Zum Inhalt springen
Avanet

Sophos Firewall Performance mit iPerf testen

iPerf ist ein gutes Werkzeug, wenn die Performance einer konkreten Netzwerkstrecke gemessen werden soll. Bei einer Sophos Firewall betrifft das zum Beispiel Tests zwischen zwei internen Netzen, über eine Site-to-Site-VPN-Verbindung, über Remote Access VPN oder zwischen einem Client hinter der Firewall und einem Server im Internet.

Ein iPerf-Test ersetzt keinen normalen Anwendungstest und auch keinen reinen WAN-Speedtest direkt auf der Firewall. Er beantwortet eine andere Frage: Wie viel TCP- oder UDP-Durchsatz erreicht diese eine Strecke zwischen zwei definierten Endpunkten unter den gewählten Testbedingungen?

Einsatzbereich und Messmodell

iPerf ist dann sinnvoll, wenn man eine konkrete Strecke reproduzierbar messen möchte. Bevor man Befehle ausführt, sollte klar sein, was gemessen wird und was der Test bewusst nicht beantwortet.

Wann iPerf sinnvoll ist

iPerf hilft vor allem dann, wenn eine Performance-Aussage reproduzierbar sein muss:

  • nach einer Firewall-Migration oder einem Modellwechsel
  • vor und nach Änderungen an Firewall-Regeln, IPS, TLS Inspection oder Traffic Shaping
  • bei langsamen Verbindungen zwischen VLANs oder Standorten
  • bei VPN-Performance-Problemen über IPsec, SSL VPN oder Sophos Connect
  • bei UDP-Themen wie Voice, Konferenz-Streams oder bestimmten Branchenanwendungen
  • zur Abgrenzung zwischen Firewall, WAN, WLAN, Client, Server und Anwendung

Für einen reinen Internettest aus Sicht der Firewall ist der Artikel Internet Speedtest über die Sophos Firewall CLI besser geeignet. Für die Einordnung der Firewall-Auslastung passt zusätzlich Sophos Firewall Performance-Metriken prüfen.

Was iPerf misst

iPerf baut eine Testverbindung zwischen einem Server und einem Client auf. Der gemessene Wert gilt deshalb für genau diesen Pfad, diese Richtung, diesen Port, dieses Protokoll und diese Endpunkte.

Wichtig ist die richtige Interpretation:

  • TCP zeigt erreichbaren Durchsatz mit Staukontrolle, Retransmits und Fenstergrössen.
  • UDP zeigt Paketverlust und Jitter, benötigt aber eine definierte Zielbandbreite.
  • Ein einzelner Testlauf ist keine belastbare Kapazitätsaussage.
  • WLAN, Client-CPU, virtuelle Maschinen, USB-Netzwerkadapter und Energiesparfunktionen können die Messung begrenzen.
  • Security-Funktionen auf der Sophos Firewall wirken nur dann auf das Ergebnis, wenn die Testverbindung durch eine passende Regel und Policy läuft.

Testaufbau planen

Vor dem ersten Befehl sollte klar sein, welche Strecke geprüft wird:

  1. Wo steht der iPerf-Server?
  2. Wo steht der iPerf-Client?
  3. In welche Richtung soll getestet werden?
  4. Welche Firewall-Regel greift für diese Verbindung?
  5. Gibt es NAT, VPN, Traffic Shaping, IPS oder TLS Inspection auf dem Pfad?
  6. Läuft der Test über Kabel oder WLAN?
  7. Soll TCP-Durchsatz, UDP-Verlust oder beides geprüft werden?

