Router überlastet - Gesucht: Empfehlung bzgl. NAT-Limitierung
Situation:
Netzwerk mit ca. 1000 Client nutzen einen Internetzugang über ein 1:n-NAT (PAT). Daraus ergeben sich über 15.000 NAT-Session. Die Folge ist, dass der Internetzugangsrouter an sein CPU-Limit kommt und aussteigt.
Frage:
Freue mich über Erfahrungen, Rückmeldung oder Info-Links
Netzwerk mit ca. 1000 Client nutzen einen Internetzugang über ein 1:n-NAT (PAT). Daraus ergeben sich über 15.000 NAT-Session. Die Folge ist, dass der Internetzugangsrouter an sein CPU-Limit kommt und aussteigt.
Frage:
- Gibt es anerkannte Limits für diese Situation? Wieviele Clients werden allg. empfohlen, bzw. sind möglich (Limitierung durch Portanzahl ist klar).
- Wie könnte die Lösung des Problems aussehen?
Freue mich über Erfahrungen, Rückmeldung oder Info-Links
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 2290279617
Url: https://administrator.de/forum/router-ueberlastet-gesucht-empfehlung-bzgl-nat-limitierung-2290279617.html
Ausgedruckt am: 01.04.2025 um 19:04 Uhr
16 Kommentare
Neuester Kommentar
Moin...
Frage:
fast ne Freitagsfrage... was hast du den für ein Router, was für netzwerk equipment?
wie sollen wir was dazu sagen, ohne zu wissen, was du da so rumstehen hast!
was hängt da für eine Internet Leitung dran? 33,6er Modem oder Glasfaser mit 10 GBit?
so aus dem bauch würde ich sagen, kauf dir einen router, der das kann....
Freue mich über Erfahrungen, Rückmeldung oder Info-Links
der Vigor3910 10G Enterprise Level High-Performance VPN Concentrator kann 1.000.000 NAT-Sitzungen... die Kiste ist für KMU nicht schlecht!
VPN-Durchsatz bis zu 3 Gbit/s bei voller IPSEC-Verschlüsselung (2,7 Gbit kann er wirklich)
und zwei 10G SFP+ Ports ....
Achtung: bei Leitungen der Deutschen Glasfaser Business brauchst du eine Beta Firmware, du bekommst sonst keine IP vom DHCP der DG...
Frank
Zitat von @marcmcc:
Situation:
Netzwerk mit ca. 1000 Client nutzen einen Internetzugang über ein 1:n-NAT (PAT). Daraus ergeben sich über 15.000 NAT-Session. Die Folge ist, dass der Internetzugangsrouter an sein CPU-Limit kommt und aussteigt.
jo.. ist klar!Situation:
Netzwerk mit ca. 1000 Client nutzen einen Internetzugang über ein 1:n-NAT (PAT). Daraus ergeben sich über 15.000 NAT-Session. Die Folge ist, dass der Internetzugangsrouter an sein CPU-Limit kommt und aussteigt.
Frage:
- Gibt es anerkannte Limits für diese Situation? Wieviele Clients werden allg. empfohlen, bzw. sind möglich (Limitierung durch Portanzahl ist klar).
- Wie könnte die Lösung des Problems aussehen?
wie sollen wir was dazu sagen, ohne zu wissen, was du da so rumstehen hast!
was hängt da für eine Internet Leitung dran? 33,6er Modem oder Glasfaser mit 10 GBit?
so aus dem bauch würde ich sagen, kauf dir einen router, der das kann....
Freue mich über Erfahrungen, Rückmeldung oder Info-Links
VPN-Durchsatz bis zu 3 Gbit/s bei voller IPSEC-Verschlüsselung (2,7 Gbit kann er wirklich)
und zwei 10G SFP+ Ports ....
Achtung: bei Leitungen der Deutschen Glasfaser Business brauchst du eine Beta Firmware, du bekommst sonst keine IP vom DHCP der DG...
Frank
Moin,
bist du dir sicher das es bei 1k Clients nur 15k Sessions sind? Oder unterstützt euer derzeitiger Router nur so viele?
Du erwähnst nun zwar nicht deinen Anschluss, welcher dort eingesetzt wird, aber eine vernünftige Firewall sollte das locker abfedern. Hier nennst du leider ebenfalls keine Anforderungen. 15k klingt allerdings schon so im unteren Segment.
Wie wäre es also mit einer PfSense auf potenter HW so wie hier vielfach vorgeschlagen? Oder ggf. eine FW eines andere Herstellers im Business Bereich.
