Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst FIrewall Webfilter produziert extrem hohen Traffic

Mitglied: ketanest112

ketanest112 (Level 1) - Jetzt verbinden

16.04.2017, aktualisiert 22:03 Uhr, 2303 Aufrufe, 22 Kommentare

Hallo zusammen,

ich hab ne Sophos UTM 9 Home laufen.
Bisher hat alles soweit super funktioniert.
Nun habe ich seit heute Abend eine maximale Dauerauslastung auf meinem WAN Interface eingehend (Sprich, die Leitung ist "dicht").
Auf dem LAN Interface gibts aber kaum ausgehenden Traffic. Daher schließe ich, dass die Sophos den Traffic lokal generiert.
Hier wird in 5 Minuten ein Traffic von knapp 2GB generiert (50k Leitung). Und das dauerhaft. In der letzten Stunde hat sich dadurch mein Volumen mal eben um 22 GB erhöht. Gut, is ne Flatrate, daher nicht so wild aber komisch ist es schon.
Verändert an der Konfig hab ich seit Wochen nichts mehr.
Wenn ich mir den Flow Monitor aller Interfaces ansehe, erkenne ich, dass die WAN Adresse der Sophos diesen Traffic produziert.
*.deploy.static.akamaitechnologies.com ist immer das Suffix der zugehörigen DNS Namen. (zB. a23-74-201-131.deploy.static.akamaitechnologies.com)
Oder auch gelegentlich direkt IP Adressen, wie z.B. 8.254.200.90 oder 8.253.81.13.
Ein utrace auf die IP bringt mir nur ein "Level 3 Communications" in den USA.
Auch in der Statistik sehe ich als Empfänger für den Traffic die lokale Adresse der Sophos.
Schalte ich nun den Webfilter aus, geht der Traffic schlagartig auf nahezu 0 runter.

Könnt ihr mir hier evtl. weiterhelfen wie ich das abschalten kann? Denn ich habe eigentlich keine Lust den Webfilter auszulassen, ist ja auch nicht Sinn der Sache.

Ok, jetzt wo ich fertig bin mit schreiben, geht der Traffic wieder ins normale zurück (ohne dass ich was verändert habe, Webfilter ist an).
Updates wurden von Clients nicht gezogen, von der Sophos eigentlich auch nicht (zumindest haben keine 25 GB mehr auf der Platte platz).

Danke schonmal!
Grüße
Ketanest

EDIT: Mir ist aufgefallen, dass das immer dann passiert, wenn ich auf dem Smart TV versuche, ein Video in der Amazon App abzuspielen. Ausnahmeregel für Amazon ist aber im Webfilter eingetragen (hat bisher aber auch ohne funktioniert). Wenn ich aber die App beende und den TV ausmache bleibt der Traffic relativ lange hoch... Komischerweise nur beim TV übers MacBook und die Website gehts...
Mitglied: BassFishFox
16.04.2017 um 21:50 Uhr
Hallo,

Windows 10 Rechner im Netzwerk? Stichwort Creators Update, das kommt so und nicht unbedingt mit den regulaeren Updates.

BFF
Bitte warten ..
Mitglied: ketanest112
16.04.2017 um 21:53 Uhr
Ja, einen.
Aber was ich eben nicht verstehe, ist, warum der Traffic von der Firewall generiert wird und nicht vom Client...
Bitte warten ..
Mitglied: certifiedit.net
LÖSUNG 16.04.2017 um 23:53 Uhr
Nennt sich Caching - würde darauf tippen - oder, du hast dir irgendwas AUF der UTM eingefangen. Würde aber nicht zur Symptomatik passen.
Bitte warten ..
Mitglied: certifiedit.net
16.04.2017 um 23:53 Uhr
Sind aber keine 20-25G
Bitte warten ..
Mitglied: BassFishFox
17.04.2017, aktualisiert um 01:04 Uhr
Halloele,

Oh doch, wenn die Clients alle fuer sich allein das Upgrade holen wollen und es fuer die UTM so aussieht, dass die Downloadquellen sich immer aendern. Vor kurzen sehen duerfen bei einem wild gewordenen Update Accelerator auf einer IPFire-Box.