Für Tests hinter einer Sophos Firewall ist ein sauberer Aufbau meist wichtiger als der einzelne Maximalwert. Ein Client im WLAN, ein überlasteter Hypervisor oder ein langsamer Public-iPerf-Server kann ein falsches Firewall-Problem vortäuschen.

iPerf installieren

iPerf ist für Windows, macOS, Linux, Android und iOS verfügbar. Eine bekannte Download-Quelle ist iPerf.fr.

iPerf3 Speedtest Tool unter Windows
iPerf3 unter Windows

Für produktive Messungen ist iPerf3 die übliche Wahl. Server und Client sollten möglichst dieselbe Hauptversion verwenden.

iPerf ausführen

Wenn der Testaufbau klar ist, startet man zuerst den Server und führt danach gezielte Client-Tests aus. TCP, UDP, Gegenrichtung und parallele Streams beantworten unterschiedliche Fragen und sollten deshalb nicht vermischt werden.

iPerf-Server starten

Auf dem Zielsystem wird iPerf im Servermodus gestartet:

iperf3 -s

Standardmässig wartet iPerf3 auf TCP-Port 5201. Wenn ein anderer Port verwendet werden soll, wird er auf Server und Client gleich angegeben:

iperf3 -s -p 5200

Achtung: Auf Windows, macOS oder Linux kann die lokale Host-Firewall den iPerf-Port blockieren. Wenn der Client den Server nicht erreicht, sollte zuerst die lokale Firewall auf dem iPerf-Server geprüft werden.

TCP-Test starten

Auf dem Client wird der Server mit seiner IP-Adresse angesprochen:

iperf3 -c 10.10.10.50

Für stabilere Ergebnisse ist ein längerer Test sinnvoll:

iperf3 -c 10.10.10.50 -t 30
iPerf Speedtest der TCP-Performance
iPerf Speedtest der TCP-Performance

Wenn eine Sophos Firewall zwischen Client und Server steht, muss die passende Firewall-Regel den Verkehr erlauben. Bei unklarer Regelzuordnung hilft Sophos Firewall-Regeln gezielt testen. Bei Verbindungsproblemen sind Packet Capture auf der Sophos Firewall und Sophos Firewall Service Logs prüfen die nächsten Schritte.

Richtung gezielt prüfen

Performance-Probleme treten oft nur in einer Richtung auf. iPerf3 kann den Datenfluss umkehren, ohne Server und Client zu tauschen:

iperf3 -c 10.10.10.50 -t 30 -R

Das ist besonders nützlich bei VPN-Strecken, asymmetrischem Routing, Upload-Problemen oder WAN-Leitungen mit unterschiedlicher Downstream- und Upstream-Bandbreite.

UDP-Test durchführen

UDP muss immer mit einer sinnvollen Zielbandbreite getestet werden. Ohne passende Zielbandbreite misst der Test nicht die real erwartete Last.

iperf3 -c 10.10.10.50 -u -b 100M -t 30

Für eine 1-Gbit-Strecke kann ein höherer Zielwert sinnvoll sein:

iperf3 -c 10.10.10.50 -u -b 1G -t 30

Bei UDP sind vor allem diese Werte wichtig:

  • Lost/Total Datagrams: Paketverlust
  • Jitter: Schwankung der Paketlaufzeit
  • Bitrate: effektiv gesendete oder empfangene Bandbreite

Ein UDP-Test mit zu hoher Zielbandbreite erzeugt absichtlich Überlast. Das kann für Grenztests nützlich sein, darf aber nicht als normaler Leitungstest missverstanden werden.

Mehrere Streams verwenden

Ein einzelner TCP-Stream kann durch Latenz, TCP Window Size oder Client-Leistung begrenzt sein. Für Kapazitätstests kann man mehrere parallele Streams verwenden:

iperf3 -c 10.10.10.50 -t 30 -P 4

Das Ergebnis zeigt eher die nutzbare Gesamtkapazität der Strecke. Für eine einzelne Anwendung ist ein Single-Stream-Test trotzdem oft aussagekräftiger.

Public-iPerf-Server verwenden

Für grobe Internetvergleiche kann ein öffentlicher iPerf-Server genutzt werden. Public-Server sind aber nicht kontrollierbar: Auslastung, Limitierung, Erreichbarkeit und Entfernung können stark schwanken. Eine gepflegte Übersicht findet man zum Beispiel in der Liste der iPerf Public Server auf GitHub.

