Pingschutz und Zwangstrennung auf der Vigor 160
Hallo miteinander,
ich bräuchte eine kleine Hilfe und zwar, weiß ich gerade nicht genau, wie ich einen Pingschutz und eine Zwangstrennung auf dem Router einrichte.
Die DSL Verbindung tut jede 2 Stunden absacken und diese läuft durch eine Fortigate Firewall.
Hat jemand eine Erfahrung mit dem Router bzw. weiß grob, wo diese Einstellbar ist ?
Ich habe auch momentan bis nächste Woche keinen Zugriff auf die Oberfläche des Routers. Dennoch wäre es gut, an dem Tag vollends durchzustarten.
Ich danke im Voraus.
ich bräuchte eine kleine Hilfe und zwar, weiß ich gerade nicht genau, wie ich einen Pingschutz und eine Zwangstrennung auf dem Router einrichte.
Die DSL Verbindung tut jede 2 Stunden absacken und diese läuft durch eine Fortigate Firewall.
Hat jemand eine Erfahrung mit dem Router bzw. weiß grob, wo diese Einstellbar ist ?
Ich habe auch momentan bis nächste Woche keinen Zugriff auf die Oberfläche des Routers. Dennoch wäre es gut, an dem Tag vollends durchzustarten.
Ich danke im Voraus.
Please also mark the comments that contributed to the solution of the article
Content-ID: 12018818083
Url: https://administrator.de/contentid/12018818083
Printed on: November 5, 2024 at 02:11 o'clock
18 Comments
Latest comment
Moin,
wer macht denn die Einwahl. Wenn es die Forti er ist, muss auf dem Interface ja einfach nur "Ping" abgewählt werden.
Der Vigor reagiert im Standard glaube ich nicht auf Ping. Ansonsten ist das entweder eine Interface Konfig oder unter den FW Rules zu finden.
Aber ich würde dir eh empfehlen die Einwahl über die Fortinet laufen zu lassen. Dann hast du das Theater nicht. Bricht denn der Snyc zusammeb?
Gruß
Spirit
wer macht denn die Einwahl. Wenn es die Forti er ist, muss auf dem Interface ja einfach nur "Ping" abgewählt werden.
Der Vigor reagiert im Standard glaube ich nicht auf Ping. Ansonsten ist das entweder eine Interface Konfig oder unter den FW Rules zu finden.
Aber ich würde dir eh empfehlen die Einwahl über die Fortinet laufen zu lassen. Dann hast du das Theater nicht. Bricht denn der Snyc zusammeb?
Gruß
Spirit
Zitat von @Daneck:
ich bräuchte eine kleine Hilfe und zwar, weiß ich gerade nicht genau, wie ich einen Pingschutz und eine Zwangstrennung auf dem Router einrichte.
Okay, jedem sein Hobby.ich bräuchte eine kleine Hilfe und zwar, weiß ich gerade nicht genau, wie ich einen Pingschutz und eine Zwangstrennung auf dem Router einrichte.
Die DSL Verbindung tut jede 2 Stunden absacken und diese läuft durch eine Fortigate Firewall.
Hat jemand eine Erfahrung mit dem Router bzw. weiß grob, wo diese Einstellbar ist ?
Ich habe auch momentan bis nächste Woche keinen Zugriff auf die Oberfläche des Routers. Dennoch wäre es gut, an dem Tag vollends durchzustarten.
"Tuten tut der Nachtwächter. Und wenn er genug getutet hat, tut er seine Tute wieder in den Tutkasten rein."
Spaß beiseite...
Die Zwangstrennung kannst niemals du als Client einstellen, denn das initiiert immer nur der Provider. Da hast also du keinerlei Optionen das irgendwie zu beeinflussen.
Den Pingschutz machst du mit einem Blocking von ICMP Echo Requests in der Router Firewall. In der Regel ist das bei Routern über das GUI in den Firewall Settings einstellbar.
Der Vigor 160 ist üblicherweise ein reines NUR Modem und eher kein Router, bzw. hat nur sehr mickrige Router Funktionen. Betreibst du denn dieses Gerät als NAT Router oder als reines xDSL Modem z.B. mit einem aktiven PPPoE Gerät (Firewall etc.) dahinter?
Spaß beiseite...
