daneck
Goto Top

Pingschutz und Zwangstrennung auf der Vigor 160

Hallo miteinander,

ich bräuchte eine kleine Hilfe und zwar, weiß ich gerade nicht genau, wie ich einen Pingschutz und eine Zwangstrennung auf dem Router einrichte.

Die DSL Verbindung tut jede 2 Stunden absacken und diese läuft durch eine Fortigate Firewall.


Hat jemand eine Erfahrung mit dem Router bzw. weiß grob, wo diese Einstellbar ist ?

Ich habe auch momentan bis nächste Woche keinen Zugriff auf die Oberfläche des Routers. Dennoch wäre es gut, an dem Tag vollends durchzustarten.


Ich danke im Voraus.

Content-ID: 12018818083

Url: https://administrator.de/contentid/12018818083

Printed on: November 5, 2024 at 02:11 o'clock

Spirit-of-Eli
Spirit-of-Eli Sep 29, 2023 at 12:11:14 (UTC)
Goto Top
Moin,

wer macht denn die Einwahl. Wenn es die Forti er ist, muss auf dem Interface ja einfach nur "Ping" abgewählt werden.

Der Vigor reagiert im Standard glaube ich nicht auf Ping. Ansonsten ist das entweder eine Interface Konfig oder unter den FW Rules zu finden.

Aber ich würde dir eh empfehlen die Einwahl über die Fortinet laufen zu lassen. Dann hast du das Theater nicht. Bricht denn der Snyc zusammeb?

Gruß
Spirit
ukulele-7
ukulele-7 Sep 29, 2023 at 12:12:26 (UTC)
Goto Top
Zitat von @Daneck:

ich bräuchte eine kleine Hilfe und zwar, weiß ich gerade nicht genau, wie ich einen Pingschutz und eine Zwangstrennung auf dem Router einrichte.
Okay, jedem sein Hobby.

Die DSL Verbindung tut jede 2 Stunden absacken und diese läuft durch eine Fortigate Firewall.
Hä? Was heißt absacken? Was hat das mit der Frage zu tun? Wieso macht die Fortigate nicht den Pingschutz?

Hat jemand eine Erfahrung mit dem Router bzw. weiß grob, wo diese Einstellbar ist ?
Ich habe einen Vigor 16x, hab ich seit 3 Jahren nicht angefasst. Ich meine das ist als Bridge konfiguriert, ich weiß noch das die Routing-Fähigkeiten nur sehr eingeschränkt waren. Aber du hast ja eine Fortigate (dahinter?), warum sollte dein Vigor überhaupt routen?

Ich habe auch momentan bis nächste Woche keinen Zugriff auf die Oberfläche des Routers. Dennoch wäre es gut, an dem Tag vollends durchzustarten.
Was ist denn an dem Tag?
aqui
aqui Sep 29, 2023 updated at 12:14:04 (UTC)
Goto Top
"Tuten tut der Nachtwächter. Und wenn er genug getutet hat, tut er seine Tute wieder in den Tutkasten rein."
Spaß beiseite...
Die Zwangstrennung kannst niemals du als Client einstellen, denn das initiiert immer nur der Provider. Da hast also du keinerlei Optionen das irgendwie zu beeinflussen.
Den Pingschutz machst du mit einem Blocking von ICMP Echo Requests in der Router Firewall. In der Regel ist das bei Routern über das GUI in den Firewall Settings einstellbar.

Der Vigor 160 ist üblicherweise ein reines NUR Modem und eher kein Router, bzw. hat nur sehr mickrige Router Funktionen. Betreibst du denn dieses Gerät als NAT Router oder als reines xDSL Modem z.B. mit einem aktiven PPPoE Gerät (Firewall etc.) dahinter?
Daneck
Daneck Sep 29, 2023 at 12:16:18 (UTC)
Goto Top
Zitat von @Spirit-of-Eli:

Moin,

wer macht denn die Einwahl. Wenn es die Forti er ist, muss auf dem Interface ja einfach nur "Ping" abgewählt werden.