BFF
Bitte warten ..
Mitglied: certifiedit.net
17.04.2017 um 01:17 Uhr
(ungetestet) dafür sollten die Clients sich das doch gegenseitig zuschieben? Gut, die Nachricht, dass es nur einen WinX gibt kam erst später, also alles gut.
Bitte warten ..
Mitglied: BassFishFox
17.04.2017 um 01:25 Uhr
Halloele,

(ungetestet) dafür sollten die Clients sich das doch gegenseitig zuschieben?

Ja schon. Das ist eigentlich per default von MS so eingestellt. Allerdings wurde genau diese Einstellung bewusst in der Umgebung mit der IPFire-Box deaktiviert, weil die ja den Accelerator hatte.

BFF
Bitte warten ..
Mitglied: ketanest112
17.04.2017, aktualisiert um 14:36 Uhr
Zitat von certifiedit.net:

Nennt sich Caching - würde darauf tippen - oder, du hast dir irgendwas AUF der UTM eingefangen. Würde aber nicht zur Symptomatik passen.

Ja, eben, Traffic schießt nur hoch, wenn Seite = Amazon Video UND Client = Smart TV.


Zitat von certifiedit.net:

Sind aber keine 20-25G

WIe meinst du das? Also meine FritzBox sagt mir, dass in etwa 22 GB Traffic generiert wurden in dieser besagten Stunde.


Zitat von certifiedit.net:

(ungetestet) dafür sollten die Clients sich das doch gegenseitig zuschieben? Gut, die Nachricht, dass es nur einen WinX gibt kam erst später, also alles gut.

Vorhin hieß es Win10, du sprichst hier nun von WinX. Win10 gibt es nur einen Client im Netz, es gibt jedoch 3 Win Server 2012 R2 (DC, Exchange und Terminalserver). Hier sind aber alle Updates aktuell.
Bitte warten ..
Mitglied: 132895
17.04.2017 um 14:38 Uhr
Go to Web Protection> Filter Option> Misc> Web Caching. Clear cache and uncheck the "enable caching" option.
Bitte warten ..
Mitglied: ketanest112
17.04.2017 um 14:44 Uhr
Danke, aber der Cache war nie an. Habe ihn auch schon mehrfach geleert.
Auch die Option Streaming Inhalte nicht scannen ist aktiviert.

Thankyou, but the cache has never been enabled. Iv'e cleared it multiple already.
The option do not scan streaming contents is also disabled.
Bitte warten ..
Mitglied: BassFishFox
17.04.2017, aktualisiert um 15:32 Uhr
Ja, eben, Traffic schießt nur hoch, wenn Seite = Amazon Video UND Client = Smart TV.

Das ist nicht zufaellig ein 4K-Smart-TV und die Amazon-Videos auch?
Obwohl FullHD schon reicht um ein paar GByte zusammen zu bringen.

Vorhin hieß es Win10, du sprichst hier nun von WinX.

Ist schlicht gleich, 10 oder (roemisch) X

BFF
Bitte warten ..
Mitglied: certifiedit.net
17.04.2017 um 15:38 Uhr
Zitat von BassFishFox:
Vorhin hieß es Win10, du sprichst hier nun von WinX.

Ist schlicht gleich, 10 oder (roemisch) X

BFF
danke...
Bitte warten ..
Mitglied: ketanest112
17.04.2017 um 15:59 Uhr
Ok, das mit dem WinX hätt ich mir auch denken könne

Ist ein Full HD TV, die Videos auch. Was ich verpennt hatte zu erwähnen: Beim TV kommt halt nix an. Der sagt mir, dass meine Bandbreite zu niedrig wäre und er deshalb das Video nicht abspielen kann. Surfen ist dann auch nur noch bedingt möglich, da Leitug dicht.

Ketanest
Bitte warten ..
Mitglied: BassFishFox
17.04.2017, aktualisiert um 17:06 Uhr
Und das auf nen Ostermontag.

Was ich verpennt hatte zu erwähnen: Beim TV kommt halt nix an. Der sagt mir, dass meine Bandbreite zu niedrig wäre und er deshalb das Video nicht abspielen kann. Surfen ist dann auch nur noch bedingt möglich, da Leitug dicht.

Deine UTM baut Bockmist. Geht das Surfen, wenn Du einen PC direkt an die Fritte haengst?

Ist die UTM harte Hardware oder eine virtuelles Teil auf einem Deiner Server?

