horst86
Goto Top

Suche einfachen und zuverlässigen Router

Hallo zusammen,

momentan verwenden wir eine Menge AVM Fritzboxen, mit denen ich leider wirklich unzufrieden bin.
Ich habe mich gewundert, warum unser Monitoring Tool ständig über die Pings der Standorte meckert. Nach kurzer Recherche habe ich herausgefunden, dass die Fritzboxen viele ICMP Pakete sporadisch verwerfen und sich das in der Firmware auch nicht anpassen lässt.

Jetzt suche ich eine gute und günstige Alternative.
Für mich ist eigentlich, neben einer stabilen Internetverbindung, nur Folgendes wichtig:

- Antwortet zuverlässig auf ICMP Pakete
- Alle Ports lassen sich easy weiterleiten.
Die Fritz!Box hatte die einfache Funktion "exposed Host". Jetzt habe ich mir schon eine Alternative angeschaut, aber da muss ich jeden einzelnen Port weiterleiten.

Ich hoffe, ich kann da auf eure Expertise zurückgreifen.
Danke Euch.

Content-ID: 7447208721

Url: https://administrator.de/forum/suche-einfachen-und-zuverlaessigen-router-7447208721.html

Ausgedruckt am: 22.12.2024 um 15:12 Uhr

Lochkartenstanzer
Lochkartenstanzer 07.06.2023 um 08:39:00 Uhr
Goto Top
Moin,

Und was sind die sonstigen Anforderngen? DSL? Kabel? Glasfaser? LTE?


Ich würde hier einen Großeinkauf bei Mikrotik, Lancom, Visi, etc. machen oder direkt pfsense mit dem passenden jeweiligen Midem verwenden.

lks
NordicMike
NordicMike 07.06.2023 um 08:44:21 Uhr
Goto Top
momentan verwenden wir eine Menge AVM Fritzboxen
Also handelt es sich um mehrere Filialen / Niederlassungen.

dass die Fritzboxen viele ICMP Pakete sporadisch verwerfen
Eigentlich nicht, ausser, es passiert im Internet selbst. Wenn die Fritzbox nicht mit ihrem eigenen VPN überlastet ist, sollte sie eigentlich gut funktionieren.

exposed Host
Das bedeutet ihr habt eine ordentliche Firewall dahinter und verwendet auch nicht das integrierte VPN der Fritzbox. Diese Firewall kann normalerweise auch selbst ins Internet einwählen, dann benötigt ihr statt einer Fritzbox eigentlich nur noch ein DSL Modem, z.B. Vigor 165 (Falls ihr DSL verwendet). Die Zugangsdaten befinden sich dann in der Firewall und nicht mehr im Router.
em-pie
em-pie 07.06.2023 um 08:44:26 Uhr
Goto Top
Moin,

warum eigentlich Fritten einsetzen?
Wenn die eh alle einen Exposed Host definiert haben: setz vor den eigentlich Router/ eure Firewall 'nen reines Modem...

Und was ist bei dir günstig?
Horst86
Horst86 07.06.2023 aktualisiert um 09:00:09 Uhr
Goto Top
Modem war eigentlich auch die erste Wahl. Ist ja cool den Vigor 165 hatte ich auch im Auge ;)
Wie macht Ihr das bei einem Hardwaredefekt der pri. Firewall? Die Spare muss sich dann ja erstmal wieder einwählen. Die Fritten brauchen da meistens so 1-5 Minuten.
Bleibt der Router vor den Firewalls dauerhaft online, beträgt unsere aktuelle Downtime nur 3 Sekunden.

Achso sorry ... wir haben Glas und DSL im Einsatz.
florian.rhomberg
florian.rhomberg 07.06.2023 um 09:03:48 Uhr
Goto Top
Hallo,
ich glaube wir brauchen da mehr Inmformationen:
- Privat oder Firma? Nach der Schilderung eher Firma.
- Wieviele exposed Hosts gibt es, einen mehrere?
- Anschluss? DSL, Fiber, LTE?
- Gibt es ein Modem vor den FritzBoxen?

Privat reichen mir die UniFi DreamRouter.
In der Firma nutzen wir Watchguard, das sind UTMs, sind also mehr als "nur" Firewalls. Preis und Leistung finde ich da sehr gut im Vergleich zu Palo Alto, HP, Cisco etc.

Florian
NordicMike
NordicMike 07.06.2023 aktualisiert um 09:22:16 Uhr
Goto Top
Im DSL Bereich gibt es unterschiedliche Unterbrechungen:

1) Nur das Protokoll, das wählt sich recht schnell wieder ein.
2) Der DSL Sync, deswegen muss die Fritzbox das DSL neu aushandeln und die maximal mögliche Geschwindigkeit ermitteln, das dauert eben 1 Minute. Das muss das Vigor Modem dann auch aufbringen.

