Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 4470 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Conntrackd going nuts...100% CPU Load

T-Roc_01
Hi,
I have a HA with two ASG 625.
The Firewalls are located in different locations and are connected via two switches which are connected via a dark fiber.

Recently the Master started going nuts sending constantly around 500-700Mbit/s on the HA Interface.

A tcpdump showed me this on the HA interface.
IP node2.48921 > 225.0.0.50.3780: UDP, length 1900 (Node 2 is master right now)

And there are a lot of these
10102 packets captured in like two or three seconds

Top showes me that the conntrackd is using one complete CPU.

When it do a failover to the slave I have a loss of about 10 seconds before it is reachable again. It usualy is only one ping.

I have another HA with two 220 on the same switch (different vlan though) that is working just fine.
I see the same packets with a tcpdump but far not as many and the length is only 68 not 1900.

Could this have anything to do with the MTU and jumbo frames?

Anybody have an idea what could this be and how I could correct this?
Installed firmware is 9.111-07

Thanks.


This thread was automatically locked due to age.
  • 0
    I would engage Sophos Support (via Standard or Premium Support) ASAP.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0
    What do you see from the command line with  
    cc get ha advanced mtu 
    ha_utils ssh (after that, su - to become root on the Slave) 
    cc get ha advanced mtu  

    I'm not sure that it's possible for the value to be different on the Slave, but wanted to check that, too

    Cheers - Bob  

    Sorry for any short responses.  Posted from my iPhone.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hi ,

    For me it sounds like a switching issue and not a UTM issue.
    Can you point on the time that behavior started ?
    Can you remember if there is any change done before this behavior started .
    And as said in this tread from our friends here - involve the support ASAP , if you have premium support call them even now.
    And please inform here please what did solve your issue.
    It is an interesting issue :-)

    Ally best,
    Gilipeled

    Gil Peled.

    CEO- Expert2IT LTD.

    SOPHOS Platinum Partner.

    Gil@expert2it.co.Il.

  • 0 in reply to gilipeled
    Hi,
    I enabled jumbo frames on one of the switches. Since then the load went down to 65-70MBit/s.

    I will have to enable jumbo frames on the other switch as well.
    Will do this the day after tomorrow. Hope the problem will be solved then.

    I will get back when I have done the configuration of the switch.

    Support told me to enable jumbo frames.
  • 0
    Hi, I enabled jumbo Frames on both sides and since that the problem is gone.
  • 0
    Hi,

    I had the same problem but I solved following this:

    How to change the MTU for HA sync interface on Astaro Security Gateway

    In my case it was not possible to enable jumbo frames cause reboot of the switch.

    Thanks a lot for the suggestion!

    Max.
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?