Sporadischer Paketverlust zwischen Firewall und Modem
Hallo Community,
ich habe das Problem, dass meine Fortinet-Firewall gelegentlich 30% Paketverlust hat. Gelegentlich heisst, dass es meist klappt aber ab und zu ein paar Stunden das Surfen unmöglich wird, weil der Verbindungsaufbau dauernd abbricht.
Ich habe zum Test Pings von verschiedenen Clients abgesendet. Das Ergebnis war, dass intern alles läuft wie es soll und einzelne Pings, welche an google.de, heise.de oder facebook.com gehen einfach nicht zurückkommen. Die Latenzen sind stabil und die ttl varriiert auch nur zwischen einen Hop.
Ich habe mich auch direkt ans Modem gehängt und von dort aus getestet ob mir Pakete verloren gehen. Dort lief alles einwandfrei. Von der Fortinet über die CLI abgesendeten Pings gehen allerdings auch verloren. Das Kabel, welches ich zum testen direkt an dem Modem verwendet habe, ist das selbe welches in der Fortinet steckt.
Es handelt sich um eine Fortinet wifi 40C und ein Cisco EPC3212 Modem.
Der ISP ist Kabel Deutschland mit einer 100 Mbit/s Leitung. Es gab vorher die Probleme, dass Kabel Deutschland nicht die Bandbreite liefern konnte, die versprochen wurde. Dies ist mittlerweile gelöst. Meine Theorie ist, dass Kabel Deutschland QOS-Mechanismen verwendet und die Pakete deshalb verworfen werden. Bin aber kein QOS-Experte und weiß nichts über Kabel Deutschlands interne Architektur.
Hat vielleicht jemand eine Idee wo das Problem seinen Ursprung hat? Gibt es Kompaktibilitätsprobleme zwischen Fortinet und Cisco?
Gruß dq
ich habe das Problem, dass meine Fortinet-Firewall gelegentlich 30% Paketverlust hat. Gelegentlich heisst, dass es meist klappt aber ab und zu ein paar Stunden das Surfen unmöglich wird, weil der Verbindungsaufbau dauernd abbricht.
Ich habe zum Test Pings von verschiedenen Clients abgesendet. Das Ergebnis war, dass intern alles läuft wie es soll und einzelne Pings, welche an google.de, heise.de oder facebook.com gehen einfach nicht zurückkommen. Die Latenzen sind stabil und die ttl varriiert auch nur zwischen einen Hop.
Ich habe mich auch direkt ans Modem gehängt und von dort aus getestet ob mir Pakete verloren gehen. Dort lief alles einwandfrei. Von der Fortinet über die CLI abgesendeten Pings gehen allerdings auch verloren. Das Kabel, welches ich zum testen direkt an dem Modem verwendet habe, ist das selbe welches in der Fortinet steckt.
Es handelt sich um eine Fortinet wifi 40C und ein Cisco EPC3212 Modem.
Der ISP ist Kabel Deutschland mit einer 100 Mbit/s Leitung. Es gab vorher die Probleme, dass Kabel Deutschland nicht die Bandbreite liefern konnte, die versprochen wurde. Dies ist mittlerweile gelöst. Meine Theorie ist, dass Kabel Deutschland QOS-Mechanismen verwendet und die Pakete deshalb verworfen werden. Bin aber kein QOS-Experte und weiß nichts über Kabel Deutschlands interne Architektur.
Hat vielleicht jemand eine Idee wo das Problem seinen Ursprung hat? Gibt es Kompaktibilitätsprobleme zwischen Fortinet und Cisco?
Gruß dq
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 207245
Url: https://administrator.de/contentid/207245
Ausgedruckt am: 22.11.2024 um 19:11 Uhr
5 Kommentare
Neuester Kommentar
Es könnte ein Autonegotiation Problem zwischen Modem Port und Firewall Port sein. Das kommt häufig mal vor zw. Fremdherstellern. Dadurch kommt es dann bei Traffic zu Kollisionen an diesem Port durch den Speed oder Duplex Mismatch, die genau das Fehlermuster zeigen wie bei dir.