Den Spare der primären Firewall würde ich je nach Mitarbeiterzahl und kritischen Diensten stets parallel bzw im HA Cluster mitlaufen lassen. Wenn das zentral und synchronisiert als HA-Cluster passiert, kann sie dann auch bequem einen Failover zwischen Hauptgerät und Spare und auch zwischen Glas und DSL machen.

Als Beispiel das schweizer Taschenmesser:
2x Sophos UTM miteinander verbinden und beide Modems (Glas und DSL) an beide UTMs stecken.

Zum selber bauen:
2x pfSense oder 2xOPNsense können das auch.
Starmanager
Starmanager 07.06.2023 um 09:22:18 Uhr
Goto Top
Zur Standortanbindung gibt es gute Router von Lancom. Ohne viel Schnickschnack und sehr stabil.
NordicMike
NordicMike 07.06.2023 um 09:23:34 Uhr
Goto Top
Du kannst auch einen fertigen Dual WAN Router z.B. von Vigor oder Lancom nehmen.
Looser27
Looser27 07.06.2023 um 09:26:19 Uhr
Goto Top
Ist ja cool den Vigor 165 hatte ich auch im Auge ;)

Wenn, dann nimm direkt das 167er. Das ist die aktuell letzte Ausbaustufe der Serie und beherrscht alle aktuellen DSL-Standards.
florian.rhomberg
florian.rhomberg 07.06.2023 um 09:30:28 Uhr
Goto Top
Hallo,
dann braucht ihr eigentlich nur wie oben beschrieben Modems, die ihr dann direkt mit der Firewall-Appliance verbindet, die kümmert sich dann um die Einwahl?

Florian
Horst86
Horst86 07.06.2023 aktualisiert um 09:54:27 Uhr
Goto Top
Ich glaube, ich kaufe mir einfach mal ein Vigor 167. Die Dinger kosten ja wirklich nicht die Welt.

Unsere Meraki Appliance laufen im HA Cluster, werden halt nur von den Fritzboxen befeuert.
Bisher habe ich immer einen separaten Router davor gehabt und keine Erfahrungen mit "nur" Modem.

Bei kleinen Standorten mit single Appliance ist die Verwendung eines Modems auch kein Problem. PPPoe Daten rein und go.

Nur bei dem Cluster ist mir das noch nicht so ganz klar. Die Zugangsdaten müssen ja in beiden Geräten eingetragen werden. Nach meinem Verständnis muss bei einem Ausfall sich die zweite Appliance erstmal einwählen.

Vermutlich blicke ich da aber einfach noch nicht so richtig durch. Wie gesagt, ich kaufe mir einfach mal ein Modem und baue eine Testumgebung auf.

Danke Euch face-smile
Looser27
Looser27 07.06.2023 um 10:00:03 Uhr
Goto Top
Unsere Meraki Appliance laufen im HA Cluster

Ein weiterer Vorteil des 167er....das hat 2 Ethernet-Ports. Wenn Du also nur eine Leitung hast, kannst Du beide Firewalls dran klemmen.
aqui
aqui 07.06.2023 aktualisiert um 11:39:45 Uhr
Goto Top
Ist ja cool den Vigor 165 hatte ich auch im Auge
Und ist noch längs nicht alles, denn es gibt ja noch das Zyxel VMG3006. face-wink
https://www.heise.de/select/ct/2020/15/2014807584631309753
Hat den Vorteil eines separaten Management Zugangs.
Unsere Meraki Appliance laufen im HA Cluster, werden halt nur von den Fritzboxen befeuert.
In dem Zusammenhang sind Fritzboxen so oder so der größte Unsinn, denn an die Meraki Firewalls gehören immer reine NUR Modems und niemals kaskadierte Router.
Schon gar nicht mit einer gruseligen Router Kaskade mit dann doppeltem NAT und doppeltem Firewalling. Technisch gesehen die mieseste Lösung in dem Umfeld.
Reine NUR Modems werden dein Problem dann auch umfassend lösen.
Horst86
Horst86 07.06.2023 um 11:47:56 Uhr
Goto Top
Nochmal vielen Dank an euch alle face-smile

Unser Meraki Partner hat uns dieses Konzept damals so empfohlen. Kam mir auch immer ein bisschen eigenartig vor, aber ich war der Neue im Meraki Thema und der Partner ist echt riesig.
Genau aus dem Grund mache ich mich jetzt gerade selber auf die Suche nach alternativen Lösungen.