BFF
Bitte warten ..
Mitglied: Lochkartenstanzer
LÖSUNG 17.04.2017, aktualisiert um 19:49 Uhr
Moin,

Dein UTM will as Video auf Malware untersuchen und holt sich erst das Video herunter, bevor es an das TV weitergeleitet wird.

Das ist ein fehlkonfigurierter Malware-Scanner.

Du mußt entweder den Malwarescan für Videos abstellen oder Deiner UTM sagen, daß sie mit höherer Rate die gecachten Pakete weiterleitet.

lks
Bitte warten ..
Mitglied: aqui
18.04.2017, aktualisiert um 11:17 Uhr
Hier wird in 5 Minuten ein Traffic von knapp 2GB generiert
Spannend wäre ja mal eine Information WAS das für eine Art Traffic ist. Mit dem Wireshark könnte man sowas im Handumdrehen ja sehen und dann schon anhand der Zieladressen der Pakete und des TCP/UDP Ports eine Analyse fahren um was es sich handelt und wo im Internet das hingeht. Also ob es eher gut oder böse ist.
Verwunderlich das der TO auf so eine einfache und banale Toubleshooting Option noch gar nicht gekommen ist und lieber zum Raten im freien Fall tendiert...
Bitte warten ..
Mitglied: Lochkartenstanzer
LÖSUNG 18.04.2017, aktualisiert um 11:42 Uhr
Zitat von aqui:

Verwunderlich das der TO auf so eine einfache und banale Toubleshooting Option noch gar nicht gekommen ist und lieber zum Raten im freien Fall tendiert...


nachdem er gesagt hat, daß das imemr dann der Fall ist, wenn das Supder-Duper-Hochauflösende-SmartTV ebensoche Videos gucken will, sagt meien Kristallkugel, daß es einafch der contentfilter in der UTM ist, dr dei daten solange nur tröpfchenweise zum SmartTV läßt, bis er den gesammten content gezogen und verifiziert hat. Dann denkt sich halt das schlaue TV so ein Schiet-Verbindung und beschwert sich über lahmes Internet und das UTM denkt sich so ein Schiet-TV, will wieder so einen Riesenbrocken, dann muß er halt warten, bis ich die 50GB gezogen habe. Dieses Verhalten ist typisch für proxies mit Contentfilter, die die daten erst dann rausrücken, wenn sie gescannt wurden.

lks
Bitte warten ..
Mitglied: ketanest112
18.04.2017 um 13:31 Uhr
@BFF: Ja, direkt an der Fritte gehts (wie gesagt auch ohne Webfilter mit Firewall). Die UTM ist eine VM auf meinem VM Host mit dedizierter 4-Port-Netzwerkkarte (PCI-Passthrough).

@aqui: Sorry, hatte ich vergessen: ist HTTP-Traffic. Zieladresse: WAN-Port von der UTM (wie bereits beschrieben).

@Lochkartenstanzer: Wie ich schon beschrieben habe: eine Ausnahmeregel für Amazon ist in der Firewall bereits definiert und auch der Filter für Streaming und Videodienste ist abgeschaltet.

Im Webfilter habe ich auch den Scan für Dateien größer 50 MB deaktiviert.
Bitte warten ..
Mitglied: itisnapanto
18.04.2017 um 16:27 Uhr
Hmm über Putty kann man sich doch den Traffic Live anzeigen mit Quelle und Ziel samt Ports .

Vielleicht das erstmal schauen, damit man genau weiß, wer den Traffic von wo nach wo haben will .
Bitte warten ..
Mitglied: Lochkartenstanzer
18.04.2017 um 17:24 Uhr
Zitat von ketanest112:

@Lochkartenstanzer: Wie ich schon beschrieben habe: eine Ausnahmeregel für Amazon ist in der Firewall bereits definiert und auch der Filter für Streaming und Videodienste ist abgeschaltet.

Im Webfilter habe ich auch den Scan für Dateien größer 50 MB deaktiviert.

Aber SmartTVs machen manchmal ganz andere Sachen als das, was sie sollen. Manche sind auch mit Malware verseucht. Insbesondere Samsungs (aber auch andere9 sind davon gerne betroffen.

Also Wireshark anwerfen udn schauen, wo der Traffic wirklich hingeht.

lks
Bitte warten ..
Mitglied: ketanest112
21.04.2017 um 19:49 Uhr
Laut einem Kollegen von mir Hostet Amazon teilweise die Video auch bei akamaitechnologies.

Ich habs jetzt so gelöst, dass der TV ne DHCP Reservierung erhält und für diese IP gibts ne Ausnahmeregelung für die Firewall.
Wahrscheinlich werde ich in Zukunft den TV direkt an die Fritte hängen, weil so eine Ausnahme in der Firewall ein gewisses Risiko darstellt.

Danke euch trotzem für die vielen Ideen und Vorschläge!!

Grüße
Ketanest
Bitte warten ..
Ähnliche Inhalte
Router & Routing

WatchGuard FireWatch XTM2 produziert mehr Traffic als effektiv genutzt wird

Frage von Reini82Router & Routing7 Kommentare

Hallo Leute, ich habe ein WatchGuard XTM2 mit dem unten aufgeführten Aufbau. Die Router und die Watchguard hängen per ...

Firewall

SMTP Traffic über die Firewall

Frage von niLuxxFirewall20 Kommentare

Liebe Community, ich hätte eine kurze Frage an euch. Seit nunmehr ein paar Tagen registriere ich auf unserer Firewall ...

Netzwerke

Zywall Blockt Traffic von ASA Firewall

gelöst Frage von DoktorAerztNetzwerke7 Kommentare

Hallo Zusammen, wir sind aktuell dabei auf eine Cisco ASA 5516 umzusteigen. Unsere alte Firewall die ZyWALL USG 200 ...

Windows Server

Firewall mit benutzerspezifischen Outbound-Traffic Filtern

Frage von Temmo1Windows Server

Hallo, wir betreiben einen Terminalserver auf Basis WIN2008R2 / WIN2012R2 und würden gerne den Outbound Traffic auf Basis Active ...

Neue Wissensbeiträge
Sicherheit

Mehrere Sicherheitslücken in QNAP-NAS-Systemen aufgetaucht

Information von transocean vor 1 TagSicherheit

Moin, QNAP hat drei Sicherheitsprobleme publik gemacht und empfiehlt sofortiges Update. Gruß Uwe

DNS

"Quickie": Mozillas "DNS over HTTPS" in pfSense blockieren

Anleitung von FA-jka vor 1 TagDNS5 Kommentare

Hallo, Mozilla macht jetzt wohl wirklich Ernst mit "DNS over HTTPS" (kurz: DoH). Damit werden sämtliche DNS-Anfragen zu entsprechenden ...

Sicherheit
Störung bei Telematikinfrasturktur GEMATIK
Information von lcer00 vor 1 TagSicherheit

Am 27. Mai 2020 ist es offenbar zu einer Fehlkonfiguration in der Zentralen Telematikinfrastruktur gekommen. Nähreres dazu findet sich ...

Informationsdienste

Trump vs Twitter - Angriff auf die Meinungsfreiheit?

Information von Frank vor 2 TagenInformationsdienste3 Kommentare

Trump nutzt Twitter rege. Nach Hinweisen auf Falschbehauptungen drohte er dem Dienst. Was das bedeutet und die Konsequenzen dazu ...

Heiß diskutierte Inhalte
Exchange Server
Automatische Antwort - Weiterleitung - zweite automatische Antwort - keine Weiterleitung?
Frage von dertowaExchange Server18 Kommentare

Hallo zusammen, da mich der Microsoftsupport ein wenig fassungslos machte versuche ich hier mal mein Glück und wenn es ...

Netzwerkgrundlagen
PF Sense - Keine Verbindung nach "außen"
gelöst Frage von mario89Netzwerkgrundlagen14 Kommentare

Hallo Leute, muss euch nochmalum Rat fragen. Weil irgendwie komme ich nicht weiter. Hintergrund ist, dass ich bei meiner ...

Windows Netzwerk
Verbindungsabbrüche Netzwerkkarte
Frage von Dukenukem264Windows Netzwerk14 Kommentare

Hallo Zusammen, habe eine kleine Frage, vielleicht hat der Ein oder Andere schonmal das Problem gehabt. Habe ein MSI ...

Hardware
Anbieter PC-Konfigurator mit Garantie UND vor-Ort-Service
gelöst Frage von ITler7Hardware13 Kommentare

Hallo zusammen, wir suchen aktuell nach einem Anbieter, bei dem wir einen PC konfigurieren können, ähnlich wie bei Alternate ...