handoku
Goto Top

Hilfestellung bei der Analyse von Netzwerkproblemen

Wir haben in unserem Büro einen neuen Vodafone-Kabelnetzanschluss mit einem 40/600-Tarif bekommen. Nachdem uns zuerst eine Fritzbox 6591 hingestellt wurde, haben wir des NAT-Kaskading wegens interveniert und dann ein Hitron CGNV4 mit Firmware 4.5.10.192-CD-UPC bekommen. Dahinter hängt ein DrayTek-Router, der in den nächsten Tagen von einer pfSense auf einer IPU672 abgelöst wird (danke an @radiogugu). Und dahinter ein uralter Cisco-Catalyst neben einem ebenfalls alten Zyxxel-Switch, die demnächst von einem Cisco SG220 abgelöst werden (danke an @aqui).

Das Problem: Wir beobachten derzeit ein- bis zweimal in der Woche Internet-Ausfälle von jeweils 2-5 Minuten, die für unsere HomeOffice-Kollegen unterbrochene Telefonate und Remote Desktop-Verbindungen bedeuten.

Vodafone bestätigt, dass es zu Verbindungsabbrüchen kommt und das Modem wurde mittlerweile dreimal getauscht. Laut dem 1ndLevel-Support ist mit den Leitungen alles in Ordnung. Er geht daher davon aus, dass die Probleme entweder im Vodafone-Kabelnetz oder in unserem lokalen Netz zu suchen sind. Vielleicht schieße ein lokales Gerät den Router regelmäßig ab.

Auch der 2ndLevel-Support verwies bei einem gemeinsam Telefonat mit mir und dem 1ndLevel-Support auf ein Problem in unserem lokalen Netz, das den Router ab und an in die Knie zwingt.

Laut 2ndLevel-Support werden die sich nur dann intensiver mit der Angelegenheit auseinandersetzen, wenn wir "Beweise" in Form eines PingPlotter-Protokolls haben, die zeigen, dass die Internetverbindung auch dann abbricht, wenn nur der den PingPlotter ausführende Rechner direkt am Modem hängt, während das gesamte lokale Netz abgeklemmt ist.

Da die Abbrüche nur ein- bis zweimal in der Woche vorkommen und auch mal eine Woche aussetzen, ist es da mit einem Test am Wochenende nicht unbedingt getan und ich weiß nicht, ob mir der Nachweis gelingt.

Ich denke bereits über einen Providerwechsel nach, aber grundsätzlich halte ich es natürlich für sinnvoll, den "Gesundheitszustand" unseres lokalen Netzes einmal genauer zu untersuchen und etwas tiefer in die Materie einzusteigen.

Die Frage ist, wie soll ich beginnen. Wie finde ich heraus, ob "böse Pakete" in unserem Netzwerk herumschwirren, die das Kabelmodem beeinträchtigen? Und wie kann ich ein aussagekräftiges Monitoring der WAN-Anbindung aufsetzen, um Verbindungsabbrüche nachzuweisen? Momentan nutze ich ein Dauerping auf den Google-DNS-Server, aber der 2ndLevel-Support hält das nicht für aussagekräftig und wünscht sich eine PingPlot-Analyse.

Ich habe mir den Absatz 1 Was ist so los im eigenen LAN oder WLAN…??? aus der "Anleitung Netzwerk Management Server mit Raspberry Pi" von @aqui durchgelesen – super spannend, aber da schwirrt mir offen gestanden schon der Kopf. Welche Tools helfen mir wirklich weiter? Vielleicht habt ihr ein paar Tipps, mit welchem Konzept ich idealerweise ansetzen sollte ... danke!

Content-ID: 603884

Url: https://administrator.de/contentid/603884

Ausgedruckt am: 22.11.2024 um 22:11 Uhr

aqui
aqui 11.09.2020 aktualisiert um 18:58:31 Uhr
Goto Top
Vielleicht schieße ein lokales Gerät den Router regelmäßig ab.
Meinst du damit den Draytek oder das Hitron was "abgeschossen" wird ???
Das das Hitron auch als Router laufen kann ist dir bewusst ?? Siehe dazu:
https://www.vodafonekabelforum.de/viewtopic.php?p=651863
Die o.a. Leidensgeschichte nährt den Verdacht das es ggf. weiter als Router und dann wieder mit doppeltem NAT arbeitet. Versteht man den Thread dort richtig kann wohl nur Vodafone per Fernkonfig das Setup des Hitron entsprechend anpassen ?!
Ein Screenshot des aktuellen Hitron Setups (sofern man darauf als Kunde Zugriff hat) wäre also einmal sehr hilfreich hier für eine zielführende Hilfestellung !
Wichtig auch zu wissen ob die öffentliche Internet IP am Draytek WAN Port terminiert ist ? (Was sie sein sollte und zudem der Draytek WAN Port im DHCP Client Mode sein muss !!)
Oder ob dort eine RFC 1918, private IP ist die dann verifizieren würde das das Hitron eben nicht als reines Modem sondern wieder als NAT Router arbeiten würde !
Auch hier wäre ein Setup Screenshot für eine zielführende Hilfe sehr gut gewesen. face-sad

