Thread Info
  • State Verified Answer
  • +1 person also asked this people also asked this
  • Locked Locked
  • Replies 33 replies
  • Answers 2 answers
  • Subscribers 30 subscribers
  • Views 20134 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

XG Firewall - Wifi MTU nach Update 17.1.3

Pascal G

Hallo Zusammen,

 

wir hatten bei einem Kunden die letzte Woche auf die hälfte seiner XG Firewalls (Insgesamt 15 Stk.) das Update 17.1.3 ausgerollt da wir im Vorfeld Verbindungsabbrüche im WLAN hatten und hofften das dies mit dem Update behoben wurde.

Jetzt ist auf den WLAN Schnittstellen aufgefallen das die MTU von 1500 auf 1450 umgestellt ist und der MSS Wert mit 1460 garnicht dazu passt.

Nach ein paar Prüfungen hat man auch schnell festgestellt dass WLAN extrem langsam ist (Pingzeiten auf Clients bis 225 ms). Habe das auch sicherheitshalber auf den XGs geprüft die noch in der Grundinstallation mit Firmware 17.0.0 sind. Hier ist der Wert noch korrekt.

Habe danach auf einer XG erstmal die MTU manuel auf 1500 gesetzt. Jetzt habe ich wieder Pingzeiten von 5 ms auf die Clients jedoch ist das auf dauer leider keine Lösung da bi einem Neustart die MTU natürlich wieder auf die 1450 umgestellt wird.

 

Hat jemand noch dieses Phänomen und eventuelle Ideen?

 

Also WLAN löschen, AP löschen und alles neu anlegen bringt auch nichts. Sobald man das WLAN einem AP zuweist wird die MTU wieder runter gestellt von 1500 auf 1450. Eventuell Fehler im AP Update?

 

 

Danke schon mal im Voraus

 

Grüße



This thread was automatically locked due to age.
  • 0 in reply to Pascal G

    Habe hier noch eine Ergänzung. Das Problem liegt nicht am Update 17.1.3.

     

    Habe jetzt 2 Appliances die den Fehler auch mit der Version 17.0.6 haben.

    Reproduzierbar ist das auch. Einfach eine XG, mit aktueller AP Firmware und einem

    weiteren Accesspoint außer den lokalen an der Hardware. Die MTU ändert sich nicht anhand

    der gewählten Zone oder welche Update Version auf der XG installiert ist sondern sobald man

    einen weiteren (seperaten) Accesspoint angeschlossen und diesem das WLAN zugewiesen hat.

     

    Meine Frage an euch: Habt Ihr XG(w) Modelle, also mit intigrierten AP oder den Fehler auch bei 

    nicht W Modellen. Habe leider nur mit, kann es daher nicht testen.

     

    Danke und Gruß

  • 0 in reply to Pascal G

    Pascal Gippert said:
    Das Problem liegt nicht am Update 17.1.3.

    Das kann ich bestätigen, wir haben das Problem schon seit SFOS 16.

     

    Pascal Gippert said:
    Meine Frage an euch: Habt Ihr XG(w) Modelle, also mit intigrierten AP oder den Fehler auch bei nicht W Modellen.

    Wir haben eine XG ohne Wireless-Modul mit separaten APs, der Fehler existiert auch hier.

  • 0 in reply to dja

    dja said:

     

    Wir haben eine XG ohne Wireless-Modul mit separaten APs, der Fehler existiert auch hier.

     

    Ja das kann ich bestätigen. Jedoch tritt der Fehler nicht auf bei XG Modellen mit intigrierten AP und ohne weiteren separaten.

  • 0

    Dank  haben wir mittlerweile eine Lösung die wohl Boot- und Update-sicher ist:

    Wir haben die MTU wieder auf Standard gesetzt und dafür TCP Segmentation Offloading deaktiviert. Damit erzielen wir dieselbe Performance, wie mit angepasster MTU.

     

    Hier seine Anleitung:

    Console>  system diagnostics interface-driver-settings set <interface_nameoffload tso off

    To show: Console> system diagnostics interface-driver-settings show <interface_nameoffload

    • tcp-segmentation-offload: off
      tx-tcp-segmentation: off
      tx-tcp-ecn-segmentation: off
      tx-tcp6-segmentation: off

    To revert back, simply:

    Console>  system diagnostics interface-driver-settings set <interface_nameoffload tso on

  • 0 in reply to dja

    Bitte drauf achten das es bei der Umstellung erst einmal eine Downtime des WLANs gibt. (Hatte ich bei unserem Kunden)

    und das dies nur für Seperate WIFI Zonen gilt.

     

    Also an der einen XG bei der ich das Teste haben wir tatsächlich derzeit 50 Mbits Übertragungsrate im WLAN.

     

    Hoffe dies löst bei euch auch das Problem

  • 0 in reply to dja

    Das hört sich gut an und ich werde es bei Gelegenheit auch testen.

    Frage: was passiert konkret beim Deaktivieren des Offloadings? Oder besser gesagt: wann fällt mir diese Änderung wieder auf die Füße? Es hat ja vermutlich einen Grund, dass es standardmäßig aktiviert ist?

  • 0 in reply to Jelle

    Jelle said:
    Frage: was passiert konkret beim Deaktivieren des Offloadings? Oder besser gesagt: wann fällt mir diese Änderung wieder auf die Füße?

    Wie ich es verstehe, kann es wohl für eine höhere Last auf der CPU sorgen. Der Wikipedia-Artikel dazu: de.wikipedia.org/.../TCP_segmentation_offload

    Jelle said:
    Es hat ja vermutlich einen Grund, dass es standardmäßig aktiviert ist?

    Das habe ich mich auch gefragt. Laut  ist diese Einstellung unkritisch und es wird gar überlegt, ob nicht sogar off die neue Standardeinstellung sein sollte in zukünftigen SFOS-Releases.

     

    Wir haben TCP Segmentation Offloading seit einigen Tagen deaktiviert und bisher keine Probleme feststellen können.

  • 0 in reply to dja

    also ich teile dazu mal den Beitrag:

    https://blog.ip-projects.de/sophos-utm-problem-intel-82579lm-chipsatz/

    Diese Funktion dient dazu in schnellen Netzwerken die CPU Last von TCP/IP Paketen zu reduzieren indem Teilsegmente auf die Netzwerkkarte ausgelagert werden.

     

    Bei uns auch keine Probleme bisher. Denke das wird eher kritisch wenn die FW schon vor der Einstellung auf 80-90% CPU Last steht

  • 0 in reply to Pascal G

    Danke für Euer Feedback dazu. Dann werde ich das wohl auch mal testen.

    Wie sieht das aus bei einem HA-Cluster (A-P)? Muss ich das auf beiden Appliances machen und zwischendurch einen Wechsel durchführen?

  • 0 in reply to Jelle

    Ist das Problem zufällig noch bei jemandem aktuell?

     

    Ich bin bei meiner Fehlersuche auf dieses Thema gestoßen, bei mir ist die Performance der Seperaten Zone seit ich die XG installiert habe ziemlich schlecht.

    Betrifft aber nur den Download, der liegt bei ca. 0,5MBit - Upload ist mit 5 MBir ok. Im zweiten WLAN (Bridge to AP) passt es aber.

    MTU ist bei mir ebenfalls 1450, MSS 1460. Das offloading hab ich bereits deaktiviert, keine Besserung. Auch ohne IPS, WebProxy usw. wird es nicht schneller.

    Ich benutze übrigens die aktuellste SFOS Version.

    Hier noch mein Thema, das hab ich auf Englisch eröffnet, bevor ich dieses hier entdeckt habe:

    community.sophos.com/.../408386