Qué locura. Me he llevado literalmente un día y medio con este problema.

Trabajo con un firewall Fortigate 60C, y ya había notado que el rendimiento de la conexión (especialmente en subida) no iba del todo fino. Haciendo pruebas con speedtest-cli, daba buenos resultados, pero después descargando archivos desde fuera o con iperf, la velocidad era bastante baja.

Después de hacer decenas de pruebas, me quedó claro que el problema venía del firewall, no de la conexión del ISP ni de la conexión de mi casa, que era el destino con el que estaba haciendo pruebas. Traffic shaping, el puñetero firewall por defecto hace traffic shaping y limita bastante el ancho de banda por conexión. No he visto esto documentado por ningún sitio. Es más, para FortiOS 4 (mi firewall corre el 5) sí que he leído que por defecto el firewall aplica traffic shaping con high priority, pero esto en mi caso no era cierto. Configuré a mano traffic shaping con prioiridad alta para determinadas políticas, y listo, como un tiro.
Una de las primeras cosas que hice fue esto, probar a habilitar traffic shaping a mano, pero se ve que algo hice mal y no me salío, así que lo descarté, pero ya me iba quedando sin ideas y probé de nuevo a habilitarlo, y menos mal que lo hice porque estaría ahora todavía dándome cabezazos con el teclado.

Me imagino que el speedtest-cli siempre fue bien porque creo que el programa lo que hace son muchas conexiones y haces tests de download/upload pequeños (sniffer con tcpdump), con lo que creo que el traffic shaping no le afectaba mucho por los picos iniciales de la conexión.
De todas formas es bastante raro, porque nunca noté nada raro en descarga. En fin, un poco expediente X pero arreglado.

Así que ya sabéis, si tenéis problemas de rendimiento con este firewall, probad a habilitar Traffic Shaping en las políticas que os interese, una a una:

Fortigate 60C y traffic shaping

Deja un comentario

Tu dirección de correo electrónico no será publicada.