Naar de inhoud
Avanet

Sophos Firewall internetsnelheidstest uitvoeren via SSH

Een internetsnelheidstest in de browser laat niet altijd zien wat de internetverbinding echt kan. Browser, client, WLAN, proxy, IPS, webfilter, TLS Inspection, VPN, NAT en firewallregels kunnen het resultaat beïnvloeden. Soms is het daarom nuttig om direct op de Sophos Firewall te testen om de WAN-verbinding van de firewall te onderscheiden van client- of regelproblemen.

Dit artikel beschrijft een eenvoudige downloadtest via SSH op de Sophos Firewall, de juiste interpretatie van het resultaat en de grenzen ten opzichte van iPerf, Log Viewer of Packet Capture. Vooral belangrijk is de afbakening bij meerdere WAN-aansluitingen: de test meet firewall-eigen downloadverkeer, niet automatisch hetzelfde pad als een client achter de firewall.

Welke prestatietest past?

Een download direct op de firewall is slechts een hulpmiddel. Afhankelijk van de vraagstelling is een andere test meer geschikt:

Deze scheiding voorkomt misinterpretaties. Een snelle firewall-download bewijst niet dat een clientpad, een VPN-verbinding of een TLS-Inspection-regel ook snel moet zijn.

Wat een snelheidstest op de firewall bewijst

Een snelheidstest direct op de firewall beantwoordt een specifieke vraag: Kan de firewall zelf via haar huidige routeringspad een bestand met verwachte snelheid van het internet laden?

Dit is nuttig als je wilt weten:

  • of de WAN-verbinding in principe snel genoeg is
  • of de providerverbinding ongeveer de verwachte downloadsnelheid levert
  • of een probleem eerder voor of achter de firewall ligt
  • of client, WLAN, switch, webfilter, TLS Inspection of VPN in de analyse moeten worden betrokken

De test bewijst echter niet automatisch dat clients achter de firewall dezelfde snelheid moeten bereiken. Clientverkeer loopt door firewallregels, NAT, beveiligingspolicies en afhankelijk van de configuratie door IPS, Web Protection, Application Control of TLS Inspection. De lokale download op de firewall omzeilt delen van deze verwerking en is daarom geschikt als afbakening, niet als volledige end-to-end-test.

Voor de interpretatie van datasheetwaarden, beveiligingsfuncties en werkelijke prestaties is aanvullend Prestatiedata van de Sophos Firewall correct begrijpen geschikt.

Meerdere WAN-aansluitingen en SD-WAN in acht nemen

Bij firewalls met meerdere WAN-links moet men voor de test duidelijk maken via welk pad de firewall zelf het internet op gaat. De download wordt door de Sophos Firewall gegenereerd. Het is daarmee systeemeigen verkeer en volgt niet noodzakelijk dezelfde beslissing als een clientflow die door een firewallregel, NAT-regel of SD-WAN-route wordt verwerkt.

Typische misvattingen:

  • Meerdere WAN-gateways: De firewall-download kan via een ander gateway lopen dan het betreffende clientverkeer
  • SD-WAN-routing voor clients: Client-SD-WAN-regels bewijzen niet automatisch het pad voor firewall-eigen verkeer
  • Failover of backup-WAN actief: De test meet mogelijk net het uitwijkpad
  • Policy-based routing of speciaal NAT: Een clientpad kan anders worden behandeld dan de lokale firewall-download

Bij dergelijke setups moet men het resultaat altijd documenteren met tijdstip, actieve WAN-link en waargenomen gateway. Als systeemeigen verkeer, antwoordpakketten of SD-WAN-beslissingen onduidelijk zijn, is aanvullend Sophos Firewall SD-WAN Routing, Reply Packet en System Traffic begrijpen geschikt.

Vereisten

Voor de test moeten deze punten vervuld zijn:

  • SSH of Advanced Shell toegang is bewust toegestaan, bij voorkeur alleen vanuit een vertrouwd beheernetwerk.
  • De firewall heeft internettoegang en DNS werkt.
  • Er is een onderhoudsvenster of op zijn minst een niet-kritisch tijdstip.
  • Het is duidelijk via welke WAN-interface de firewall de download uitvoert.
  • Er is voldoende vrije schijfruimte voor het testbestand.
  • Het testbestand wordt na de test weer verwijderd.

