Πρόβλημα με Checkpoint safe@office 500

[Themos]

Έχουμε αγοράσει ένα Firewall Checkpoint safe@office 500 από το 2006 το οποίο είναι συνδεδεμένο στο lan με τον εξής τρόπο:

Με σύνδεση dsl το καλώδιο που έρχεται από τον τοίχο πέφτει πάνω σε ένα fritzbox(bridge mode) και έπειτα με ένα patch cord πέφτει πάνω στο checkpoint στο οποίο μπαίνουνε τα credentials για να γίνει το authenticate με τον πάροχο(hol) και μετά μέσω firewall να βγούνε οι μισοί χρήστες internet και οι υπόλοιποι μέσω proxy(squid) ο οποίος επίσης βγαίνει μέσω του firewall.
Αυτό έγινε διότι αντιμετωπίζαμε πρόβληματα με τους κανόνες του firewall μέσα από το fritzbox και έτσι αποφασίσαμε να βάλουμε τον router ως bridge για να συγχρονίζει μόνο και όλα τα υπόλοιπα από το checkpoint.
Από το πρώτο configuration και μετά όλα δουλεύανε χωρίς πρόβλημα.

To συγκεκριμένο firewall παρέχει και dhcp server μέσω του software και από την αρχή τον είχμε βάλει να δίνει σε όλο το lan.
Aπό κάποια στιγμή και μετά παρατηρήσαμε ότι σε αρκετά pc είχε δημιουργηθεί πρόβλημα να μην μπορούν να πάρουν αυτόματα ip και αναγκαζόμασταν να δίνουμε στατικές.
To πρόβλημα μεγάλωσε όταν ένας αριθμός από pc ενώ είχανε πάρει δυναμικές μετά από reboot δεν ξαναπαίρνανε.
Αποφασίσαμε να βγάλουμε τον dhcp διότι δεν δούλευε σωστά και τον μεταφέραμε σε win 2003 srv.
Από εκεί και πέρα πρόβλημα με dhcp δεν ξαναδημιουργήθηκε.

Εδώ και 6 μήνες περίπου αντιμετωπίζουμε το εξής πρόβλημα:

Μπαίνοντας οποιοσδήποτε χρήστης να κατεβάσει κάτι από το internet μέσω proxy ή μέσω firewall το download ξεκινάει με την μέγιστη ταχύτητα που μπορεί να δώσει η γραμμή και μετά από μερικά sec αρχίζει και πέφτει.. 900kb/sec,800kb/sec,600kb/sec,300kb/sec,200kb/sec,100kb/sec και μπορεί να φτάσει και 0,5kb/sec..
Το download μπορεί να ολοκληρωθεί μετά από κάποια ώρα,μπορεί να ολοκληρωθεί αλλά το αρχείο να κατέβει κατεστραμένο αλλά μπορεί να κολήσει στη μέση και μην κατέβει ποτέ.
Μπήκαμε στην Sofaware και κατεβάσαμε καινούριο firmware σε 8.0.42x.
Δοκιμάσαμε αλλαγές στα μενού του smart defence τα οποία βέβαια είναι αρκετά και επίσης κοιτάξαμε και τα logs τα οποία δεν μας έδωσαν κάποιο συμπέρασμα όπως επίσης και η αλλαγή του firmware.
Αυτό που έχουμε παρατηρήσει είναι αν πάς να κατεβάσεις ένα αρχείο από xxx url το οποίο κατεβαίνει και με http και με ftp...από htτp θα αντιμετωπίσεις το συγκεκριμένο πρόβλημα με την ταχύτητα ενώ αν συνδεθείς με ftp client θα κατέβει χωρίς πρόβλημα το αρχείο και με καλή ταχύτητα και ακέραιο..
Οπότε υποψιαζόμαστε ότι ίσως το πρόβλημα να υπάρχει σε κάποιο σημείο του firewall που συσχετίζεται με http πρωτόκολλο αφού με ftp από το ίδιο link κατεβαίνει άψογα.

Δοκιμάσαμε επίσης να αλλάξουμε router και είχαμε τα ίδια αποτελέσματα..
Επίσης με τον υπάρχων router ή με άλλον αν συνδεθεί χωρίς το firewall μπροστά,το πρόβλημα με το download δεν υπάρχει..δουλεύουν όλα ρολόι είτε μέσω proxy ή απευθείας με router.

Μήπως γνωρίζει κάποιος κάτι πάνω σε αυτό το θέμα?

[lacacitos]

Το πρόβλημα ισχύει και όταν είναι μόνο ένα PC συνδεμένο με το checkpoint? To pc δεν πρέπει να τρέχει torrent/skype, να μην έχει ιούς κλπ

έχει ενεργοποιημένο antivirus / antispyware / antiX στο HTTP?

αν πας να κατεβάσεις κάτι από site που ακούει σε πόρτα διαφορετική από την 80 πχ. 8080 ισχύει το ίδιο πρόβλημα?
Αν είναι https η σύνδεση έχεις το ίδιο πρόβλημα?
Όταν δουλεύεις χωρίς το squid proxy, πρέπει να δηλώσεις σαν proxy το checkpoint (δεν ξέρω πώς δουλεύει το checkpoint)?

Αν συνδέσεις με hub (αν βρεις τέτοια εποχή) το checkpoint με το fritz, μπορείς να βάλεις ένα pc να βλέπει τα πακέτα που πηγαινοέρχονται. Για δες, τα SYN που στέλνει το μηχάνημά σου, τι MSS δηλώνουν? 1460 ή κάτι κάτω από 1452 ? Βλέπεις τίποτα ICMP type 3 code 4 να έρχονται προς το firewall?
Αν το mss ειναι 1460, δοκίμασε να ρυθμίσεις σε ένα pc MTU πχ 1300 και δοκίμασε να δεις αν έχεις το ίδιο πρόβλημα.

Υπάρχει τρόπος να δεις το το cpu load του firewall?

[Themos]

Lacacitos το πρόβλημα υπήρχε με όλα που ανέφερες παραπάνω..
antivirus,antispyware κτλ δεν είχε.
Και με 80 και με 8080 συνέβαινε αλλά όχι σε όλα τα download.
Kαι mtu άλλαξα..
Μόνο wireshark δεν έβαλα.

Το πρόβλημα όμως λύθηκε..
Λίγο απίστευτο αλλά έπαιξε.

Μέσα στα "smart defence" που είχε βάλαμε το "ICQ" από "block" σε "none" και απλά τελιώσανε όλα τα προβλήματα κατευθείαν..
Μάλλον δεν είναι και τόσο "smart" και μυρίζομαι bug..
Όλα τα smart defence που συσχετιζόντουσαν με http και https ήτανε κλειστά..
Τι να πώ..

Ευχαριστώ για την βοήθεια..