Schilder einmal kurz deine genauen Anforderungen. Ihr habt ja hoffentlich nicht 1k Clients an einer FritzBox hängen.
Gruß
Spirit
bist du dir sicher das es bei 1k Clients nur 15k Sessions sind? Oder unterstützt euer derzeitiger Router nur so viele?
Du erwähnst nun zwar nicht deinen Anschluss, welcher dort eingesetzt wird, aber eine vernünftige Firewall sollte das locker abfedern. Hier nennst du leider ebenfalls keine Anforderungen. 15k klingt allerdings schon so im unteren Segment.
Wie wäre es also mit einer PfSense auf potenter HW so wie hier vielfach vorgeschlagen? Oder ggf. eine FW eines andere Herstellers im Business Bereich.
Schilder einmal kurz deine genauen Anforderungen. Ihr habt ja hoffentlich nicht 1k Clients an einer FritzBox hängen.
Gruß
Spirit
Cisco 1112-8P wäre da auch eine passende und vor allem verlässliche Alternative.
Ansonsten wie Kollege @Spirit-of-Eli oben schon richtig sagt eine Firewall wie pfSense oder OPNsense auf potenter Hardware.
Spannend wäre ja auch mal zu erfahren welche jetzige Hardware da zum Einsatz und an ihre Grenzen kommt. Wohl hoffentlich keine FritzBox...?!
Ansonsten wie Kollege @Spirit-of-Eli oben schon richtig sagt eine Firewall wie pfSense oder OPNsense auf potenter Hardware.
Spannend wäre ja auch mal zu erfahren welche jetzige Hardware da zum Einsatz und an ihre Grenzen kommt. Wohl hoffentlich keine FritzBox...?!
Zitat von @marcmcc:
Danke für die Rückmeldung.
Tatsächlich ist die genaue Anzahl der Clients geringer. Die angesetzte Ausbaustufe geht von 1k Clients aus.
Die Anzahl der NAT-Sessions ist oer Konfiguration begrenzt um das System halbwegs stabil zu halten. Der eingesetzte Access-Router ist aus dem Business-Bereich und kein SoHo-Gerät.
Danke für die Rückmeldung.
Tatsächlich ist die genaue Anzahl der Clients geringer. Die angesetzte Ausbaustufe geht von 1k Clients aus.
Die Anzahl der NAT-Sessions ist oer Konfiguration begrenzt um das System halbwegs stabil zu halten. Der eingesetzte Access-Router ist aus dem Business-Bereich und kein SoHo-Gerät.
Hallo,
und das derzeit eingesetzte Gerät willst du uns weiterhin nicht verraten?
Was soll das für eine Aussage sein?
Ein kleiner Lancom, Cisco, Bintec oder Mikrotik ist auch aus dem Businessbereich aber von der CPU-Leistung auch nicht wesentlich schneller als eine Fritte oder ein Baumarktrouter.
Solange Du nicht sagst was Du hast können wir nicht beurteilen, ob Du mit einem Juniper oder mit der mini-Cisco an die Grenzen kommst. Wenn die Junioer an die Grenzen kommt, muß man ganz andere Geschütze auffahren als wenn die Mini-Cisco die Grätsche macht.
lks

Guten Tag zusammen,
Wie die anderen alle, was für;
- Protokolle oder Software
- Was für Dateien (CAD) oder nur Office
- Was für ein Router aktuell?
- Was für Switche im LAN? L2 oder L3?
Da kämen eben mehr Sachen zum tragen als das Eine oder das Andre, wer bist Du und was kannst Du bzw.
was eben auch nicht!? Was soll man Dir jetzt zu etwas raten und Du kannst, willst oder darfst es nicht benutzen!
Sollte der Router auch gleich noch das LAN mitrouten, wäre auch eventuell mal eine Überlegung wert
ob man dort nicht L3 Switche im Stapel und oder Core Switche mit einsetzt, dem Router etwas abnehmen.
Router (Hardware und Software)
- MikroTik CCR1036 oder CCR1072
Steile Lernphase, aber gutes Forum und drei Bücher auf dem Markt und zusätzlich auch noch Schulungen.
- Ubiquiti UniFi Dream Machine PRO ,EdgeRouter Infinity oder EdgeRouter
Wenn schon WLAN von UBNT mit im Spiel sind sicherlich auch eine Überlegung wert.
Eigene Hardware
SuperMicro SYS-E300-D9
Nur RAM und M.2 oder SSD müssen noch dazu gekauft werden, läuft mit den unten genannten OpenSource OS.
AES-NI, Intel QAT, TurboBoost und HT sind alle mit an Board plus drei miniPCIe / miniPCI Steckplätze.