Die Zwangstrennung kannst niemals du als Client einstellen, denn das initiiert immer nur der Provider. Da hast also du keinerlei Optionen das irgendwie zu beeinflussen.
Den Pingschutz machst du mit einem Blocking von ICMP Echo Requests in der Router Firewall. In der Regel ist das bei Routern über das GUI in den Firewall Settings einstellbar.
Der Vigor 160 ist üblicherweise ein reines NUR Modem und eher kein Router, bzw. hat nur sehr mickrige Router Funktionen. Betreibst du denn dieses Gerät als NAT Router oder als reines xDSL Modem z.B. mit einem aktiven PPPoE Gerät (Firewall etc.) dahinter?
Der Vigor wird als DSL Modem verwendet.
Dann musst und kannst du logischerweise das niemals auf dem Modem einrichten, denn das ist ja nur ein passiver Medienwandler der nichts mit der IP Kommunikation zu tun hat und lediglich nur "durchreicht".Die IP Funktionen wie ICMP usw. sind dann natürlich immer auf dem nachgelagerten PPPoE Endgerät zu konfigurieren, da das ja dann die aktive, öffentliche IP hält.
Hier ist dann also eine Blockregel für eingehende ICMP Echo Request Frames zu setzen um ICMP basiertes Ping zu blockieren.
Geh mal bitte richtig auf die Fragen ein.
Wenn der Vigor nur Modem ist und die public IP tatsächlich an der Fortinet anliegt gehst du vor, wie ich es beschrieben habe.
Ansonsten ist eben spannend was denn nun genau das Fehler Bild ist. Ich glaube nicht, das ne DSL Leitung wie ein Gummiband funktioniert.
Wenn der Vigor nur Modem ist und die public IP tatsächlich an der Fortinet anliegt gehst du vor, wie ich es beschrieben habe.
Ansonsten ist eben spannend was denn nun genau das Fehler Bild ist. Ich glaube nicht, das ne DSL Leitung wie ein Gummiband funktioniert.
Also Pingschutz = Fortigate, da sind sich alle einig.
Zitat von @Daneck:
es verhaut durch die Zwangssteuerung nach 2 Stunden die Verbindung. Ich habe aber herausgefunden, dass es unter dem Reboot-Optionen einstellbar ist - Werde ich mal testen.
Das klingt für mich so als würdest du das Modem automatisch alle 2h neu starten wollen um dein "Problem" mit der "runtergehenden" Verbindung "zu lösen". Das wird die Fortigate, die ja scheinbar die DSL Einwahl macht (oder ist die auf der Vigor konfiguriert?), sicherlich sehr irritieren und die verbundenen Clients noch mehr.es verhaut durch die Zwangssteuerung nach 2 Stunden die Verbindung. Ich habe aber herausgefunden, dass es unter dem Reboot-Optionen einstellbar ist - Werde ich mal testen.
Ich frage mich nur grade: Was verstehst du unter "Ping-Schutz" Wenn deine Leitung dadurch absemmelt das du nen paar Pings auf deine IP bekommst hast du ganz andere Sorgen.
Falls du dageben möchtest das man nicht weiss das du da bist wäre ein einfacher "drop" auch ziemlich sinnlos. Wenn du in nen Wald rein rufst "Ist da wer" und eine Stimme nur Antwortet "nein" dann weisst du auch das was nicht stimmt... Der router VOR dir müsste nämlich dann mit unreachable antworten... Und nebenbei kannst du dir die Mühe sparen - die meisten Script-Kiddys sind nunmal heute eh so blöd das die auch nicht vorher prüfen was wo ist, da wird einfach mit "Masse" versucht... Wenn man zB. nen Apache aufruft (default-config):
Server: Apache/2.4.37 (CentOS Stream) OpenSSL/1.1.1k SVN/1.10.2 mod_apreq2-20101207/2.8.1
Was glaubst du wieviele Angriffe da trotzdem noch laufen die versuchen ne cmd.exe aufzurufen? Und _deutlicher_ gehts wohl kaum das dort ne exe nicht funktionieren wird... Trotzdem werden artig alle möglichen Pfade probiert... Also mache dir jetzt keine Hoffnung das nen "Ping Drop" deine Sicherheit irgendwie merklich erhöht...