Da es ja aber so oder so immer in einer Kaskade rennt mit dem Draytek könnte also rein nur der Draytek das Hitron beeinflussen.
Aber hier begibt man sich jetzt wieder in den Bereich der wilden Raterei, weil du nicht einwandfrei gepostet hast ob sich nun das Hitron weghängt oder aber der Draytek ??? Oder auch beide...
Sinnvoll wäre hier einmal mit einem parallelen Dauerping wie z.B. Big_Brother oder deinem PingPlotter parallel 4 Host IP Adressen zu überwachen:
  • IP im Internet z.B. 8.8.8.8
  • Management IP des Hitron
  • LAN IP des Draytek
  • WAN IP des Draytek
Hast du einen Ausfall kann man dann anhand des ausgefallenen Ping Musters einigermaßen dediziert sagen welche Komponente davon betroffen ist und dann dort mehr in der Tiefe suchen.
Momentan nutze ich ein Dauerping auf den Google-DNS-Server
Wenig bis gar nicht hilfreich, weil du so niemals sagen kannst welche Komponenten genau betroffen ist ! Kommst du mit etwas nachdenken auch sicher selber drauf ?!
Wie finde ich heraus, ob "böse Pakete" in unserem Netzwerk herumschwirren, die das Kabelmodem beeinträchtigen?
Wäre ja Blödsinn, denn zwischen deinem Kabel Modem (sofern es denn wirklich als reines Modem arbeitet, siehe oben ?!) und deinem lokalen LAN werkelt ja immer noch der Draytek Router ! Folglich gibt es direkt dann ja keine Verbindung lokales LAN zu Hitron. Also kann direkt aus dem LAN auch niemals was kommen...logisch !
Welche Tools helfen mir wirklich weiter?
Erst mal ganz Einfache wie die obigen damit nichts schwirrt ! face-wink
SeaStorm
SeaStorm 11.09.2020 um 14:16:44 Uhr
Goto Top
Hi

hänge doch mal einen Rechner direkt an den Hitron und starte von dem aus den Pingplotter.
Parallel dazu auf einem anderen Rechner im Netzwerk auch einen Pingplotter laufen lassen.

Dann siehst du auf jeden Fall mal ob der Ausfall irgendwo zwischen Hitron und Internet geschieht oder ob das nur Innerhalb des Netzes auftritt.

Leider hast du nicht geschrieben ob der Hitron als "Modem" oder als Router läuft. Wenn er als Router läuft, dann bringt er erst mal so viel (oder weniger) wie die Fritte, weil da dann auch NAT erfolgt.
Wenn es ein Modem ist, dann brauchst du auf jeden Fall eine zweite IP, die der hier erste Rechner nehmen kann, der direkt am Hitron hängt.

Ansonsten solltet ihr halt auch schnellsten mal die "uralten Switche" tauschen um die als Ursache auszuschliessen.


Noch ein Gedanke: Der Hitron hat ja sicher auch irgendeine Art von WAN Schnittstellen-Information. Was steht denn da zur Einwahl wenn der Ausfall stattfindet?
ChriBo
ChriBo 11.09.2020 um 16:25:42 Uhr
Goto Top
Hi,
als Ergänzung zu den von @aqui genannten Zieladressen:
den DNS server des Providers von intern
die WAN Adresse und das Gateway von extern

CH
chgorges
chgorges 11.09.2020 um 22:06:18 Uhr
Goto Top
Zitat von @HanDoku:

Nachdem uns zuerst eine Fritzbox 6591 hingestellt wurde, haben wir des NAT-Kaskading wegens interveniert und dann ein Hitron CGNV4 mit Firmware 4.5.10.192-CD-UPC bekommen.

Sorry, selber Schuld, wer tauscht freiwillig ein gutes Gerät gegen ein erwiesenes Drecksgerät wie das Hitron Modem ein?

Ihr seid bzw. auch falsch informiert bzgl. NAT, die Fritzbox macht bei den CI Verträgen reines bridging, von NAT weit und breit keine Spur...
HanDoku
HanDoku 13.09.2020 um 12:03:38 Uhr
Goto Top
@chgorges: Mit dem Bridging hat uns Vodafone geködert, es ist aber leider nicht zutreffend und auch Vodafone hat sich diesbezüglich revidiert. In der Fritzbox kann nur für eine einzige statische WAN-IP ein Exposed Host angelegt werden - für alle weiteren statischen WAN-IPs können dann nur noch einzelne Portfreigaben für weitere Geräte im LAN angelegt werden. Vodafone verschickt sogar ein PDF, das diese umständliche Prozedur beschreibt.