- M.2 und SSD Unterstützung
- Modem und SIM Slot (fallback)
- WLAN Card Slot
Intel I225-T1 2.5 GBit/s NIC
Falls die dt. Telekom oder DG Dir/Euch eine 1 GBit/s WAN Verbindung anbieten und Ihr ein Modem (ONT)
habt was einen 2.5 GBit/s Port zur Verfügung stellt.
OpenSource Router (Software)
- VyOS
Ist weit verbreitet und auch stabil am laufen, aber auch nicht jedermanns Sache
- ClearOS Gateway
Ist mächtig auf potenter Hardware und Funktionsreich ausgestattet lässt kaum Wünsche offen und ist mittels
gut Add-ons (Plugins) sehr gut erweiterbar.
OpenSource Firewall (Software und teilweise eigene Hardware im Angebot)
- OPNSense
Ist ein Fork von pfSense und neu am Markt aber erfreut sich immer größerer Beliebtheit
- pfSense
Kann mittels, Snort oder Suricata, Squid und einigen anderen Paketen zu einer kleinen UTM ausgebaut
werden. Pro. Support, Bücher und ein Forum sowie Schulungen runden das Portfolio gut ab.
- Untangle
Gut gepflegt und hat einen guten Ruf plus viele nachrüstbare Pakete.
- Endian
Schon länger am Markt und auch OpenSource hat auch eine große Community und kann auch
mittels Paketen zu einer UTM ausgebaut werden. Ist stabil und wird gut gepflegt.
BlueKobold
Wie die anderen alle, was für;
- Protokolle oder Software
- Was für Dateien (CAD) oder nur Office
- Was für ein Router aktuell?
- Was für Switche im LAN? L2 oder L3?
Da kämen eben mehr Sachen zum tragen als das Eine oder das Andre, wer bist Du und was kannst Du bzw.
was eben auch nicht!? Was soll man Dir jetzt zu etwas raten und Du kannst, willst oder darfst es nicht benutzen!
Sollte der Router auch gleich noch das LAN mitrouten, wäre auch eventuell mal eine Überlegung wert
ob man dort nicht L3 Switche im Stapel und oder Core Switche mit einsetzt, dem Router etwas abnehmen.
Router (Hardware und Software)
- MikroTik CCR1036 oder CCR1072
Steile Lernphase, aber gutes Forum und drei Bücher auf dem Markt und zusätzlich auch noch Schulungen.
- Ubiquiti UniFi Dream Machine PRO ,EdgeRouter Infinity oder EdgeRouter
Wenn schon WLAN von UBNT mit im Spiel sind sicherlich auch eine Überlegung wert.
Eigene Hardware
SuperMicro SYS-E300-D9
Nur RAM und M.2 oder SSD müssen noch dazu gekauft werden, läuft mit den unten genannten OpenSource OS.
AES-NI, Intel QAT, TurboBoost und HT sind alle mit an Board plus drei miniPCIe / miniPCI Steckplätze.
- M.2 und SSD Unterstützung
- Modem und SIM Slot (fallback)
- WLAN Card Slot
Intel I225-T1 2.5 GBit/s NIC
Falls die dt. Telekom oder DG Dir/Euch eine 1 GBit/s WAN Verbindung anbieten und Ihr ein Modem (ONT)
habt was einen 2.5 GBit/s Port zur Verfügung stellt.
OpenSource Router (Software)
- VyOS
Ist weit verbreitet und auch stabil am laufen, aber auch nicht jedermanns Sache
- ClearOS Gateway
Ist mächtig auf potenter Hardware und Funktionsreich ausgestattet lässt kaum Wünsche offen und ist mittels
gut Add-ons (Plugins) sehr gut erweiterbar.
OpenSource Firewall (Software und teilweise eigene Hardware im Angebot)
- OPNSense
Ist ein Fork von pfSense und neu am Markt aber erfreut sich immer größerer Beliebtheit
- pfSense
Kann mittels, Snort oder Suricata, Squid und einigen anderen Paketen zu einer kleinen UTM ausgebaut
werden. Pro. Support, Bücher und ein Forum sowie Schulungen runden das Portfolio gut ab.
- Untangle
Gut gepflegt und hat einen guten Ruf plus viele nachrüstbare Pakete.
- Endian
Schon länger am Markt und auch OpenSource hat auch eine große Community und kann auch
mittels Paketen zu einer UTM ausgebaut werden. Ist stabil und wird gut gepflegt.
