Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 18 replies
  • Subscribers 2 subscribers
  • Views 192898 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Persistent change of ip_conntrack_udp_timeout

MKrumm
Hi to everyone,

we are currently using an ASG 320 and are expriencing some difficulties with our hosted PBX solution (SIP). The hosted PBX asks for a minimum of 65 for UDP session timeout in order to work correctly. 
Thanks to https://community.sophos.com/products/unified-threat-management/astaroorg/f/54/t/39406
we got a hint where to change the setting. 
After changing it and rebooting the ASG it worked fine. But then the ASG changed the value back to standard (30) which resulted in our phones not getting a connection.
Has anyone an idea how to permanently change that parameter (maybe even persistent when it comes to firmware updates)? I wrote the value in the /etc/sysctl.conf. Is that enough?
Thanks in advance for your help!

Kind regards
MKrumm


This thread was automatically locked due to age.
  • 0
    Hi, if you have support, I'd recommend opening a ticket.

    If not, you might try the SIP helper (enable the VOIP security features).

    Barry
  • 0
    Hi Barry,
    unfortunately we did not buy direct astaro support. However we bought the ASG from a partner that I already asked about the configuration (who hopefully forwards our question). The SIP Helper itself is not the critical option because it does not have any effect if the upd session timeout is 
  • 0
    You can change them via command line.

    To see the current values:
    # cc get packetfilter timeouts
    packetfilter->timeouts = {
              "ip_conntrack_generic_timeout" => 600,
              "ip_conntrack_icmp_timeout" => 30,
              "ip_conntrack_tcp_timeout_close" => 10,
              "ip_conntrack_tcp_timeout_close_wait" => 60,
              "ip_conntrack_tcp_timeout_established" => 86400,
              "ip_conntrack_tcp_timeout_fin_wait" => 120,
              "ip_conntrack_tcp_timeout_last_ack" => 30,
              "ip_conntrack_tcp_timeout_max_retrans" => 300,
              "ip_conntrack_tcp_timeout_syn_recv" => 60,
              "ip_conntrack_tcp_timeout_syn_sent" => 120,
              "ip_conntrack_tcp_timeout_time_wait" => 120,
              "ip_conntrack_udp_timeout" => 30,
              "ip_conntrack_udp_timeout_stream" => 180
            }

    To increase a value, use:
    # cc set packetfilter timeouts ip_conntrack_udp_timeout 45

    Btw: There is udp_timeout and udp_timeout_stream.
    So if packets are send in both directions, then udp_timeout_stream is applied.

    Cheers
     Ulrich
  • 0 in reply to da_merlin
    Hi Ulrich

    Thanks for your input. 
    Are those settings permanent when applied or do they change e.g. after a firmware upgrade and/ or certain time?

    Kind Regards
    Michael
  • 0
    They are permanent. All changes via cc are stored in the configuration file.
    So they are also imported via backup import.

    Cheers
     Ulrich
  • 0
    Thanks very much! I really appreciate your help.

    Best wishes
    Michael
  • 0
    Hi Ulrich

    I just tried to use the command 
    cc
    but the command line says "command not found". We are using ASG 8.202. 
    The command without cc runs fine.
    Do you have another tip? Is cc necessary?

    Thanks in advance.
  • 0
    You should need CC.  The command should be run as one line.  See the attached screenshot for an example.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0 in reply to Scott_Klassen
    It seems that cc is missing on my machine... (see Screenshot)
    Or do I have to activate it somewhere?
  • 0
    cc ist just an alias:
    alias cc='confd-client.plx'

    seems the alias setting is missing, so just use confd-client.plx instead
Unfiltered HTML