Toon posts:

MTU settings KPN PPPoE (Glas) (FortiGate)

Pagina: 1
Acties:

Vraag

vrijdag 3 september 2021 13:57

Acties:
  • 0 Henk 'm!
  • XchangeVisions
  • Registratie: April 2006
  • Laatst online: 03-07 19:16

XchangeVisions

The World is "Open Source"

Topicstarter
Nadat ik m'n KPN experiabox heb weggehaald en PPPoE heb ingesteld op de FortiGate (40F) heb ik last dat Citrix met enige regelmaat 'vastloopt'. Het is een scherm-freeze want bij een chatgesprek komt het geluid wel door.

Ik heb het sterke vermoeden dat de MTU settings niet goed staan op de FG.
Ik ben geen held in het analyseren maar heb een capture van de PPPoE interface met een moment dat het vastloopt. Ik zie een groot aantal TCP Retransmissions (met package length van 1499-1501) en een 'don't fragment' flag. Waarschijnlijk worden packages gedropped...
Na ongeveer 20 seconden wordt er een nieuwe verbinding gemaakt en zie ik de Citrix client weer reageren.

De MTU van de WAN poort staat op 1514, de VLAN interface 1506 en de PPPoE interface is ongewijzigd.

Ik heb al veel gezocht naar mogelijke settings maar loop hier toch op vast.
Mogelijk dat een van jullie mij kan vertellen op welke MTU ik de WAN en VLAN poort moet instellen?


Hieronder de config.

edit "wan"
set vdom "root"
set mode pppoe
set allowaccess ping
set type physical
set alias "WAN"
set estimated-upstream-bandwidth 1000000
set estimated-downstream-bandwidth 1000000
set role wan
set snmp-index 1
set username "xxx@internet"
set password ENC xxx
set mtu-override enable
set mtu 1514
next

edit "internet"
set vdom "root"
set mode pppoe
set allowaccess ping
set alias "vlan6"
set device-identification enable
set estimated-upstream-bandwidth 1000000
set estimated-downstream-bandwidth 1000000
set role wan
set snmp-index 8
set username "xxx@internet"
set password ENC xxx
set mtu-override enable
set mtu 1506
set interface "wan"
set vlanid 6
next

edit "pppoe1"
set vdom "root"
set mode pppoe
set allowaccess ping
set type tunnel
set snmp-index 9
set interface "internet"
next

Throughout the centuries there were men who took first steps, down new roads, armed with nothing but their own vision.

Beste antwoord (via XchangeVisions op 04-09-2021 21:15)

zaterdag 4 september 2021 11:36

  • Ben(V)
  • Registratie: December 2013
  • Laatst online: 22-09 15:30

Ben(V)

Dit zou het moeten zijn:

MTU van PPPoE op 1500
Die van Vlan 6 op 1508
Die van de bovenliggende interface op 1512

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

Alle reacties

vrijdag 3 september 2021 13:59

Acties:
  • +1 Henk 'm!
  • nescafe
  • Registratie: Januari 2001
  • Laatst online: 06:39

nescafe

Zet de MTU eens op 1508? PPPoE heeft 8 bytes overhead normaliter. WAN zou dan 1516 worden.

[ Voor 16% gewijzigd door nescafe op 03-09-2021 14:00 ]

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

vrijdag 3 september 2021 14:07

Acties:
  • 0 Henk 'm!
  • XchangeVisions
  • Registratie: April 2006
  • Laatst online: 03-07 19:16

XchangeVisions

The World is "Open Source"

Topicstarter
Bedankt voor je snelle reactie!! :)

"MTU size not valid. Should be in the range of 576 - 1506 in PPPoE mode."

Ik heb nu de WAN interface op 1516 gezet en de VLAN interface op 1508.
Ik ga even testen of het nu stabiel blijft.

Throughout the centuries there were men who took first steps, down new roads, armed with nothing but their own vision.

vrijdag 3 september 2021 14:13

Acties:
  • 0 Henk 'm!
  • nescafe
  • Registratie: Januari 2001
  • Laatst online: 06:39

nescafe

Wat gebeurt er eigenlijk als je mtu op bovenliggende interfaces niet override en op pppoe1 mtu op 1500 zet?