Dadurch das du direkt einen Testrechner am Modem hast zum Pingen und das fehlerfrei rennt sieht es sehr nach diesem Problem aus.
Gleichzeitig zeigt es das es niemals QoS Probleme sein können, denn diese schliesst du damit ja faktisch aus.
Es ist aber klar und auch bekannt bei TV Kabelmodems bzw. Anschlüssen, das man sich die "letzte Meile" mit hunderten und mehr anderen Teilnehmer teilen muss. Du hast also rein nur einen physische 100 Mbit Connect Rate, was nachher als wirkliche Paket Forwarding Rate durch das Netz geht steht auf einem ganz anderen Blatt Papier und darüber wahrt der Kabelprovider auch striktes Stillschweigen.
Dieses Sharing bewirkt aber niemals das es bei extrem langsamen Pings im 1 Sekunden Rhythmus zu Paketverlusten kommt. Die hat man ja noch nicht einmal auf einer "Bauern DSL" Leitung mit 384 kBit/s.
Du kannst das Problem aber ganz einfach lösen indem du den Fortinet Port fest, statisch auf 100 Mbit, Fullduplex setzt und auch analog den Modemport auch fest auf 100Mbit, Fullduplex einstellst.
Damit sollte das Problem dann nicht mehr auftreten.
Dadurch das du direkt einen Testrechner am Modem hast zum Pingen und das fehlerfrei rennt sieht es sehr nach diesem Problem aus.
Gleichzeitig zeigt es das es niemals QoS Probleme sein können, denn diese schliesst du damit ja faktisch aus.
Es ist aber klar und auch bekannt bei TV Kabelmodems bzw. Anschlüssen, das man sich die "letzte Meile" mit hunderten und mehr anderen Teilnehmer teilen muss. Du hast also rein nur einen physische 100 Mbit Connect Rate, was nachher als wirkliche Paket Forwarding Rate durch das Netz geht steht auf einem ganz anderen Blatt Papier und darüber wahrt der Kabelprovider auch striktes Stillschweigen.
Dieses Sharing bewirkt aber niemals das es bei extrem langsamen Pings im 1 Sekunden Rhythmus zu Paketverlusten kommt. Die hat man ja noch nicht einmal auf einer "Bauern DSL" Leitung mit 384 kBit/s.
Du kannst das Problem aber ganz einfach lösen indem du den Fortinet Port fest, statisch auf 100 Mbit, Fullduplex setzt und auch analog den Modemport auch fest auf 100Mbit, Fullduplex einstellst.
Damit sollte das Problem dann nicht mehr auftreten.
Und das Modem ist kein reines Modem im herkömmlichen Sinne.
Es ist ein Router, der weitere Geräte mit Hilfe eines Switches ins Internet bringen kann.
Achte bei der Verbindung der Fortinet auch auf das Kabel (Crossover halb, crossover voll, gerades Patchkabel) und teste alle manuellen Konfigurationen auch auf die Geschwindigkeit hin. Duplex-Missmatch wird leider erst in den TCP-Schichten repariert. Der Geschwindigkeitseinbruch bei Vollast ist merklich, bei Teillast kaum zu erkennen.
Achtung:
FDX auf Auto = Missmatch
HDX auf Auto = ident aber nur 100Mbit/s halbduplex.
Gigabit Auto und Gigabit FDX vertragen sich gar nicht.
Gruß
Netman
Es ist ein Router, der weitere Geräte mit Hilfe eines Switches ins Internet bringen kann.
Achte bei der Verbindung der Fortinet auch auf das Kabel (Crossover halb, crossover voll, gerades Patchkabel) und teste alle manuellen Konfigurationen auch auf die Geschwindigkeit hin. Duplex-Missmatch wird leider erst in den TCP-Schichten repariert. Der Geschwindigkeitseinbruch bei Vollast ist merklich, bei Teillast kaum zu erkennen.
Achtung:
FDX auf Auto = Missmatch
HDX auf Auto = ident aber nur 100Mbit/s halbduplex.
Gigabit Auto und Gigabit FDX vertragen sich gar nicht.
Gruß
Netman