Voor veilige SSH-toegang is Sophos Firewall verbinden via SSH geschikt. In SFOS wordt SSH onder Administration > Device access via Local service ACL of gerichter via een Local service ACL exception rule toegestaan. SSH moet niet breed vanuit WAN- of Wi-Fi-zones worden toegestaan en na het oplossen van problemen weer tot het noodzakelijke minimum worden beperkt. Sophos Firewall sluit inactieve SSH-sessies na 15 minuten.

⚠️ Een downloadtest genereert echt verkeer en kan de verbinding tijdelijk belasten. Op productieve firewalls moet men dergelijke tests niet tijdens kritieke werktijden of parallel aan back-up-, VoIP- of onderhoudsvensters uitvoeren.

DNS en routing vóór de download controleren

Voordat men een groot testbestand downloadt, moet men kort controleren of naamresolutie en bereikbaarheid in principe werken. Anders verwart men snel DNS-, routing- of providerproblemen met een snelheidstestresultaat.

Open in het CLI-hoofdmenu eerst 4 Device Console en voer eenvoudige controles uit:

dnslookup www.avanet.io
ping www.avanet.io
traceroute www.avanet.io

dnslookup controleert de naamresolutie, ping levert een snelle bereikbaarheidstest en traceroute toont het globale pad naar het doel. Sophos ondersteunt in Device Console bij ping extra parameters zoals interface of sourceip. Dat is handig bij meerdere WAN-verbindingen wanneer men een specifieke bron of interface wil controleren.

Als DNS al faalt, is de daaropvolgende curl-test niet betekenisvol. Controleer dan eerst DNS, default route, WAN-gateway, SD-WAN-beslissing of providerbeschikbaarheid.

Snelheidstest uitvoeren via SSH

Meld u via SSH als admin aan op Sophos Firewall. Selecteer in het CLI-hoofdmenu 5 Device Management en open daarna 3 Advanced Shell. Advanced Shell is een Linux-shell met diepe toegang tot systeemcomponenten. In dit artikel wordt deze alleen gebruikt om een bestand naar /tmp te downloaden en daarna weer te verwijderen.

Laad vervolgens het testbestand in een tijdelijke map, zodat het niet per ongeluk in een ongeschikte werkmap blijft liggen.

cd /tmp
curl -L -o 1GB.bin https://www.avanet.io/1GB.bin

De testserver bevindt zich in Zwitserland en is bedoeld voor een grove meting van de verbinding. Voor kleinere tests kan in plaats van 1GB.bin ook 100MB.bin worden gebruikt:

cd /tmp
curl -L -o 100MB.bin https://www.avanet.io/100MB.bin

Als DNS niet werkt, mislukt de test al bij de naamomzetting. Dan moet niet de verbindingssnelheid worden geanalyseerd, maar eerst DNS, routing en WAN-beschikbaarheid.

Bij firewalls met meerdere WAN-links moet de test niet geïsoleerd worden bekeken. Parallel moet men in de WebAdmin controleren welke WAN-link actief is en of er net een failover, een SD-WAN-wijziging of een providerstoring is.

Testbestand weer verwijderen

Na de test moet het bestand weer worden verwijderd:

rm /tmp/1GB.bin

Bij een test met het kleinere bestand:

rm /tmp/100MB.bin

Als de test is afgebroken, controleer dan toch of er een gedeeltelijk gedownload bestand aanwezig is:

ls -lh /tmp/*GB.bin

Grote testbestanden moeten niet op de firewall blijven liggen. Vooral bij kleine apparaten of al gevulde partities kan onnodig geheugenverbruik later tot moeilijk te achterhalen problemen leiden.

Snelheidstest evalueren

Tijdens en na de download toont curl onder andere de gemiddelde downloadsnelheid. In het voorbeeld ligt de waarde rond 107 MB/s.