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans

vrijdag 3 september 2021 14:20

Acties:
  • 0 Henk 'm!
  • XchangeVisions
  • Registratie: April 2006
  • Laatst online: 03-07 19:16

XchangeVisions

The World is "Open Source"

Topicstarter
Tot nu toe draait het lekker door. :D
Ik zal het uiteraard blijven monitoren maar heb het sterke vermoeden dat de MTU op 1508 en 1516 de oplossing is!

Ik zal eind van de dag ook wel even proberen met de pppoe op 1500 en de wan/vlan niet op override.

Throughout the centuries there were men who took first steps, down new roads, armed with nothing but their own vision.

zaterdag 4 september 2021 11:36

Acties:
  • Beste antwoord
  • +3 Henk 'm!
  • Ben(V)
  • Registratie: December 2013
  • Laatst online: 22-09 15:30

Ben(V)

Dit zou het moeten zijn:

MTU van PPPoE op 1500
Die van Vlan 6 op 1508
Die van de bovenliggende interface op 1512

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

zaterdag 4 september 2021 11:46

Acties:
  • 0 Henk 'm!
  • Kabouterplop01
  • Registratie: Maart 2002
  • Laatst online: 19-09 22:56

Kabouterplop01

chown -R me base:all

Bij de ouderwetse WAN pppoe verbindingen was het 1492 (overhead haalde je er af) en was de tcp-mss adjust 1452 voor de vlan kant op het LAN (40 bytes van ip + tcp header)

@Ben(V) Hoe zit dat met de nieuwe soort pppoe? Mijn google skills heeft er nog niets over gevonden.

zaterdag 4 september 2021 13:31

Acties:
  • 0 Henk 'm!
  • Ben(V)
  • Registratie: December 2013
  • Laatst online: 22-09 15:30

Ben(V)

Heeft niets met een soort PPPoe te maken.
Dit is gewoon hoe KPN het heeft ingeregeld en aangezien ze ervan uit gaan dat je gewoon de meegeleverde Exeriabox gebruikt publiceren ze dit nergens.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

zaterdag 4 september 2021 21:15

Acties:
  • +1 Henk 'm!
  • XchangeVisions
  • Registratie: April 2006
  • Laatst online: 03-07 19:16

XchangeVisions

The World is "Open Source"

Topicstarter
Ben(V) schreef op zaterdag 4 september 2021 @ 11:36:
Dit zou het moeten zijn:

MTU van PPPoE op 1500
Die van Vlan 6 op 1508
Die van de bovenliggende interface op 1512
Van 1500 naar 1508 begrijp ik, maar waarom eigenlijk van 1508 naar 1512?


Aanpassen van de MTU op de PPPoE interface kreeg ik niet voor elkaar via CLI.
Via config upload werkt het wel, maar na een reboot is het weg.

Uiteindelijk van alles geprobeerd maar voor nu is mijn conclussie dat Fortigate automatisch 8 bytes pakt voor PPPoE. De PPPoE tunnel interface is dus standaard 8 MTU minder dan de VLAN interface.
(nb. ik draai op versie v6.4.2 build 1723)


Maar ik heb het nu voor elkaar en de WAN staat op 1512, de VLAN6 op 1508 en de PPPoE op 1500 MTU.
Na een reboot blijft het ook goed staan. (controle via fnsysctl ifconfig -a "poort naam")

De PPPoE interface moet ik via de GUI aanmaken omdat ik errors blijf krijgen dat de "internet" interface niet bestaat, via de GUI werkt het wel.
Via de GUI heb ik ook de PPPoE username en password ingesteld.
De bovenliggende interfaces staan op Adressing mode = Manual.


