Thread Info
  • State Verified Answer
  • +1 person also asked this people also asked this
  • Locked Locked
  • Replies 33 replies
  • Answers 2 answers
  • Subscribers 30 subscribers
  • Views 20134 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

XG Firewall - Wifi MTU nach Update 17.1.3

Pascal G

Hallo Zusammen,

 

wir hatten bei einem Kunden die letzte Woche auf die hälfte seiner XG Firewalls (Insgesamt 15 Stk.) das Update 17.1.3 ausgerollt da wir im Vorfeld Verbindungsabbrüche im WLAN hatten und hofften das dies mit dem Update behoben wurde.

Jetzt ist auf den WLAN Schnittstellen aufgefallen das die MTU von 1500 auf 1450 umgestellt ist und der MSS Wert mit 1460 garnicht dazu passt.

Nach ein paar Prüfungen hat man auch schnell festgestellt dass WLAN extrem langsam ist (Pingzeiten auf Clients bis 225 ms). Habe das auch sicherheitshalber auf den XGs geprüft die noch in der Grundinstallation mit Firmware 17.0.0 sind. Hier ist der Wert noch korrekt.

Habe danach auf einer XG erstmal die MTU manuel auf 1500 gesetzt. Jetzt habe ich wieder Pingzeiten von 5 ms auf die Clients jedoch ist das auf dauer leider keine Lösung da bi einem Neustart die MTU natürlich wieder auf die 1450 umgestellt wird.

 

Hat jemand noch dieses Phänomen und eventuelle Ideen?

 

Also WLAN löschen, AP löschen und alles neu anlegen bringt auch nichts. Sobald man das WLAN einem AP zuweist wird die MTU wieder runter gestellt von 1500 auf 1450. Eventuell Fehler im AP Update?

 

 

Danke schon mal im Voraus

 

Grüße



This thread was automatically locked due to age.
Parents
  • +1

    Hallo,

    habe dieses Problem in einem anderen Thread auch schon gesehen. 

    Konnte es aber auf keiner meiner Appliances reproduzieren. 

    Hab aktuell V17.1 und V17.5 und überall ist die MTU Size 1500. 

    Würde vorschlagen, du überprüfst kurz, ob das Problem auch bei V17.5 Beta besteht und optional einen Case eröffnen mit dem Support. 

  • 0 in reply to LuCar Toni

    Also auch nach einem Update auf die 17.5 Beta leider keine Verbesserung.

     

    Einmal ein neues Netz angelegt aber keinem AP zugewiesen. Dann sieht alles gut aus

    Und sobald man einen AP zuweist: 

    Wieder dieser komische MTU wert. Denke dass das an der AP Firmware 11.0.0.5 liegt. Wurde hier vielleicht die MTU herunter gesetzt um die Kommunikation zwischen AP und Appliance 

    zu verbessern?

     

    Naja dann werde ich wohl mal einen Supportcase auf machen. gespannt was raus kommt

     

    Edit: Also habe jetzt noch einmal andere Appliances geprüft. Das Phänomen habe ich auch bei einer XG mit Version 17.0.6 und AP Firmware 11.0.0.1. Also kann es an beiden nicht liegen. Vor allem; Es sind alle 15 zur selben Zeit gekommen und gleich eingerichtet wurden. Also hier dürfte sich eigentlich nichts unterscheiden.

     

    Bin mal gespannt ob was bei raus kommt

  • 0 in reply to Pascal G

    Wir sind ebenfalls vom Wifi-MTU-Problem betroffen. Uns ist das langsame Wifi im "Separate Zone"-Modus schon vor längerer Zeit aufgefallen, allerdings konnten den Grund dafür lange nicht ausfindig machen.

    Folgender Thread handelt auch von dem Problem: https://community.sophos.com/products/xg-firewall/f/firewall-and-policies/105207/slow-downloads-on-smartphones-connected-over-ap/

    Dort wurde dann wiederum auf einen älteren Thread verwiesen, wo es hieß, dass das Problem mit SFOS 16.05.2 gefixt wurde: https://community.sophos.com/products/xg-firewall/f/sophos-xg-firewall-general-discussion/76768/unacceptable-guest-wifi-performance-regular-wifi-is-ok

    Spannend wäre zu wissen, von wann eure XGs denn sind, bzw. was ihre initiale Firmware war? Unsere XG läuft momentan auch auf SFOS 17.1.3, ist generell aber schon älter als SFOS 16.05.2.

    Ich kann nur jeden Betroffenen ermutigen einen Case beim Sophos Support zu eröffnen, damit dieses Problem etwas mehr in den Fokus rückt. Mein Case wurde mittlerweile geschlossen mit der "Lösung", dass man die MTU ja manuell anpassen kann bzw. auch muss nach jedem Appliance-Boot.

    Auf meine Frage, ob dieses Problem durch ein kommendes Firmware-Release behoben wird, wurde ich nur vertröstet, dass es ständige interne Diskussionen zu dem Thema gebe.

  • 0 in reply to dja

    Also:

    Unsere beiden XG 210 (HA-Modus) wurden mit 17.0.5 ausgeliefert. Nach einem Update auf 17.1.1 wurde ein AP50 angeschafft, und wir hatten sofort das Problem. Wie schon beobachtet hilft ein Löschen und Neuanlegen nicht.

    Ich habe irgendwo im Forum gelesen, dass es angeblich mit 17.5 gelöst wird, da es vom Support bereits einen temporären neuen Fix geben soll.

    Um die Performance deutlich zu verbessern muss man die Web-Richtlinie in der betreffenden Firewall-Regel unter "Erweitert" entfernen. Ist zwar nicht optimal, funktioniert allerdings auch weiterhin nach einem Neustart.