Wenn es um die Frage geht, ob die lokale Firewall, das VPN oder eine bestimmte Policy bremst, ist ein eigener iPerf-Server auf der Gegenseite meist deutlich zuverlässiger.

Vergleichsmessung und Auswertung

Ein einzelner iPerf-Wert ist selten genug. Aussagekräftig wird der Test erst, wenn Richtung, Parameter, Firewall-Regel und Messzeitpunkt dokumentiert und später mit denselben Bedingungen wiederholt werden.

Baseline und Vergleichsmessung planen

iPerf ist besonders wertvoll, wenn vor und nach einer Änderung vergleichbar gemessen wird. Ein einzelner Test nach einer Beschwerde zeigt nur den aktuellen Zustand. Er sagt noch nicht, ob die Strecke schon vorher gleich langsam war oder ob eine neue Firewall-Regel, ein IPS-Profil, TLS Inspection, Traffic Shaping, ein VPN-Parameter oder ein Providerproblem die Änderung ausgelöst hat.

Für belastbare Vergleiche sollte man diese Testbedingungen festhalten:

  • Datum und Uhrzeit: Backups, Updates, Reports oder Providerlast können Ergebnisse verfälschen.
  • Quelle und Ziel: Andere Clients, Server oder VLANs ergeben andere Pfade.
  • Richtung: Download, Upload und -R können sehr unterschiedliche Werte zeigen.
  • Protokoll und Parameter: TCP, UDP, Streams, Dauer und Zielbandbreite müssen vergleichbar bleiben.
  • Greifende Firewall-Regel: Security-Profile, Logging, NAT und Traffic Shaping hängen an der Policy.
  • VPN- oder WAN-Pfad: SD-WAN, Route Precedence, Gateway-Status und Tunneltyp beeinflussen die Strecke.
  • Umgebung: Kabel, WLAN, Hypervisor, CPU-Last und paralleler Traffic müssen eingeordnet werden.

Bei geplanten Änderungen ist ein einfacher Ablauf sinnvoll:

  1. Vor der Änderung einen Referenztest durchführen.
  2. Firewall-Regel, Policy, VPN-Pfad und Messparameter dokumentieren.
  3. Genau eine Änderung durchführen.
  4. Denselben Test erneut ausführen.
  5. Bei Abweichungen Log Viewer, Packet Capture, Interface-Fehler und Systemlast prüfen.
  6. Erst danach die nächste Änderung testen.

Gerade bei VPN- und Standorttests verhindert dieses Vorgehen, dass mehrere Ursachen vermischt werden. Wenn gleichzeitig MTU, IPS, SD-WAN, Firewall-Regeln und Clientprofile angepasst werden, ist ein besserer iPerf-Wert später kaum noch sauber zuzuordnen.

Ergebnisse auswerten

Bei der Auswertung sollte nicht nur auf die höchste Mbit/s-Zahl geachtet werden.

Typische Beobachtungen:

  • Niedriger TCP-Durchsatz mit vielen Retransmits: Das deutet auf Paketverlust, Duplex-/Linkproblem, WAN-Qualität oder ein MTU/MSS-Thema hin.
  • Guter Download, schlechter Upload: Möglich sind asymmetrische Leitung, Routing, Provider-Shaping oder VPN-Richtung.
  • UDP-Paketverlust schon bei moderater Last: Häufige Ursachen sind Überlast, schlechte WAN-Qualität, falsches Shaping oder WLAN.
  • Stark schwankende Werte: Parallele Last, WLAN, CPU-Limit oder virtuelle Umgebung prüfen.
  • Nur Public-Server langsam: Dann ist eher externer Server oder Peering betroffen, nicht automatisch die lokale Firewall.