Der Vigor reagiert im Standard glaube ich nicht auf Ping. Ansonsten ist das entweder eine Interface Konfig oder unter den FW Rules zu finden.

Aber ich würde dir eh empfehlen die Einwahl über die Fortinet laufen zu lassen. Dann hast du das Theater nicht. Bricht denn der Snyc zusammeb?

Gruß
Spirit

Hi,
es verhaut durch die Zwangssteuerung nach 2 Stunden die Verbindung. Ich habe aber herausgefunden, dass es unter dem Reboot-Optionen einstellbar ist - Werde ich mal testen.

Das mit dem Pingschutz müsst ich mal nachprüfen auf der Forti. War noch nie auf der Kiste drauf, da es nicht bei uns liegt und müssen nächste Woche bei der Nebenstelle dies fixen.
Daneck
Daneck Sep 29, 2023 at 12:18:43 (UTC)
Goto Top
Zitat von @aqui:

"Tuten tut der Nachtwächter. Und wenn er genug getutet hat, tut er seine Tute wieder in den Tutkasten rein."
Spaß beiseite...
Die Zwangstrennung kannst niemals du als Client einstellen, denn das initiiert immer nur der Provider. Da hast also du keinerlei Optionen das irgendwie zu beeinflussen.
Den Pingschutz machst du mit einem Blocking von ICMP Echo Requests in der Router Firewall. In der Regel ist das bei Routern über das GUI in den Firewall Settings einstellbar.

Der Vigor 160 ist üblicherweise ein reines NUR Modem und eher kein Router, bzw. hat nur sehr mickrige Router Funktionen. Betreibst du denn dieses Gerät als NAT Router oder als reines xDSL Modem z.B. mit einem aktiven PPPoE Gerät (Firewall etc.) dahinter?

Es wird als DSL Model verwendet bei der Nebenstelle. Wir müssen nächste Woche hin und die 2 Punkte fixen.
Das mit dem ICMP Exho Request werde ich mir auch mal anschauen, werde dann ein Update halten.
Daneck
Daneck Sep 29, 2023 at 12:20:46 (UTC)
Goto Top
Zitat von @ukulele-7:

Zitat von @Daneck:

ich bräuchte eine kleine Hilfe und zwar, weiß ich gerade nicht genau, wie ich einen Pingschutz und eine Zwangstrennung auf dem Router einrichte.
Okay, jedem sein Hobby.

Die DSL Verbindung tut jede 2 Stunden absacken und diese läuft durch eine Fortigate Firewall.
Hä? Was heißt absacken? Was hat das mit der Frage zu tun? Wieso macht die Fortigate nicht den Pingschutz?

Hat jemand eine Erfahrung mit dem Router bzw. weiß grob, wo diese Einstellbar ist ?
Ich habe einen Vigor 16x, hab ich seit 3 Jahren nicht angefasst. Ich meine das ist als Bridge konfiguriert, ich weiß noch das die Routing-Fähigkeiten nur sehr eingeschränkt waren. Aber du hast ja eine Fortigate (dahinter?), warum sollte dein Vigor überhaupt routen?

Ich habe auch momentan bis nächste Woche keinen Zugriff auf die Oberfläche des Routers. Dennoch wäre es gut, an dem Tag vollends durchzustarten.
Was ist denn an dem Tag?

Korrektur. Der Vigor wird als DSL Modem verwendet.
aqui
aqui Sep 29, 2023 updated at 12:28:38 (UTC)
Goto Top
Der Vigor wird als DSL Modem verwendet.
Dann musst und kannst du logischerweise das niemals auf dem Modem einrichten, denn das ist ja nur ein passiver Medienwandler der nichts mit der IP Kommunikation zu tun hat und lediglich nur "durchreicht".
Die IP Funktionen wie ICMP usw. sind dann natürlich immer auf dem nachgelagerten PPPoE Endgerät zu konfigurieren, da das ja dann die aktive, öffentliche IP hält.
Hier ist dann also eine Blockregel für eingehende ICMP Echo Request Frames zu setzen um ICMP basiertes Ping zu blockieren.
Spirit-of-Eli
Spirit-of-Eli Sep 29, 2023 at 12:30:35 (UTC)
Goto Top
Geh mal bitte richtig auf die Fragen ein.