Falls du dageben möchtest das man nicht weiss das du da bist wäre ein einfacher "drop" auch ziemlich sinnlos. Wenn du in nen Wald rein rufst "Ist da wer" und eine Stimme nur Antwortet "nein" dann weisst du auch das was nicht stimmt... Der router VOR dir müsste nämlich dann mit unreachable antworten... Und nebenbei kannst du dir die Mühe sparen - die meisten Script-Kiddys sind nunmal heute eh so blöd das die auch nicht vorher prüfen was wo ist, da wird einfach mit "Masse" versucht... Wenn man zB. nen Apache aufruft (default-config):
Server: Apache/2.4.37 (CentOS Stream) OpenSSL/1.1.1k SVN/1.10.2 mod_apreq2-20101207/2.8.1
Was glaubst du wieviele Angriffe da trotzdem noch laufen die versuchen ne cmd.exe aufzurufen? Und _deutlicher_ gehts wohl kaum das dort ne exe nicht funktionieren wird... Trotzdem werden artig alle möglichen Pfade probiert... Also mache dir jetzt keine Hoffnung das nen "Ping Drop" deine Sicherheit irgendwie merklich erhöht...
Zitat von @aqui:
Die Zwangstrennung kannst niemals du als Client einstellen, denn das initiiert immer nur der Provider. Da hast also du keinerlei Optionen das irgendwie zu beeinflussen.
Die Zwangstrennung kannst niemals du als Client einstellen, denn das initiiert immer nur der Provider. Da hast also du keinerlei Optionen das irgendwie zu beeinflussen.
Der Zwangstrennung kommt man idealerweise zu einer definierten Zeit am Client zuvor, da Provider nach Ablauf von 24 Stunden trennen, aber die Wiederverbindung durch den Client Zeit beansprucht. Durch Aufsummieren dieser Zeit driftet die Zwangstrennung sonst über den Tag, hinein in produktive Zeiten. Die FortiGate hat dazu nur keine komfortable Einstellung, soweit ich weiß. Es wird sich aber über Skript-Scheduling lösen lassen.
Grüße
Richard
dass die Option Ping fürs Modem "unnötig" ist.
Ja, denn ein nur Modem nimmt ja bekanntlich gar nicht an der IP Kommunikation teil zwischen Internet und angeschlossenem PPPoE Endgerät. Infolgedessen ist dann ein Ping vollkommen sinnfrei bei einem nur Modem wie dem Vigor. Narürlich nur wenn es auch im reinen Modem Betrieb konfiguriert ist.https://idomix.de/supervectoring-draytek-vigor-165-als-modem-einrichten
Zitat von @Daneck:
Wir haben keine Meldung diesbezüglich erhalten, dass der Sync zusammengebrochen ist oder etwas dazu in den Logs steht.
Bzgl. der "Ping"-Eintstellung. Meinst du damit die Administrative Access ? Das ich dort die Option Ping bei IPv4 und IPv6 abwählen soll? Falls ja, für was ist das gut ?
Falls ich ich mich nicht täusche meintest du, dass die Option Ping fürs Modem "unnötig" ist.
Zitat von @Spirit-of-Eli:
Aber ich würde dir eh empfehlen die Einwahl über die Fortinet laufen zu lassen. Dann hast du das Theater nicht. Bricht denn der Snyc zusammeb?
Aber ich würde dir eh empfehlen die Einwahl über die Fortinet laufen zu lassen. Dann hast du das Theater nicht. Bricht denn der Snyc zusammeb?
Wir haben keine Meldung diesbezüglich erhalten, dass der Sync zusammengebrochen ist oder etwas dazu in den Logs steht.
Bzgl. der "Ping"-Eintstellung. Meinst du damit die Administrative Access ? Das ich dort die Option Ping bei IPv4 und IPv6 abwählen soll? Falls ja, für was ist das gut ?
Falls ich ich mich nicht täusche meintest du, dass die Option Ping fürs Modem "unnötig" ist.
Dann hast du ein anderes Problem.
Entweder du fuchst dich da rein oder suchst dir einen Dienstleister dazu.
Die Ping Einstellung lässt sich pro Interface konfigurieren. Wenn du auf das Interface klickst springt dir die Option ja schon entgegen.
Aber das ganze wird dir eben nicht helfen da es nicht das Problem ist.
Ansonsten können wir hier noch bis in die Ewigkeit raten.
Wenn es das war bitte nicht vergessen deinen Thread hier als erledigt zu markieren!