Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 18 replies
  • Subscribers 2 subscribers
  • Views 28129 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Traceroutes dropped without reason

bryans2k
The issue I have is if I try to do more than 2 traceroutes at a time then packets to Astaro hop are dropped without reason. Sophos support states that there is absolutely nothing they can do about it and it is normal behavior. Firmware version 8.305

Does anyone else have this issue?

Thanks,

Bryan


This thread was automatically locked due to age.
  • 0
    Same result as Barry (V8.305):

    C:\Documents and Settings\user1>time
    The current time is: 14:11:12.24

    C:\Documents and Settings\user1>tracert -d 8.8.8.8

    Tracing route to 8.8.8.8 over a maximum of 30 hops

      1    tracert -d 8.8.8.8

    Tracing route to 8.8.8.8 over a maximum of 30 hops

      1     1 ms    tracert -d 8.8.8.8

    Tracing route to 8.8.8.8 over a maximum of 30 hops

      1    tracert -d 8.8.8.8

    Tracing route to 8.8.8.8 over a maximum of 30 hops

      1     1 ms    tracert -d 8.8.8.8

    Tracing route to 8.8.8.8 over a maximum of 30 hops

      1    tracert -d 8.8.8.8

    Tracing route to 8.8.8.8 over a maximum of 30 hops

      1     1 ms    time
    The current time is: 14:11:57.80



    Cheers - Bob

  • 0 in reply to BAlfson
    Yes, windows.

    I apologize, you must cancel the first two traceroute's before they complete the first hop. It has to happen quickly sequentially or often concurrently (such as running multiple instances of PingPlotter) to trigger the throttling.

    Bryan
  • 0
    Barry, Bob,

    What Bryan is seeing is a kernel parameter setting, and a default behavior.  ASG/UTM will not send more than 1 TTL Expired in transit message per 1000ms to a single host. This is not connected with the IPS flood protection settings, and should be easily reproduceible by the following:

    open TWO command prompt windows
    in both windows, run: "ping -i 1 -t 8.8.8.8"

    This should cause your default gateway to respond with a ttl expired message, and the throttling should be evident with two windows pinging
  • 0
    Hi Alan, fwiw, it works until I run a third instance of that ping command.

    Thanks for the information.
    I'm guessing there is a kernel parameter that Bryan could adjust, right? Could you give a hint as to its name? I can't figure it out from
    http://www.kernel.org/doc/Documentation/networking/ip-sysctl.txt

    Barry
  • 0
    There's two parameters:
    icmp_ratelimit
    and
    icmp_ratemask

    Any icmp packet types matching the ratemask value will be subject to the ratelimit value. This only affects replies sent by the asg itself, and not replies forwarded through the ASG.
  • 0
    Bryan, let us know if you don't know how to set these.

    Keep in mind that Astaro support frowns upon command-line changes, and you'll need to remember you may need to undo the changes if you need support.

    Barry
  • 0 in reply to BarryG
    Can anyone speak to if this is the case in UTM 9 as well?

    Bryan
  • 0
    yes, this behavior is exactly the same in UTM9, and has been the same in all ASG versions as far back as I can tell.