Wenn der Vigor nur Modem ist und die public IP tatsächlich an der Fortinet anliegt gehst du vor, wie ich es beschrieben habe.

Ansonsten ist eben spannend was denn nun genau das Fehler Bild ist. Ich glaube nicht, das ne DSL Leitung wie ein Gummiband funktioniert.
ukulele-7
ukulele-7 Sep 29, 2023 updated at 12:37:46 (UTC)
Goto Top
Also Pingschutz = Fortigate, da sind sich alle einig.

Zitat von @Daneck:
es verhaut durch die Zwangssteuerung nach 2 Stunden die Verbindung. Ich habe aber herausgefunden, dass es unter dem Reboot-Optionen einstellbar ist - Werde ich mal testen.
Das klingt für mich so als würdest du das Modem automatisch alle 2h neu starten wollen um dein "Problem" mit der "runtergehenden" Verbindung "zu lösen". Das wird die Fortigate, die ja scheinbar die DSL Einwahl macht (oder ist die auf der Vigor konfiguriert?), sicherlich sehr irritieren und die verbundenen Clients noch mehr.
maretz
maretz Sep 29, 2023 at 13:49:37 (UTC)
Goto Top
Ich frage mich nur grade: Was verstehst du unter "Ping-Schutz" Wenn deine Leitung dadurch absemmelt das du nen paar Pings auf deine IP bekommst hast du ganz andere Sorgen.

Falls du dageben möchtest das man nicht weiss das du da bist wäre ein einfacher "drop" auch ziemlich sinnlos. Wenn du in nen Wald rein rufst "Ist da wer" und eine Stimme nur Antwortet "nein" dann weisst du auch das was nicht stimmt... Der router VOR dir müsste nämlich dann mit unreachable antworten... Und nebenbei kannst du dir die Mühe sparen - die meisten Script-Kiddys sind nunmal heute eh so blöd das die auch nicht vorher prüfen was wo ist, da wird einfach mit "Masse" versucht... Wenn man zB. nen Apache aufruft (default-config):
Server: Apache/2.4.37 (CentOS Stream) OpenSSL/1.1.1k SVN/1.10.2 mod_apreq2-20101207/2.8.1
Was glaubst du wieviele Angriffe da trotzdem noch laufen die versuchen ne cmd.exe aufzurufen? Und _deutlicher_ gehts wohl kaum das dort ne exe nicht funktionieren wird... Trotzdem werden artig alle möglichen Pfade probiert... Also mache dir jetzt keine Hoffnung das nen "Ping Drop" deine Sicherheit irgendwie merklich erhöht...
C.R.S.
C.R.S. Sep 29, 2023 at 14:54:21 (UTC)
Goto Top
Zitat von @aqui:

Die Zwangstrennung kannst niemals du als Client einstellen, denn das initiiert immer nur der Provider. Da hast also du keinerlei Optionen das irgendwie zu beeinflussen.

Der Zwangstrennung kommt man idealerweise zu einer definierten Zeit am Client zuvor, da Provider nach Ablauf von 24 Stunden trennen, aber die Wiederverbindung durch den Client Zeit beansprucht. Durch Aufsummieren dieser Zeit driftet die Zwangstrennung sonst über den Tag, hinein in produktive Zeiten. Die FortiGate hat dazu nur keine komfortable Einstellung, soweit ich weiß. Es wird sich aber über Skript-Scheduling lösen lassen.