Der Router oder die Firewall kann also nicht über alle statische WAN-IPs angesprochen werden und das ist der Grund für das Hitron, welches wirklich im Bridge-Modus läuft.

Hast Du selbst eine Fritzbox mit einem CI Vertrag im Bridge-Modus im Einsatz? Wäre spannend zu wissen, ob Vodafone die Fritzbox eventuell nur falsch konfiguriert hat.
HanDoku
HanDoku 13.09.2020 um 12:12:10 Uhr
Goto Top
@aqui: Ich werfe jetzt erstmal den Draytek-Router raus, nehme die pfSense in Betrieb und kümmere mich dann um die Switche.
aqui
aqui 13.09.2020 aktualisiert um 12:36:04 Uhr
Goto Top
In der Fritzbox kann nur für eine einzige statische WAN-IP ein Exposed Host angelegt werden
Exposed Host bedeutet dann aber ganz klar das die FritzBox NICHT als reines Modem arbeitet sondern als Router ! Was dann wieder doppeltes NAT und doppelte Firewall mit Performance Verlust bedeutet.
Ok, egal da die FB ja so oder so nicht mehr im Betrieb ist, also vergessen...

Deshalb dann vermutlich auch das Hitron Modem was dann hoffentlich jetzt auch als reines Modem arbeitet.
Kannst du ja mit der pfSense immer genau verifizieren wenn du dir in der Interface Übersicht dir das WAN Interface ansiehst !
Hier sollte dann keine RFC 1918 IP Adresse zu sehen sein sondern immer die öffentliche IP des Providers !
Das verifiziert dann wasserdicht das das Modem auch als nur Modem arbeitet.
wan
chgorges
chgorges 17.09.2020 um 20:36:41 Uhr
Goto Top
Zitat von @HanDoku:

Hi,
Hast Du selbst eine Fritzbox mit einem CI Vertrag im Bridge-Modus im Einsatz? Wäre spannend zu wissen, ob Vodafone die Fritzbox eventuell nur falsch konfiguriert hat.

Ich hab 15 CI1000/60 Verträge in der Betreuung, jeweils mit ner Fritzbox 6591.
An allen Anschlüssen habe ich 5 statische WAN-IP-Adressen, die ich durch den Bridge-Modus abrufen kann.
Die Fritzbox macht an der Stelle kein NAT, sondern arbeitet exakt wie das Hitron Modem.

Der Unterschied zwischen beiden Geräten ist die interne Firewall, die Fritte hat eine, das Hitron keine.

Deshalb muss man an der Fritte seine WAN-Geräte als Exposed Host eintragen, oder halt einzelne Ports öffnen.
Beim Hitron musste man hingegen gar nichts machen, konnte man auch nicht, weil kein Zugriff.

Aber auch aqui weiß nicht immer alles, bzw. hat wohl noch keine Fritten an den CI Verträgen unserer VF-Freunde gesehen.
HanDoku
HanDoku 18.09.2020 um 08:34:35 Uhr
Goto Top
Danke @chgorges . Bei der Einrichtung der Fritzbox konnte ich allerdings definitiv nur eine statische IP als Exposed Host anlegen – das hat die Fritzbox beim Versuch, eine zweite abzulegen, auch explizit gemeldet. Daher die Frage, ob das eventuell seitens Vodafone falsch eingerichtet gewesen sein könnte. Ich habe die Fritzbox nämlich noch hier und hätte keine Scheu, einen zweiten Anlauf zu machen, wenn ich wüsste, dass das sinnvoll ist. Das würde ein späteres Upgrade auf CI1000/60 deutlich erleichtern, sollte es notwendig werden.
aqui
aqui 18.09.2020 aktualisiert um 09:17:00 Uhr
Goto Top
Der Unterschied zwischen beiden Geräten ist die interne Firewall, die Fritte hat eine, das Hitron keine.
Hier widersprichst du dich jetzt aber diametral.
Die Firewall auf der FritzBox kann einzig nur im Routing Modus arbeiten aber niemals ist sie im Bridge Mode aktiv.
Wenn du also schreibst das die Firewall der Unterschied ist impliziert das automatisch das die FritzBox im Router Mode arbeitet und eben nicht im Bridge Mode. Da das NAT bei der FritzBox im Router Mode auch nicht abgeschaltet werden kann, besagt das dann das dort NAT immer aktiv ist. Sprich die FritzBox arbeitet dann immer mit NAT wenn die Firewall auf ihr aktiv ist.
Im Bridge Mode (und dann ohne Firewall !) arbeitet die FB dann quasi nur als reiner Layer 2 Medienwandler und im reinen NUR Modem Modus wie es (vermutlich) das Hitron ja macht.
Da es dann dort keinerlei IP Forwarding macht (ein reines Modem versteht kein IP Protokoll !!) ist alles IP bezogene wie Firewalling usw. immer außer Betrieb.
In der Beziehung ist es also völlig wirr was du erzählst und entspricht auch vermutlich nicht den Tatsachen.
Das aber nur nebenbei...

