Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 2 subscribers
  • Views 31727 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

MTU size change internal network

rgerbranda
Hi all,

Recently we change from internet provider. Now we have issues with our Sophos configuration.

Our configuration is:

External WAN, MTU size of 1460 required
Internal LAN, configured as Ethernet Static

The problem now is that the connection to the internet from a device that is connected to the LAN, is broken. The default value of MTU=1500 is to high. We need to lower the MTU value on all devices. 

Symptoms that we have are described in this article.

On computers the MTU size can be changed, but is not nice to do.
This is not possible for devices like televisions with ethernet connection.

Is it possible to configure the Internal LAN in that way that devices can connect with a MTU value of 1500, but that the size is changed in the route to External WAN?


I tried to change the MTU value with command IP ROUTE CHANGE, but this didn't help. Current output of IP ROUTE SHOW

10.120.0.0/16 dev eth1  proto ipsec  scope link  src 10.121.1.1 
10.121.1.0/24 dev wlan1  proto kernel  scope link  src 10.121.1.1 
127.0.0.0/8 dev lo  scope link 
172.16.0.0/12 dev eth1  proto ipsec  scope link 
172.16.28.0/24 dev wlan0  proto kernel  scope link  src 172.16.28.1 
185.54.180.248/29 dev eth1  proto kernel  scope link  src 185.54.180.250 
192.168.5.0/24 dev eth1  proto ipsec  scope link  src 10.121.1.1 
192.168.8.0/24 via 192.168.8.1 dev br0  mtu 1460
192.168.171.0/24 dev br0  proto kernel  scope link  src 192.168.171.1 

eth1 is our WAN connection.
br0 is our LAN connection.

Please help me out.

Kind regards,
Remko


This thread was automatically locked due to age.
  • 0
    Why don't you simply change the MTU size at the WAN interface in WebAdmin?

    No need to go via shell (also voids your support)...

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0
    Hi scorpionking,

    The first thing I did, was lower the MTU size of the WAN connection.
    After that I have checked the connection from the terminal of the Sophos. I was able to receive content (wget nos.nl).
    Unfortunatelly I was still not able to receive content on my laptop, while connected to ethernet. To receive content, I have to lower the MTU value on my laptop too.

    So at the moment the "endpoint" value is counting.

    I hope that you have all relevant information.

    Kind regards,
    Remko
  • 0
    Hi, Remko, and welcome to the User BB!

    Like scorpionking, I don't understand why changing the MTU on the External interface wasn't sufficient.  Then again, bridging was changed in 9.3.  There may be a bug there, so you might want to get Sophos Support involved if this is not a free home license.

    Your Routes Table looks like you may have a misconfiguration.  I suspect that 10.120.0.0/16 causes a conflict with 10.121.1.0/24 and similarly 172.16.0.0/12 with 172.16.28.0/24.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hi Bob,

    Thanks for checking. 
    To my opinion there is no conflict between 10.120.0.0/16 and 10.121.1.0/24.
    I will solve the conflict between 172.16.0.0/12 and 172.16.28.0/24. 

    I proceded testing with the following changes:
    1. removed the bridge between the interfaces
    2. disabled the conflicting IPsec (172.16.0.0/12)

    Output of IP ROUTE SHOW after changes:

    10.120.0.0/16 dev eth1  proto ipsec  scope link  src 10.121.1.1 
    10.121.1.0/24 dev wlan1  proto kernel  scope link  src 10.121.1.1 
    127.0.0.0/8 dev lo  scope link 
    172.16.28.0/24 dev wlan0  proto kernel  scope link  src 172.16.28.1 
    185.54.180.248/29 dev eth1  proto kernel  scope link  src 185.54.180.250 
    192.168.0.0/22 dev eth1  proto ipsec  scope link  src 10.121.1.1 
    192.168.5.0/24 dev eth1  proto ipsec  scope link  src 10.121.1.1 
    192.168.8.0/24 dev eth0 (was br0)  proto kernel  scope link  src 192.168.8.1 
    192.168.171.0/24 dev eth0  proto kernel  scope link  src 192.168.171.1 

    Unfortunately it is still required to lower the MTU value on my laptop. Else I can't open websites.

    Everthing seems to be configured right now, but it still doesn't work [:(]
    What else could I do?

    Kind regards,
    Remko
  • 0
    I didn't read "10.120.0.0/16 and 10.121.1.0/24" correctly before my first post above. [:)]

    Is this a Sophos appliance?  If not, consider #7 in Rulz.  Any luck with that?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hi all,

    I have 2 updates for the issue.

    (1) After an upgrade to the latest firmware version of Sophos UTM, a special MTU value for both LAN and WiFi connection is required.
    Before the upgrade only for LAN a special MTU value was required.

    It's not possible anymore to open websites on our smartphones [:(]

    (2) This is the response of Sophos support:

    -----
    Hi Remko,

    I've received a response from our Engineers:

    The ISP has set it at a lower number than the normal 1500. In this case: 1492 MTU. If the LAN machines are then set at 1500 then those packets are far to big to fit down the smaller hole of 1492.  All internal devices need to be the same or smaller MTU than that set on the WAN interface. Having such a small MTU will likely cause issues with web pages loading because some say "Do not fragment" packet and so if its 1500 per packet, that wont fit down the ISP line

    I think the only option really is to decrease the MTU of the affected devices.

    Regards,

    Sophos Technical Support
    -----

    Any suggestions from your end?

    Kind regards,
    Remko
  • 0 in reply to rgerbranda
    Hi all,

    The problem is almost solved. The following article was helpful in finding the solution.

    I used the following command in stead of the packetfilter_advanced file.

    [FONT="Courier New"]iptables -t filter -I FORWARD 1 -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1360[/FONT]

    This solution is not persistent. After a configuration change in the GUI, the rule is removed.

    Regards,
    Remko
  • 0
    This solution is not persistent. After a configuration change in the GUI, the rule is removed.
    That is why you need to write it to packetfilter_advanced.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0
    I'm not knowledgeable about iptables.  Is that command setting the MTU to 1360 for SYN and RST SYN packets in the FORWARD chain?  If so, then I don't think it's possible to make such an adjustment that's persistent short of setting the MTU to 1360 for all interfaces.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    I have added the packetfilter_advanced file.
    Afterwards I did some changes in the GUI.
    The IPTABLES rule seems to be persistent now.

    Thanks all for your input.
Unfiltered HTML