Während des Tests sollten auf der Sophos Firewall CPU, RAM, Interface-Last, IPS-Last und betroffene Regeln geprüft werden. Die Werte lassen sich mit den Performance-Metriken und den Live Logs besser einordnen.

Fehler und Checkliste

Viele falsche Schlussfolgerungen entstehen, weil der Testpfad nicht sauber definiert ist oder Public-Server, WLAN, lokale Host-Firewalls und VPN-Richtung nicht berücksichtigt werden.

Häufige Fehler

  • Der iPerf-Port ist auf dem Server durch die lokale Host-Firewall blockiert.
  • Die falsche Richtung wird getestet.
  • Ein WLAN-Client wird für eine Firewall-Performance-Aussage verwendet.
  • UDP wird ohne passende Zielbandbreite oder mit unrealistisch hoher Zielbandbreite getestet.
  • Ein öffentlicher iPerf-Server wird als alleiniger Beweis für die eigene Internetleistung verwendet.
  • TCP Single Stream und mehrere parallele TCP-Streams werden vermischt.
  • Die greifende Sophos Firewall-Regel wird nicht geprüft.
  • VPN-Tests werden ohne Blick auf MTU, MSS, CPU und Gegenstelle bewertet.

Kurze Checkliste

  1. Teststrecke und Richtung definieren.
  2. iPerf-Server auf einem geeigneten Endpunkt starten.
  3. Lokale Host-Firewall auf dem iPerf-Server prüfen.
  4. Passende Sophos Firewall-Regel identifizieren.
  5. TCP-Test mit mindestens 30 Sekunden Laufzeit ausführen.
  6. Bei Bedarf Gegenrichtung mit -R testen.
  7. UDP nur mit realistischer Zielbandbreite testen.
  8. Firewall-Metriken, Logs und Packet Capture parallel prüfen.
  9. Test nach Änderungen wiederholen und Ergebnisse dokumentieren.
  10. Bei Vergleichsmessungen dieselben Parameter, dieselbe Richtung und denselben Pfad verwenden.

FAQ

Misst iPerf die Internetgeschwindigkeit der Sophos Firewall?

iPerf misst den Durchsatz zwischen zwei definierten Endpunkten. Für einen WAN-Test direkt auf der Firewall ist ein separater Firewall-Speedtest per SSH passender. Für VPN, VLANs, Standortverbindungen oder Client-zu-Server-Strecken ist iPerf oft aussagekräftiger.

Sollte man einen öffentlichen iPerf-Server verwenden?

Öffentliche iPerf-Server eignen sich höchstens für grobe Vergleiche. Für belastbare Firewall-, VPN- oder Standorttests ist ein eigener iPerf-Server auf der Gegenseite besser, weil Auslastung, Entfernung, Peering und Limits des Public-Servers sonst das Ergebnis verfälschen können.

Warum sind TCP- und UDP-Ergebnisse unterschiedlich?

TCP reagiert auf Paketverlust, Latenz und Retransmits mit Staukontrolle. UDP sendet mit einer vorgegebenen Zielbandbreite und zeigt vor allem Verlust, Jitter und erreichte Bitrate. Beide Tests beantworten unterschiedliche Fragen und sollten nicht direkt gleichgesetzt werden.

Warum sollte man mit -R die Gegenrichtung testen?

Viele Performance-Probleme treten nur in einer Richtung auf. -R dreht die Datenrichtung um, ohne Server und Client zu tauschen. Das hilft bei asymmetrischen Leitungen, VPN-Rückwegen, SD-WAN-Pfaden oder Upload-Problemen.

Beweist ein langsamer iPerf-Test ein Firewall-Problem?

Nein. Ein langsamer iPerf-Test zeigt zuerst nur, dass diese konkrete Strecke unter den gewählten Bedingungen langsam ist. Danach müssen Firewall-Regel, NAT, VPN-Pfad, MTU/MSS, WAN-Qualität, Client, Server, WLAN und parallele Last getrennt geprüft werden.