufige Fehler
- Der iPerf-Port ist auf dem Server durch die lokale Host-Firewall blockiert.
- Die falsche Richtung wird getestet.
- Ein WLAN-Client wird für eine Firewall-Performance-Aussage verwendet.
- UDP wird ohne passende Zielbandbreite oder mit unrealistisch hoher Zielbandbreite getestet.
- Ein öffentlicher iPerf-Server wird als alleiniger Beweis für die eigene Internetleistung verwendet.
- TCP Single Stream und mehrere parallele TCP-Streams werden vermischt.
- Die greifende Sophos Firewall-Regel wird nicht geprüft.
- VPN-Tests werden ohne Blick auf MTU, MSS, CPU und Gegenstelle bewertet.
Kurze Checkliste
- Teststrecke und Richtung definieren.
- iPerf-Server auf einem geeigneten Endpunkt starten.
- Lokale Host-Firewall auf dem iPerf-Server prüfen.
- Passende Sophos Firewall-Regel identifizieren.
- TCP-Test mit mindestens 30 Sekunden Laufzeit ausführen.
- Bei Bedarf Gegenrichtung mit
-Rtesten. - UDP nur mit realistischer Zielbandbreite testen.
- Firewall-Metriken, Logs und Packet Capture parallel prüfen.
- Test nach Änderungen wiederholen und Ergebnisse dokumentieren.
- Bei Vergleichsmessungen dieselben Parameter, dieselbe Richtung und denselben Pfad verwenden.
FAQ
Misst iPerf die Internetgeschwindigkeit der Sophos Firewall?
Sollte man einen öffentlichen iPerf-Server verwenden?
Warum sind TCP- und UDP-Ergebnisse unterschiedlich?
Warum sollte man mit -R die Gegenrichtung testen?
-R dreht die Datenrichtung um, ohne Server und Client zu tauschen. Das hilft bei asymmetrischen Leitungen, VPN-Rückwegen, SD-WAN-Pfaden oder Upload-Problemen.