Um das Rätsel schnell und umfassend zu lösen hättest du nur ein einziges Mal einen Screenshot des WAN Port Status des dahinter kaskadierten Drayteks bzw. der neuen pfSense (Interface -> Status) hier posten müssen. Hat der eine RFC 1918 IP Adresse macht die FritzBox davor NAT. Hat er die öffentliche IP des Providers arbeitet sie als Bridge/nur Modem. So einfach ist das...
Leider hats ja dazu bis jetzt noch nicht gereicht... face-sad
Steht übrigens auch alles explizit im hiesigen pfSense Tutorial:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Bzw. im Hinweis über Router Kaskaden:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
chgorges
chgorges 18.09.2020 um 09:42:58 Uhr
Goto Top
Zitat von @aqui:

Der Unterschied zwischen beiden Geräten ist die interne Firewall, die Fritte hat eine, das Hitron keine.
Hier widersprichst du dich jetzt aber diametral.
Die Firewall auf der FritzBox kann einzig nur im Routing Modus arbeiten aber niemals ist sie im Bridge Mode aktiv.

Nope, die Firewall der Fritte ist zu 100% im Bridge-Modus aktiv (ja, ich weiß auch, es macht keinen Sinn), zeigt aber, dass du bisher mit dem Teil noch nie etwas zu tun hattest.

Ohne Exposed Host -> keine Portforwards auf meine VPN-Gateways
Mit Exposed Host oder alternativ ESP50/UDP500+4500 -> VPN geht
aqui
aqui 18.09.2020 aktualisiert um 09:53:22 Uhr
Goto Top
Du redest von "Exposed Host". Das ist kein Bridge oder PPPoE Passthrough Mode ! Nicht das wir hier was verwechseln. Die FB gaukelt in vielen Sachen nur vor das sie ein reines Modem/Bridge ist was sie dann aber nicht ist.
So oder so ist eine Router Kaskade generell Mist und wenn man kann sollte man immer, wenn irgend möglich, ein reines NUR Modem einsetzen.
Auch für den Kabel TV Bereich gibt es sowas ja mittlerweile:
Endlich: Reines Kabel-TV Modem in D erhältlich !
Für xDSL entsprechend...
Mit dem Status des kaskadierten WAN Ports und seiner Adressierung ist das Thema ja auch schnell geklärt ob NAT Kaskade oder nicht.
chgorges
chgorges 18.09.2020 aktualisiert um 10:33:57 Uhr
Goto Top
Nein, wenn ich die von VF zugewiesenen WAN-Adressen an den LAN-Ports der Fritte abgreifen kann, macht diese Bridging und kein Routing/NAT.

Dass man diese Geräte noch als Exposed Host eintragen oder Port Forwards machen muss, ist eine einmalige Sache, findet man sonst nicht in der IT und entbehrt sich auch mir jeglicher Logik.
HanDoku
HanDoku 18.09.2020 um 10:31:19 Uhr
Goto Top
Die letzten Tage habe ich mich schwerpunktmäßig mit den Vodafone-Support und Vodafone-Technikern rumgeschlagen. Ein wildes Hauen und Stechen zwischen NE3, NE4 und 2cond-Level mit echtem Realsatire-Charakter.

Ich bin mit der pfSense daher noch nicht soweit, @aqui

Um die Frage zu beantworten, derzeit hängt noch das Draytek am Hitron, und das offensichtlich ohne NAT:

wan-port
HanDoku
HanDoku 18.09.2020 um 10:38:26 Uhr
Goto Top
@chgorges Nochmal um ganz sicherzugehen: Du kannst bei Deinen Fritzboxen 6591 mehrere Exposed Hosts anlegen, richtig? Welche Firmware setzt Ihr da ein?
aqui
aqui 18.09.2020 aktualisiert um 11:37:09 Uhr
Goto Top
und das offensichtlich ohne NAT:
Definitiv ! 37.24.x.y ist ja de facto eine öffentliche IP. Alles gut also ! face-wink
Solch eine IP solltest du beim wirklichen NUR Modem Betrieb dann auch später an der pfSense (WAN Port) sehen !