  • 0 in reply to dja

    Also bei dem Kunden wurden 15 Stück im März letzten Jahres ausgeliefert und nach meinem Wissensstand initial mit der 17.0.0.5 (glaub war das).

     

    Auf jeden Fall 17+. Also keine "schon gefixte" Version. Auffällig ist das es scheinbar von Firewall zu Firewall unterschiedlich ist obwohl alle aus dem gleichen Template erstellt wurden.

    Bei den Firewalls, wo es als erstes aufgefallen ist, kam der MTU Wert erst nach dem Update auf die 17.1.3. Das waren 5 Stk.. 3 Stk. habe ich jetzt gefunden die diesen Wert schon vorher mit der Version 17.1.2 im WLAN Adapter anzeigen und bei 2 Stück von den betroffenen steht in der WEB GUI = MTU 1450 und in der CLI = MTU 1500.

     

    Die Ursache lässt sich so schwer eingrenzen, Beziehungsweise auch schlecht fixen da man nicht wirklich weiß wo man da dann suchen soll. Das einzige das bei allen gleich ist, ist das der MTU Wert sich erst verändert sobald man das WLAN einem Access Point zuweist. 

    Vorher stimmt der MTU Wert auf allen Firewalls in allen Bereichen überein. Ist halt leider auch sehr unbefriedigend. Grade für den Kunden. Da hier im Zusammenhang mit dem

    WLAN Roll-Out für 3 Standorte jeweils extra eine 300000er Glasfaßerleitung gelegt wurde und die WLAN Nutzer in den Seperate Zones, wenn es hoch kommt, mit einer 16000er Leitung surfen.

    Web Richtlinen oder ähnliches aus den Firewall Regeln zu entfernen ist auch keine umsetzbare Lösung. Da hier die Aufsichtspflicht für Minderjährige gewahrt werden muss und somit 

    für unterschiedliche Altergruppen unterschiedliche Surfprofile bestehen könnte man dann auch einfach irgendwelche TP Link Access Point ohne Reglementierung aufbauen.

     

    Naja vielleicht bekomme ich ja unseren Ansprechpartner mal ins Haus und wir schauen uns das dann direkt beim Kunden an. Gebe Rückmeldung sobald ich neues weiß

  • 0 in reply to Pascal G

    Pascal Gippert said:
    Da hier im Zusammenhang mit dem WLAN Roll-Out für 3 Standorte jeweils extra eine 300000er Glasfaßerleitung gelegt wurde und die WLAN Nutzer in den Seperate Zones, wenn es hoch kommt, mit einer 16000er Leitung surfen.

    Dabei kommt ihr übrigens noch sehr gut weg. Bei uns kommen in der Praxis gerade mal Download-Geschwindigkeiten von 200-300 KB/s zustande.

     

    Pascal Gippert said:
    Web Richtlinen oder ähnliches aus den Firewall Regeln zu entfernen ist auch keine umsetzbare Lösung.

    Das sehe ich genauso. Zudem hilft das reine Deaktivieren der Web Policy bei uns nicht. Um den vollen Durchsatz zu erreichen, müssten wir auch noch den Web Malware Scan deaktivieren.

  • 0 in reply to dja

    Das Deaktivieren von Richtlinien ist definitv keine (dauerhafte) Lösung, schafft aber zumindest kurzzeitig Performance wenn notwendig. Insbesondere da eine Lösung derzeit gar nicht absehbar ist.

Reply Children
  • 0 in reply to Jelle

    Jelle said:
    Das Deaktivieren von Richtlinien ist definitv keine (dauerhafte) Lösung, schafft aber zumindest kurzzeitig Performance wenn notwendig.

    Funktioniert der "Trick" mit der manuellen Anpassung der MTU bei euch nicht? Das ist im Moment meine "Lösung". Alle Sicherheitsmechanismen sind aktiv und die Performance passt auch.

  • 0 in reply to dja

    Also das Problem mit der Anpassung ist das bei vereinzelten Geräten die MTU in der CLI ja passt also sich daher nichts verändert.

    Bei den anderen habe ich es auf 1400 runtergestellt und das passte dann auch soweit.

     

  • 0 in reply to Pascal G

    Habe hier noch eine Ergänzung. Das Problem liegt nicht am Update 17.1.3.

     

    Habe jetzt 2 Appliances die den Fehler auch mit der Version 17.0.6 haben.

    Reproduzierbar ist das auch. Einfach eine XG, mit aktueller AP Firmware und einem

    weiteren Accesspoint außer den lokalen an der Hardware. Die MTU ändert sich nicht anhand

    der gewählten Zone oder welche Update Version auf der XG installiert ist sondern sobald man

    einen weiteren (seperaten) Accesspoint angeschlossen und diesem das WLAN zugewiesen hat.

     

    Meine Frage an euch: Habt Ihr XG(w) Modelle, also mit intigrierten AP oder den Fehler auch bei 

    nicht W Modellen. Habe leider nur mit, kann es daher nicht testen.

     

    Danke und Gruß

  • 0 in reply to Pascal G

    Pascal Gippert said:
    Das Problem liegt nicht am Update 17.1.3.

    Das kann ich bestätigen, wir haben das Problem schon seit SFOS 16.

     

    Pascal Gippert said:
    Meine Frage an euch: Habt Ihr XG(w) Modelle, also mit intigrierten AP oder den Fehler auch bei nicht W Modellen.

    Wir haben eine XG ohne Wireless-Modul mit separaten APs, der Fehler existiert auch hier.

  • 0 in reply to dja

    dja said:

     

    Wir haben eine XG ohne Wireless-Modul mit separaten APs, der Fehler existiert auch hier.

     

    Ja das kann ich bestätigen. Jedoch tritt der Fehler nicht auf bei XG Modellen mit intigrierten AP und ohne weiteren separaten.