BlueKobold
Zitat von @2196421564:
Router (Hardware und Software)
Router (Hardware und Software)
Man könnte ihm natürlich ins Blaue hinein auch einen MX480-PREMIUM3-AC empfehlen.
kls

Man könnte ihm natürlich ins Blaue hinein auch einen MX480-PREMIUM3-AC empfehlen.
face-smile
Ok das ist schon richtig aber gebraucht ~ 30.000,00 € ist doch auch ganz schön knackig. Aber es ist wieimmer "Haben ist besser als brauchen!"
Unterer Bereich
Ubiquiti UniFi Dream Machine PRO geht so bei etwas ~ 400 € los
Mittlerer Bereich
DrayTek Vigor 3910 ~650 € - 1100 €
CCR1036 ~ 1100 €
Oberer Bereich
EdgeRouter Infinity ~ 1600 €
CCR1072 ~2700 €
Supermicro Barebone SuperServer SYS-E300-9D-8CN8TP für ~1700 € plus M.2 und RAM und Software
Der Supermicro SYS-E300-9D-4CN8TP kommt so um die ~1300 € dann aber auch schon wieder ohne
Intel QAT!
Da ist doch für jeden Geldbeutel was dabei gewesen, oder? Ok die Eigenbau Hardware ist zwar im
oberen Bereich lässt einen dann aber auch selber die verwendete Software entscheiden.
Man kennt ja auch nicht seine Vorliebe, Vorgabe und mit was er gut zurecht kommt oder nicht.
BlueKobold
Moin...
da wir nicht wissen, was der TO da so an Hardware rumstehen hat - er das aber auch vermutlich wegen dem datenschutz nicht preisgeben möchte - sollten wir aufhören ihm attraktive Hardware anzubieten! nicht das er da eine MX480-PREMIUM3 rumstehen hat, oder aber nur eine SSG-5!
ob wir je mehr erfahren werden...
Frank
Zitat von @2196421564:
immer "Haben ist besser als brauchen!"
Unterer Bereich
Ubiquiti UniFi Dream Machine PRO geht so bei etwas ~ 400 € los
Mittlerer Bereich
DrayTek Vigor 3910 ~650 € - 1100 €
CCR1036 ~ 1100 €
Oberer Bereich
EdgeRouter Infinity ~ 1600 €
CCR1072 ~2700 €
Supermicro Barebone SuperServer SYS-E300-9D-8CN8TP für ~1700 € plus M.2 und RAM und Software
Der Supermicro SYS-E300-9D-4CN8TP kommt so um die ~1300 € dann aber auch schon wieder ohne
Intel QAT!
Da ist doch für jeden Geldbeutel was dabei gewesen, oder? Ok die Eigenbau Hardware ist zwar im
oberen Bereich lässt einen dann aber auch selber die verwendete Software entscheiden.
Man kennt ja auch nicht seine Vorliebe, Vorgabe und mit was er gut zurecht kommt oder nicht.
BlueKobold
Man könnte ihm natürlich ins Blaue hinein auch einen MX480-PREMIUM3-AC empfehlen.
face-smile
Ok das ist schon richtig aber gebraucht ~ 30.000,00 € ist doch auch ganz schön knackig. Aber es ist wieimmer "Haben ist besser als brauchen!"
Unterer Bereich
Ubiquiti UniFi Dream Machine PRO geht so bei etwas ~ 400 € los
Mittlerer Bereich
DrayTek Vigor 3910 ~650 € - 1100 €
CCR1036 ~ 1100 €
Oberer Bereich
EdgeRouter Infinity ~ 1600 €
CCR1072 ~2700 €
Supermicro Barebone SuperServer SYS-E300-9D-8CN8TP für ~1700 € plus M.2 und RAM und Software
Der Supermicro SYS-E300-9D-4CN8TP kommt so um die ~1300 € dann aber auch schon wieder ohne
Intel QAT!
Da ist doch für jeden Geldbeutel was dabei gewesen, oder? Ok die Eigenbau Hardware ist zwar im
oberen Bereich lässt einen dann aber auch selber die verwendete Software entscheiden.
Man kennt ja auch nicht seine Vorliebe, Vorgabe und mit was er gut zurecht kommt oder nicht.
BlueKobold
da wir nicht wissen, was der TO da so an Hardware rumstehen hat - er das aber auch vermutlich wegen dem datenschutz nicht preisgeben möchte - sollten wir aufhören ihm attraktive Hardware anzubieten! nicht das er da eine MX480-PREMIUM3 rumstehen hat, oder aber nur eine SSG-5!
ob wir je mehr erfahren werden...