Sophos Firewall snelheidstest van de internetverbinding
Sophos Firewall snelheidstest van de internetverbinding

Belangrijk is de eenheid:

  • MB/s betekent megabyte per seconde.
  • Mbit/s of Mbps betekent megabit per seconde.
  • 1 byte komt overeen met 8 bit.

Als grove omrekening geldt:

MB/s x 8 = Mbit/s

107 MB/s komt dus ongeveer overeen met 856 Mbit/s. Overhead, TCP-gedrag, tegenpartij, routing en belasting kunnen de waarde beïnvloeden. Daarom moet men niet een enkele meting als definitief bewijs gebruiken.

Downloadsnelheid omrekenen
Downloadsnelheid omrekenen

Meerdere tests op verschillende tijdstippen zijn zinvol. Als de waarden sterk fluctueren, moet men provider, WAN-link, SD-WAN-routing, interfacefouten en belasting controleren.

Voor ondersteuning of interne documentatie moet men niet alleen het getal noteren. Een korte meetdataset helpt later aanzienlijk:

  • Tijdstip: 2026-06-21 10:15
  • Firewall en firmware: XGS 2100, SFOS 22.0 MR1
  • Testbestand: 1GB.bin
  • Gemeten snelheid: 107 MB/s, ongeveer 856 Mbit/s
  • Actieve WAN-link: WAN1 Fiber
  • Opvallendheden: parallelle back-up, failover, hoge CPU, Packet Capture actief

Als meerdere metingen worden vergeleken, moeten testbestand, doel, tijdstip en WAN-pad zo veel mogelijk gelijk blijven. Anders vergelijkt men snel tijdstip, providerpad of tegenpartij in plaats van de eigenlijke firewallprestaties.

Vergelijken met clienttests

De volgende stap is de vergelijking met een client achter de firewall. Hierdoor kan men bepalen waar prestaties verloren gaan.

  • Download direct op de firewall is snel: WAN-verbinding van de firewall is waarschijnlijk niet de belangrijkste bottleneck
  • Download direct op de firewall is traag: Provider, WAN-link, routing, DNS of firewall-uplink controleren
  • Firewall snel, client traag: Client, WLAN, switch, firewallregel, NAT, beveiligingspolicy of TLS Inspection controleren
  • Alleen specifieke toepassingen traag: Webfilter, Application Control, DNS, proxy of doelserver controleren
  • Alleen VPN traag: VPN-protocol, MTU/MSS, routing, firewallregels en clientnetwerk controleren

Voor gerichte trajecttests is iPerf vaak beter dan een openbare download. Met iPerf kan men bepalen waar server en client staan, of TCP of UDP wordt getest en welke bandbreedte wordt verwacht.

Typische misinterpretaties

Firewall-snelheidstest is snel, gebruikers melden toch traag internet

Dan is de WAN-verbinding niet automatisch onschuldig, maar verschuift de focus. Men moet clientnetwerk, WLAN, switchpoort, DNS, firewallregel, NAT, IPS, Web Protection, Application Control en TLS Inspection controleren. Vooral TLS Inspection of agressieve beveiligingsprofielen kunnen clientverkeer aanzienlijk anders behandelen dan een download direct op de firewall.

Browser-snelheidstest is traag, firewall-snelheidstest is snel

Dit wijst vaak op een probleem achter de firewall of in het clientpad. Toch moet men meerdere browsers, een bekabelde client en een tweede doel testen voordat men een vaste oorzaak aanneemt.

Firewall-snelheidstest is traag

Dan eerst WAN-status, link-snelheid, duplex, SD-WAN-routing, DNS, providerstoring en belasting controleren. Bij meerdere WAN-aansluitingen moet duidelijk zijn via welke gateway de download loopt.

Alleen upload is traag

De hier beschreven curl-download test primair de downloadrichting. Voor upload- of bidirectionele tests is iPerf of een andere gedefinieerde testopstelling beter geschikt.