config system interface
edit "wan"
set vdom "root"
set allowaccess ping
set type physical
set alias "WAN"
set estimated-upstream-bandwidth 1000000
set estimated-downstream-bandwidth 1000000
set role wan
set snmp-index 1
set mtu-override enable
set mtu 1512
next
edit "internet"
set vdom "root"
set allowaccess ping
set alias "VLAN6"
set estimated-upstream-bandwidth 1000000
set estimated-downstream-bandwidth 1000000
set role wan
set snmp-index 8
set mtu-override enable
set mtu 1508
set interface "wan"
set vlanid 6
next
edit "pppoe1"
set vdom "root"
set mode pppoe
set allowaccess ping
set type tunnel
set alias "PPPoE tunnel"
set estimated-upstream-bandwidth 1000000
set estimated-downstream-bandwidth 1000000
set role wan
set snmp-index 9
set interface "internet"
next
end

config system pppoe-interface
edit "pppoe1"
set device "internet"
set username "mac-address-modem@internet"
set password "kpn"
next
end

Throughout the centuries there were men who took first steps, down new roads, armed with nothing but their own vision.

vrijdag 26 juli 2024 13:09

Acties:
  • 0 Henk 'm!
  • mduijm
  • Registratie: December 2009
  • Laatst online: 21-09 00:36

mduijm

Hoi, we zitten nu op veel hogere versies van FortiOS en de PPPoe is niet meer een losse interface afaik. Heb je toevallig een nieuwere config die je kan delen? Ik zit zelf op v7.4.4 build2662

zaterdag 27 juli 2024 08:20

Acties:
  • 0 Henk 'm!
  • nelizmastr
  • Registratie: Maart 2010
  • Laatst online: 07:52

nelizmastr

Goed wies kapot

mduijm schreef op vrijdag 26 juli 2024 @ 13:09:
Hoi, we zitten nu op veel hogere versies van FortiOS en de PPPoe is niet meer een losse interface afaik. Heb je toevallig een nieuwere config die je kan delen? Ik zit zelf op v7.4.4 build2662
Is er een reden dat je op de feature release branch zit en niet op mature firmware?

Los daarvan is de commandset voor interfaces niet of nauwelijks veranderd tussen FortiOS 6.4 en 7.2 (draai geen 7.4.4, ben geen beta tester op productie :+ ) dus zou je dit aardig moeten kunnen overnemen.

Zie ook de Fortinet documentatie en cookbooks :)

[ Voor 4% gewijzigd door nelizmastr op 27-07-2024 08:21 ]

I reject your reality and substitute my own

zaterdag 27 juli 2024 17:53

Acties:
  • 0 Henk 'm!
  • XchangeVisions
  • Registratie: April 2006
  • Laatst online: 03-07 19:16

XchangeVisions

The World is "Open Source"

Topicstarter
@mduijm
Ik heb de laatst werkende config voor je bekeken (#config-version=FGT40F-7.4.4-FW-build2662-240514:) en er is niks veranderd t.o.v. bovenstaande config.

Throughout the centuries there were men who took first steps, down new roads, armed with nothing but their own vision.

zaterdag 27 juli 2024 22:51

Acties:
  • 0 Henk 'm!
  • mduijm
  • Registratie: December 2009
  • Laatst online: 21-09 00:36

mduijm

top dank je wel!

zaterdag 27 juli 2024 23:01

Acties:
  • 0 Henk 'm!
  • mduijm
  • Registratie: December 2009
  • Laatst online: 21-09 00:36

mduijm

nelizmastr schreef op zaterdag 27 juli 2024 @ 08:20:
[...]


Is er een reden dat je op de feature release branch zit en niet op mature firmware?

Los daarvan is de commandset voor interfaces niet of nauwelijks veranderd tussen FortiOS 6.4 en 7.2 (draai geen 7.4.4, ben geen beta tester op productie :+ ) dus zou je dit aardig moeten kunnen overnemen.

Zie ook de Fortinet documentatie en cookbooks :)
Ik draai de FGT thuis op een thuis netwerk, zit geen bedrijfsnetwerk achter :) vandaar dat ik gewoon de laatste versies pak.
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq