11
FritzBox 7590 überlastet während Pausezeiten - Internetausfälle und hohe interne Ping-Antwortzeiten
Guten Tag liebes Forum,
ich habe seit einigen Monaten das folgende Problem:
Im Einsatz ist eine FritzBox 7590, angebunden (mit Übersetzer) an eine 1 GBit/s Glasfaserleitung. Dahinter steht eine Firewall, SecurePoint RC400, woran das LAN angebunden ist.
Topologie: LAN - SecurePoint Firewall - FritzBox - Internet.
Die Firewall unterhält sich über ein Transfernetz an einem separaten Port mit der Fritzbox. Das LAN ist logischerweise über einen anderen Port/Schnittstelle auf der Firewall angeschlossen.
Es gibt ca. 70 User (mal mehr, mal weniger), die den Internetanschluss nutzen. Im Normalbetrieb funktioniert alles reibungslos, von den 1 Gbit kommen ca. 600-900 Mbit an den Rechnern (Speedtest) an und die Fritzbox antwortet auf Pings in <1-5ms.
Während der Pausezeiten ist uns aufgefallen, dass die Internetverbindung teilweise spürbar langsamer wird, manchmal sogar total ausfällt, sodass keine Webseite mehr lädt. Ein interner Ping auf die Fritzbox gab Auskunft über das Problem: An schlimmen Tagen antwortet sie mit 400-700ms, viele Ping-Pakete laufen sogar in eine Zeitüberschreitung (und das im Ethernet!). Um die Firewall als Fehlerquelle auszuschließen, habe ich die Schnittstelle der Firewall, an der die Fritzbox hängt, ebenfalls direkt angepingt. Diese antwortet mit <1ms. Das Problem liegt also (nach meinem Verständnis) bei der Fritzbox, da Pings bis unmittelbar vor die Fritzbox schnell beantwortet werden. Die Geschwindigkeiten im Netzwerk während der Pausezeiten sind normal, interne Dienste sind gewohnt schnell erreichbar. An den Switchen kann es also auch nicht liegen.
Was wir bereits versucht haben:
- wir haben parallel zum Hauptnetz ein zweites Netz, welches u.a. für das Gäste-WLAN benutzt wird. Dieses haben wir physikalisch aus der Firewall herausgezogen, während die Fritzbox langsam geantwortet hat. Dies brachte keine Besserung. Das Problem muss also aus dem Hauptnetz resultieren.
- die Schnittstelle an der Fritzbox auf 100 Mbit/s gedrosselt, um die Netzwerklast der FB zu verringern. Auch das brachte keine Besserung.
- das Ethernet Kabel von der Firewall zur Fritzbox getauscht, ohne Erfolg
- die gesamte Fritzbox durch das gleiche Modell getauscht, um einen Hardwaredefekt auszuschließen. Auch ohne Erfolg.
Weitere Informationen:
- unter System -> Energiemonitor -> Statistik liegt die "CPU-Auslastung" der Fritzbox bei ca. 20-25% während der Arbeitszeit und ca. 10% nachts. Die Temperatur der CPU beträgt immer ca. 65°C. Vom RAM sind permanent 60% frei. Die Hardwareauslastung sieht für mich nicht auffällig aus.
- das Problem tritt NICHT immer auf - an manchen Tagen antwortet die Fritzbox auf Pings in den Pausen zwar etwas langsamer (3-50ms) als während der Arbeitszeit, aber sonst funktioniert alles normal. An anderen Tagen wiederum gibt es quasi einen Totalausfall mit extrem hohen Antwortzeiten (s.o.) und keinem Laden von Webseiten.
- die Internetverbindung (Unter System -> Ereignisse) wird während den geschilderten Ausfällen hin und wieder getrennt. Im Ereignisprotokoll steht dann "Internetverbindung wurde getrennt.", gefolgt von "Zeitüberschreitung bei der PPP-Aushandlung" und anschließendem "Internetverbindung wurde erfolgreich hergestellt". Das alles passiert in ca. 5 Sekunden.
Abschließende Überlegungen:
- Ist die Fritzbox eventuell zu schwach für eine derartige Useranzahl? Brauchen wir schlichtweg einen leistungsstärkeren Router?
- Ist es möglich, dass wir von außen einen DDoS verpasst bekommen, der die Fritzbox lahm legt? Wenn ja - wieso immer in den Pausezeiten (wäre doch großer Zufall), schließe ich quasi aus.
- Kann es sein, dass ein Anwender von innen es durch welche Mittel auch immer schafft, die Fritzbox wissentlich oder unwissentlich zu überlasten?
- Liegt es vielleicht gar nicht an der Fritzbox, sondern an irgendwas anderem, was wir nicht auf dem Schirm haben?
- Wie kann man grundsätzlich einem solchen Problem auf die Schliche kommen?
Falls irgendwer mit etwas Ähnlichem schonmal Erfahrungen gemacht hat oder sich vorstellen kann, woran es liegt, wäre ich über sämtliche Hinweise sehr dankbar.
Vielen Dank für Eure Hilfe, bis dahin
ich habe seit einigen Monaten das folgende Problem:
Im Einsatz ist eine FritzBox 7590, angebunden (mit Übersetzer) an eine 1 GBit/s Glasfaserleitung. Dahinter steht eine Firewall, SecurePoint RC400, woran das LAN angebunden ist.
Topologie: LAN - SecurePoint Firewall - FritzBox - Internet.
Die Firewall unterhält sich über ein Transfernetz an einem separaten Port mit der Fritzbox. Das LAN ist logischerweise über einen anderen Port/Schnittstelle auf der Firewall angeschlossen.
Es gibt ca. 70 User (mal mehr, mal weniger), die den Internetanschluss nutzen. Im Normalbetrieb funktioniert alles reibungslos, von den 1 Gbit kommen ca. 600-900 Mbit an den Rechnern (Speedtest) an und die Fritzbox antwortet auf Pings in <1-5ms.
Während der Pausezeiten ist uns aufgefallen, dass die Internetverbindung teilweise spürbar langsamer wird, manchmal sogar total ausfällt, sodass keine Webseite mehr lädt. Ein interner Ping auf die Fritzbox gab Auskunft über das Problem: An schlimmen Tagen antwortet sie mit 400-700ms, viele Ping-Pakete laufen sogar in eine Zeitüberschreitung (und das im Ethernet!). Um die Firewall als Fehlerquelle auszuschließen, habe ich die Schnittstelle der Firewall, an der die Fritzbox hängt, ebenfalls direkt angepingt. Diese antwortet mit <1ms. Das Problem liegt also (nach meinem Verständnis) bei der Fritzbox, da Pings bis unmittelbar vor die Fritzbox schnell beantwortet werden. Die Geschwindigkeiten im Netzwerk während der Pausezeiten sind normal, interne Dienste sind gewohnt schnell erreichbar. An den Switchen kann es also auch nicht liegen.
Was wir bereits versucht haben:
- wir haben parallel zum Hauptnetz ein zweites Netz, welches u.a. für das Gäste-WLAN benutzt wird. Dieses haben wir physikalisch aus der Firewall herausgezogen, während die Fritzbox langsam geantwortet hat. Dies brachte keine Besserung. Das Problem muss also aus dem Hauptnetz resultieren.
- die Schnittstelle an der Fritzbox auf 100 Mbit/s gedrosselt, um die Netzwerklast der FB zu verringern. Auch das brachte keine Besserung.
- das Ethernet Kabel von der Firewall zur Fritzbox getauscht, ohne Erfolg
- die gesamte Fritzbox durch das gleiche Modell getauscht, um einen Hardwaredefekt auszuschließen. Auch ohne Erfolg.
Weitere Informationen:
- unter System -> Energiemonitor -> Statistik liegt die "CPU-Auslastung" der Fritzbox bei ca. 20-25% während der Arbeitszeit und ca. 10% nachts. Die Temperatur der CPU beträgt immer ca. 65°C. Vom RAM sind permanent 60% frei. Die Hardwareauslastung sieht für mich nicht auffällig aus.
- das Problem tritt NICHT immer auf - an manchen Tagen antwortet die Fritzbox auf Pings in den Pausen zwar etwas langsamer (3-50ms) als während der Arbeitszeit, aber sonst funktioniert alles normal. An anderen Tagen wiederum gibt es quasi einen Totalausfall mit extrem hohen Antwortzeiten (s.o.) und keinem Laden von Webseiten.
- die Internetverbindung (Unter System -> Ereignisse) wird während den geschilderten Ausfällen hin und wieder getrennt. Im Ereignisprotokoll steht dann "Internetverbindung wurde getrennt.", gefolgt von "Zeitüberschreitung bei der PPP-Aushandlung" und anschließendem "Internetverbindung wurde erfolgreich hergestellt". Das alles passiert in ca. 5 Sekunden.
Abschließende Überlegungen:
- Ist die Fritzbox eventuell zu schwach für eine derartige Useranzahl? Brauchen wir schlichtweg einen leistungsstärkeren Router?
- Ist es möglich, dass wir von außen einen DDoS verpasst bekommen, der die Fritzbox lahm legt? Wenn ja - wieso immer in den Pausezeiten (wäre doch großer Zufall), schließe ich quasi aus.
- Kann es sein, dass ein Anwender von innen es durch welche Mittel auch immer schafft, die Fritzbox wissentlich oder unwissentlich zu überlasten?
- Liegt es vielleicht gar nicht an der Fritzbox, sondern an irgendwas anderem, was wir nicht auf dem Schirm haben?
- Wie kann man grundsätzlich einem solchen Problem auf die Schliche kommen?
Falls irgendwer mit etwas Ähnlichem schonmal Erfahrungen gemacht hat oder sich vorstellen kann, woran es liegt, wäre ich über sämtliche Hinweise sehr dankbar.
Vielen Dank für Eure Hilfe, bis dahin
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 2360044941
Url: https://administrator.de/contentid/2360044941
Printed on: April 26, 2024 at 01:04 o'clock
11 Comments
Latest comment
Generelle Frage: Warum hast du die FB überhaupt als völlig überlüssigen "Durchlauferhitzer" am Glasfaser und nicht die Firewall direkt ? Wäre doch insgesamt sinnvoller, da die FB ja völlig ohne Funktion in dem Kaskaden Konstrukt ist. Doppeltes NAT und doppeltes Firewalling ist doch designtechnisch völlig unsinnig wenn man eine leistungsfähige Firewall betreibt wie in deinem Netz.
Macht die FB nur Voice wäre es auch deutlich sinnvoller sie nur als einfachen IP Host im lokalen LAN als reine Telefonanlage zu betreiben als so in einem generell immer schlechten Kaskaden Konstrukt !
Diese sinnvolle Umstellung deines Designs hätte dir sofort die Frage beantwortet ob die FB der Verursacher ist oder nicht.
So oder so gehört so eine Consumer Plastebox NICHT in einen Firmennetz was du sicher auch selber weisst. Wozu auch wenn eine SecurePoint RC400 das allemal besser kann ?!
Macht die FB nur Voice wäre es auch deutlich sinnvoller sie nur als einfachen IP Host im lokalen LAN als reine Telefonanlage zu betreiben als so in einem generell immer schlechten Kaskaden Konstrukt !
Diese sinnvolle Umstellung deines Designs hätte dir sofort die Frage beantwortet ob die FB der Verursacher ist oder nicht.
So oder so gehört so eine Consumer Plastebox NICHT in einen Firmennetz was du sicher auch selber weisst. Wozu auch wenn eine SecurePoint RC400 das allemal besser kann ?!
Unser Firewall-Dienstleister hat uns die FritzBox, als wir unsere neue Leitung bekamen, empfohlen.
Zeugt von keiner großen Fachkompetenz. Einer Firma einen billigen Plaste Consumer Router zu empfehlen sagt eigentlich alles. Ohne Worte...!
1
Hallo,
70 User an ne Fritzbox hängen ist meiner Meinung nach eher ein schlechter Witz.
Mit hat das bei ähnlicher größe die Telekom einen Cisco 4300 hingestellt und das bei einer 100Mbit Glasfaser
70 User an ne Fritzbox hängen ist meiner Meinung nach eher ein schlechter Witz.
Mit hat das bei ähnlicher größe die Telekom einen Cisco 4300 hingestellt und das bei einer 100Mbit Glasfaser
2
Moin,
Wie die Kollegen schon sagten: Die Fritzbox ist hier fehl am Platz. Als Router ist sie am Glasfaseranschluß unnötig, wenn man eine Firewall hat. Un als "Telefonanlage" gehört sie hinter die Firewall.
lks
Wie die Kollegen schon sagten: Die Fritzbox ist hier fehl am Platz. Als Router ist sie am Glasfaseranschluß unnötig, wenn man eine Firewall hat. Un als "Telefonanlage" gehört sie hinter die Firewall.
lks
1
Hallo,
dasselbe Problem hatte ich auch vor 2 Jahren und ich habe über Wochen mit dem AVM Support telefoniert. Das Problem konnte auch durch den Tausch der Box nicht geklärt werden. Ich würde an deiner Stelle die Box gegen einen vernünftigen Router tauschen. Seitdem ist bei uns Ruhe.
Gruß!
dasselbe Problem hatte ich auch vor 2 Jahren und ich habe über Wochen mit dem AVM Support telefoniert. Das Problem konnte auch durch den Tausch der Box nicht geklärt werden. Ich würde an deiner Stelle die Box gegen einen vernünftigen Router tauschen. Seitdem ist bei uns Ruhe.
Gruß!
1
Moin...
wenn du doch schon eine SecurePoint RC400 hast, wozu die Fritte?
sachen gibbet
Frank
wenn du doch schon eine SecurePoint RC400 hast, wozu die Fritte?
sachen gibbet
Frank
Moin,
finde den Fehler, wenn man einen Consumer-Router, der nur für 10 Endgeräte ausgelegt ist, auf das 7fache loslässt…
Und dabei geht es nichtmal um die Anzahl selber, sondern um die parallelen Sessions, die das Gerät verarbeiten muss.
Nimm die Fritzbox raus und lass die Securepoint die Einwahl machen.
VG
finde den Fehler, wenn man einen Consumer-Router, der nur für 10 Endgeräte ausgelegt ist, auf das 7fache loslässt…
Und dabei geht es nichtmal um die Anzahl selber, sondern um die parallelen Sessions, die das Gerät verarbeiten muss.
Nimm die Fritzbox raus und lass die Securepoint die Einwahl machen.
VG
1
Fritzbox antwortet auf Pings in <1-5ms
Im LAN erwarte ich eher unter 1 ms, Im Wifi ggf 2 ms mit Schwankungen …. in 5-10 wäre es eigentlich fein auf dem (externen) DNS zu landen. Kann mir kaum vorstellen, dass das mit Glasfaser schlecht wird?!
Das hängt natürlich auch von der Topologie ab, trotzdem würde ich unnötige Zwischenstufen eliminieren. In Deinem Fall die Fritze - oder die Firewall. Was aber wohl weniger Sinn macht 😉
Für die fritzbox sind das wohl etwa 60 Benutzer zu viel.
Mit stellt sich die Frage, ob und warum die Mitarbeiter in der Pause das Firmennetzwerk für ihre Freizeit nutzen dürfen.
Für private Nutzung würde ich das direkt sperren und fertig.
Mit stellt sich die Frage, ob und warum die Mitarbeiter in der Pause das Firmennetzwerk für ihre Freizeit nutzen dürfen.
Für private Nutzung würde ich das direkt sperren und fertig.
Moin...
was wäre wenn die firma den durchsatz zum arbeiten brauchst!?!?!
Frank
Zitat von @Milord:
Für die fritzbox sind das wohl etwa 60 Benutzer zu viel.
Mit stellt sich die Frage, ob und warum die Mitarbeiter in der Pause das Firmennetzwerk für ihre Freizeit nutzen dürfen.
Für private Nutzung würde ich das direkt sperren und fertig.
ich würde erst gar nicht, so einen murks zusammenbauen....Für die fritzbox sind das wohl etwa 60 Benutzer zu viel.
Mit stellt sich die Frage, ob und warum die Mitarbeiter in der Pause das Firmennetzwerk für ihre Freizeit nutzen dürfen.
Für private Nutzung würde ich das direkt sperren und fertig.
was wäre wenn die firma den durchsatz zum arbeiten brauchst!?!?!
Frank
2
Offiziell ist die RC200 auch für maximal 50 Benutzer ausgelegt.
Und ja, höchstwahrscheinlich ist die FritzBox hier überflüssig, ich kenne das von diversen Kunden, die diese unbedingt wegen der Telefonie behalten wollten. Auch dafür gibt es aber vernünftigere Alternativen.
Ist der HTTP-Proxy auf der Securepoint aktiv? Das würde schonmal laut Datenblatt den Durchsatz auf 800Mbit verringern.
Ich würde mal schauen was für ein Traffic da genau aufläuft, und wo dieser herkommt.
Und ja, höchstwahrscheinlich ist die FritzBox hier überflüssig, ich kenne das von diversen Kunden, die diese unbedingt wegen der Telefonie behalten wollten. Auch dafür gibt es aber vernünftigere Alternativen.
Ist der HTTP-Proxy auf der Securepoint aktiv? Das würde schonmal laut Datenblatt den Durchsatz auf 800Mbit verringern.
Ich würde mal schauen was für ein Traffic da genau aufläuft, und wo dieser herkommt.
Ich bedanke mich bei euch allen für die Hilfe!
Ich habe jetzt die RC400 direkt an das Glasfaser angeschlossen und es funktioniert. Hoffentlich wird das das Problem behoben haben, gehe ich aber stark von aus.
PS: Als Telefonanlage brauchten wir sie nicht, dafür haben wir eine separate. Unser Firewall-Dienstleister hat uns die FritzBox, als wir unsere neue Leitung bekamen, empfohlen. Vielleicht sollten wir diesen Überdenken.
Viele Grüße und ein schönes Wochenende!
Ich habe jetzt die RC400 direkt an das Glasfaser angeschlossen und es funktioniert. Hoffentlich wird das das Problem behoben haben, gehe ich aber stark von aus.
PS: Als Telefonanlage brauchten wir sie nicht, dafür haben wir eine separate. Unser Firewall-Dienstleister hat uns die FritzBox, als wir unsere neue Leitung bekamen, empfohlen. Vielleicht sollten wir diesen Überdenken.
Viele Grüße und ein schönes Wochenende!
2