Problemen oplossen na de test

Als na de snelheidstest onduidelijk blijft waar het probleem ligt, moet men gestructureerd verdergaan:

  1. Device Console controleren: dnslookup, ping en traceroute gebruiken voordat downloadwaarden worden geïnterpreteerd.
  2. Log Viewer controleren: Welke firewallregel treft het clientverkeer?
  3. Policy Test gebruiken: Verwachte bron, bestemming, service en gebruiker controleren.
  4. Packet Capture starten: Ziet men pakketten, antwoordpakketten en NAT?
  5. Interface-status controleren: Link-snelheid, fouten, drops en belasting beoordelen.
  6. Beveiligingsfuncties controleren: IPS, webfilter, TLS Inspection, Application Control.
  7. Tegenproef met iPerf uitvoeren: Traject, TCP/UDP en richting gericht testen.

Voor regel- en pakketstroomanalyses is Firewallregel testen met Log Viewer, Policy Test en Packet Capture geschikt. Voor de diepere logbestanden helpt Sophos Firewall Troubleshooting: Services en Logs.

Checklist

Voor de test

  • SSH of Advanced Shell toegang bewust toegestaan.
  • Device Access of Local Service ACL exception rule voor SSH netjes beperkt.
  • DNS en bereikbaarheid via Device Console gecontroleerd.
  • Testtijdstip gekozen.
  • WAN-pad bekend.
  • Voldoende opslagruimte beschikbaar.
  • Doel van de meting gedefinieerd: WAN-test, clientvergelijking of VPN-afbakening.

Tijdens de test

  • Testbestand naar /tmp downloaden.
  • Downloadsnelheid en eenheid noteren.
  • Bij fouten DNS, routing of bereikbaarheid niet met snelheid verwarren.
  • Geen parallelle grote wijzigingen aan firewallregels of SD-WAN uitvoeren.

Na de test

  • Testbestand verwijderen.
  • Resultaat omrekenen naar Mbit/s.
  • Vergelijken met client- of iPerf-test.
  • Bij afwijkingen Log Viewer, Policy Test en Packet Capture gebruiken.
  • Resultaat met tijdstip, WAN-link en testdoel documenteren.

FAQ

Kan men met deze test de echte internetsnelheid meten?

Men meet de downloadsnelheid van de firewall naar een specifiek testdoel. Dit is een goede indicatie van de WAN-verbinding, maar geen volledige end-to-end-test voor clients achter de firewall.

Waarom is een browser-snelheidstest achter de firewall anders?

Clientverkeer kan worden beïnvloed door WLAN, switches, firewallregels, NAT, IPS, Web Protection, TLS Inspection of Application Control. Een download direct op de firewall gebruikt niet hetzelfde verwerkingspad.

Moet men 100 MB of 1 GB testen?

Voor snelle verbindingen is 1 GB meerzeggend, omdat de test langer duurt. Voor korte controles of kleinere aansluitingen volstaat vaak 100 MB. Op kleine firewalls of bij beperkte opslag moet voorzichtig worden getest en daarna worden verwijderd.

Is iPerf beter dan curl?

Voor gerichte prestatieanalyses meestal wel. curl is snel en eenvoudig voor een WAN-downloadtest. iPerf is beter als men richting, doel, TCP/UDP, duur en bandbreedte wil controleren.

Is de curl-test een officiële Sophos-speedtest?

Nee. Sophos documenteert CLI-toegang, Device Console en Advanced Shell, maar geen eigen officiële internetsnelheidstest via curl. De test is een praktische Avanet-methode om de WAN-verbinding af te bakenen en moet worden aangevuld met clienttests, logs of iPerf.

Waarom moet het testbestand worden verwijderd?

De firewall is geen bestandsserver. Grote testbestanden verbruiken opslagruimte en kunnen bij kleine apparaten of volle partities later problemen veroorzaken.

Waarom kan de firewall-snelheidstest bij meerdere WAN's anders uitvallen dan een clienttest?

De test wordt door de firewall zelf gegenereerd. Hierdoor kan hij een ander routeringspad gebruiken dan clientverkeer, dat door firewallregels, NAT of SD-WAN-routes loopt. Bij meerdere WAN-links moet het actieve pad daarom altijd worden gedocumenteerd.