Grüße
Richard
aqui
aqui Sep 29, 2023 at 16:59:07 (UTC)
Goto Top
Eine durch Zwangstrennung "heruntergefallene" PPPoE Session sollte die Firewall immer eigenständig wieder aufbauen. Solche simplen Banalitäten schafft sogar jede einfache Fritzbox!
Das riecht irgendwie nach einem PPPoE Konfig Fehler auf der Firewall?!
Daneck
Daneck Oct 02, 2023 at 09:15:56 (UTC)
Goto Top
Zitat von @Spirit-of-Eli:

Aber ich würde dir eh empfehlen die Einwahl über die Fortinet laufen zu lassen. Dann hast du das Theater nicht. Bricht denn der Snyc zusammeb?


Wir haben keine Meldung diesbezüglich erhalten, dass der Sync zusammengebrochen ist oder etwas dazu in den Logs steht.

Bzgl. der "Ping"-Eintstellung. Meinst du damit die Administrative Access ? Das ich dort die Option Ping bei IPv4 und IPv6 abwählen soll? Falls ja, für was ist das gut ?

Falls ich ich mich nicht täusche meintest du, dass die Option Ping fürs Modem "unnötig" ist.
aqui
aqui Oct 02, 2023 at 09:20:32 (UTC)
Goto Top
dass die Option Ping fürs Modem "unnötig" ist.
Ja, denn ein nur Modem nimmt ja bekanntlich gar nicht an der IP Kommunikation teil zwischen Internet und angeschlossenem PPPoE Endgerät. Infolgedessen ist dann ein Ping vollkommen sinnfrei bei einem nur Modem wie dem Vigor. Narürlich nur wenn es auch im reinen Modem Betrieb konfiguriert ist.
https://idomix.de/supervectoring-draytek-vigor-165-als-modem-einrichten
Daneck
Daneck Oct 02, 2023 at 10:44:05 (UTC)
Goto Top
Zitat von @aqui:

dass die Option Ping fürs Modem "unnötig" ist.
Ja, denn ein nur Modem nimmt ja bekanntlich gar nicht an der IP Kommunikation teil zwischen Internet und angeschlossenem PPPoE Endgerät. Infolgedessen ist dann ein Ping vollkommen sinnfrei bei einem nur Modem wie dem Vigor. Narürlich nur wenn es auch im reinen Modem Betrieb konfiguriert ist.
https://idomix.de/supervectoring-draytek-vigor-165-als-modem-einrichten

Alles klar. Ich werde am Donnerstag zu der Stelle fahren, wo sich das Modem befindet und geben im Anschluss hier mein "Fazit", was die Ursache war
Spirit-of-Eli
Spirit-of-Eli Oct 02, 2023 at 11:14:35 (UTC)
Goto Top
Zitat von @Daneck:

Zitat von @Spirit-of-Eli:

Aber ich würde dir eh empfehlen die Einwahl über die Fortinet laufen zu lassen. Dann hast du das Theater nicht. Bricht denn der Snyc zusammeb?


Wir haben keine Meldung diesbezüglich erhalten, dass der Sync zusammengebrochen ist oder etwas dazu in den Logs steht.

Bzgl. der "Ping"-Eintstellung. Meinst du damit die Administrative Access ? Das ich dort die Option Ping bei IPv4 und IPv6 abwählen soll? Falls ja, für was ist das gut ?

Falls ich ich mich nicht täusche meintest du, dass die Option Ping fürs Modem "unnötig" ist.

Dann hast du ein anderes Problem.
Entweder du fuchst dich da rein oder suchst dir einen Dienstleister dazu.

Die Ping Einstellung lässt sich pro Interface konfigurieren. Wenn du auf das Interface klickst springt dir die Option ja schon entgegen.
Aber das ganze wird dir eben nicht helfen da es nicht das Problem ist.

Ansonsten können wir hier noch bis in die Ewigkeit raten.
aqui
aqui Oct 24, 2023 at 14:05:31 (UTC)
Goto Top
Wenn es das war bitte nicht vergessen deinen Thread hier als erledigt zu markieren!
Daneck
Daneck Oct 27, 2023 at 06:41:18 (UTC)
Goto Top
Vorerst gelöst