Frank
Zitat von @Lochkartenstanzer:

lks
Zitat von @2196421564:
Router (Hardware und Software)
Man könnte ihm natürlich ins Blaue hinein auch einen MX480-PREMIUM3-AC empfehlen. Router (Hardware und Software)
lks
Herzlichen Glückwunsch...sie haben jetzt einen leistungsstarken Router....aber sind leider pleite
Zitat von @NixVerstehen:
Herzlichen Glückwunsch...sie haben jetzt einen leistungsstarken Router....aber sind leider pleite
Herzlichen Glückwunsch...sie haben jetzt einen leistungsstarken Router....aber sind leider pleite
Naja, wenn ein Tausend-Mann-Betrieb mit der Anschaffung so eines Gerätes pleite geht, war der vorher schon marode. Was allerdings so eine Firma zum Ruin treiben kann, sind Internet-Anschlüsse, die "dick" genug sind, so einen Router auszulasten.
lks

@NixVerstehen
0,25 € pro MA und Monat und wenn es damit dann keine Probleme mehr gibt und alles läuft ist das ja auch
nicht zu verachten.
Ich glaube der lks räumt hier noch den "Pott" ab! ;)
BlueKobold
Herzlichen Glückwunsch...sie haben jetzt einen leistungsstarken Router....aber sind leider pleite
face-wink
Ok gebraucht für 29.750,00 € ist schon hart, aber bei 1000 MA und auf 10 Jahre gerechnet sind das dann ca.~0,25 € pro MA und Monat und wenn es damit dann keine Probleme mehr gibt und alles läuft ist das ja auch
nicht zu verachten.
Ich glaube der lks räumt hier noch den "Pott" ab! ;)
BlueKobold
Zitat von @2196421564:
@NixVerstehen
0,25 € pro MA und Monat und wenn es damit dann keine Probleme mehr gibt und alles läuft ist das ja auch
nicht zu verachten.
Ich glaube der lks räumt hier noch den "Pott" ab! ;)
BlueKobold
@NixVerstehen
Herzlichen Glückwunsch...sie haben jetzt einen leistungsstarken Router....aber sind leider pleite
face-wink
Ok gebraucht für 29.750,00 € ist schon hart, aber bei 1000 MA und auf 10 Jahre gerechnet sind das dann ca.~0,25 € pro MA und Monat und wenn es damit dann keine Probleme mehr gibt und alles läuft ist das ja auch
nicht zu verachten.
Ich glaube der lks räumt hier noch den "Pott" ab! ;)
BlueKobold
Lach...aber lks hat recht. Wenn du in der Firma eine Internetleitung hast, die diesen Router auslastet, dann ist der Kaufpreis des Routers finanziell dein kleinstes Problem
Die Frage nach einem alternativen Router kann mit der Menge an Angaben nicht gelöst werden, da es stark von der auch eingesetzten Firewall, VPN, Antivirus und der restlichen Infrastruktur zusammenhängt, z.B. bei einem 1000 Mann Haus kann es nicht nur eine einzige Leitung sein. Man könnte jetzt einen Router vermuten, der "nur" routet", oder auch ein z.B. UTM, das "alles" machen muss.
Weiter kann ein 1000 Mann Haus nicht von einem einzigen Admin betrieben werden, da sollten sich schon 2-3 Admins auskennen und zusammen erarbeiten sie dann schon die richtige Lösung. Wenn nicht, solle er / sollten sie outsourcen und ein Systemhaus beauftragen, welches das ganze System dann auch per Wartungsvertrag regelmäßig pflegt.
Die amtlichen UTM Hersteller geben in ihren Datenblättern an für wie viel Clients deren Lösung geeignet ist (und bieten auch verschieden große Geräte dafür an). Auch ist die Clientmenge abhängig zu der Anzahl der geforderten Dienste. Ein Router ohne Antivirus und ohne VPN kann mehr Clients versorgen, als mit.
Weiter kann ein 1000 Mann Haus nicht von einem einzigen Admin betrieben werden, da sollten sich schon 2-3 Admins auskennen und zusammen erarbeiten sie dann schon die richtige Lösung. Wenn nicht, solle er / sollten sie outsourcen und ein Systemhaus beauftragen, welches das ganze System dann auch per Wartungsvertrag regelmäßig pflegt.
Die amtlichen UTM Hersteller geben in ihren Datenblättern an für wie viel Clients deren Lösung geeignet ist (und bieten auch verschieden große Geräte dafür an). Auch ist die Clientmenge abhängig zu der Anzahl der geforderten Dienste. Ein Router ohne Antivirus und ohne VPN kann mehr Clients versorgen, als mit.