Was soll ich sagen.... hier war die richtige Anlaufstelle face-smile
Ich schaue mir jetzt mal die genannten Modems im Detail an und bestelle die einfach mal. Wie gesagt, die reinen Modems kosten ja nicht die Welt und der Zyxel VMG3006 scheint genau das zu sein, was ich brauche.
aqui
aqui 07.06.2023 aktualisiert um 11:53:45 Uhr
Goto Top
Unser Meraki Partner hat uns dieses Konzept damals so empfohlen.
Oha...da solltest du besser über einen Wechsel nachdenken. Mit solchen "Empfehlungen" erreicht man normalerweise bei Cisco keinen Partner Status und nicht jeder der sich "Partner" nennt ist offiziell auch einer...aber nundenn.
mache ich mich jetzt gerade selber auf die Suche nach alternativen Lösungen.
Der richtige Weg! 👍
scheint genau das zu sein, was ich brauche.
Beide werden dein Problem umfassend lösen. face-wink
Bleibt ja dann nur noch: Wie kann ich einen Beitrag als gelöst markieren?
Horst86
Horst86 07.06.2023 aktualisiert um 12:07:45 Uhr
Goto Top
Ich habe mir gerade diesen Beitrag überflogen.

Einmal muss ich euch noch nerven:

Aktuell ist es so, dass ich zwei Leitungen im Haus habe. FTTH und VDSL hängen jeweils an einer Fritzbox.

Pri. und Spare Appliance hängen an jeweils an beiden Fritzboxen und sind somit über beide Uplinks dauerhaft online.

Zwischen Uplink eins und zwei läuft Loadbalancing. Raucht jetzt die pri. Appliance ab. Läuft alles über beide Uplinks der Spare weiter.

Wie ist das jetzt aber mit reinen Modems? Wenn ich in Appliance eins und zwei die entsprechenden Zugangsdaten für beide Internetanschlüsse eintrage, werden die sich ja beide versuchen, damit einzuwählen.

Irgendwo ist bei mir im Kopf noch der Wurm drin.
aqui
Lösung aqui 07.06.2023 aktualisiert um 16:12:51 Uhr
Goto Top
Es ändert sich gar nichts!
Das Einzige was du machen musst, du musst lediglich nur auf der Modem (Meraki) Appliance dann den WAN Port auf PPPoE Mode umstellen und statt auf der FritzBox die PPPoE Credentials auf dem Meraki einstellen der ja dann direkt terminiert, fertisch.
Warum man bei FTTH noch eine Fritzbox als sinnlosen "Durchlauferhitzer" nutzt ist auch mehr als fragwürdig. Warum steckst du den Meraki nicht direkt auf den ONT??
Horst86
Horst86 07.06.2023 um 13:25:35 Uhr
Goto Top
oki doki ... wird erledigt face-smile
Horst86
Horst86 09.06.2023 um 07:27:12 Uhr
Goto Top
kurze Rückmeldung. Habe mal ein Ticket bei Meraki aufgemacht. Bei einer warm Spare Konfiguration komme ich um vorgeschaltete Router nicht drumherum.
Bei single Appliance ist pppoe kein Problem. Bei warm spare mit zwei Geräten funktioniert das nicht.
aqui
aqui 09.06.2023 aktualisiert um 10:13:08 Uhr
Goto Top
Dürfte falsch sein, denn die HA Konfiguration macht man per VRRP oder HSRP immer über die Inbound Interfaces und niemals über die outbound (Internet) Interfaces. Dort (Outbound) ist es völlig egal mit welcher Infrastruktur man ins Internet geht...auch bei Meraki!
Das ist ja gerade der tiefere Sinn eines solchen Setups das man z.B. 2 völlig unterschiedliche Provider Infrastrukturen wie Glas-TVKabel oder xDSL-LTE usw. hat um aus Redundanzgründen völlig unabhängig zu sein.
Es würde den Sinn eines HA Setups ja völlig konterkarieren wenn man Kunden vorschreiben würde welche Infrastruktur sie zwangsweise nutzen müssen um Redundanz zu erlangen. Kein Mensch würde solche Hardware beschaffen. Auch Meraki wird dir da sicher nix anderes sagen. face-wink
Horst86
Horst86 09.06.2023 um 12:41:48 Uhr
Goto Top
Dann hat mir der Meraki Support auch Mist erzählt. face-sad

Ich würde es echt gerne ohne Router realisieren, aber ich komme immer wieder zu der gleichen Frage: wenn ich in Meraki Appliance 1 und Meraki Appliance 2 die gleichen Zugangsdaten eintrage, wählt sich doch nur einer von beiden bei den Providern ein.

Die Kommunikation zwischen den Appliances per VRRP findet aktuell über LAN statt.
Nach meinem Verständnis fängt die Spare Appliance doch erst an, sich beim Provider einzuwählen, sobald keine VRRP Pakete von der Primären mehr empfangen werden.


Über einen vorgeschalteten Router übernimmt dieser die Einwahl und hält Appliance eins und zwei dauerhaft online, was den Umschaltvorgang doch wesentlich beschleunigt.

Als Erstes besorge ich mir jetzt zwei Modems und teste mal ein bisschen. Wenn ich nicht weiterkomme ... frage ich einfach mal bei einem alternativen Partner an ;)
neue bitmap
em-pie
em-pie 09.06.2023 um 12:56:26 Uhr
Goto Top
Moin,

den Vogor 167 kannst du auch als Router laufen lassen:
Falls Sie das Modem als Router verwenden möchten, müssen Sie lediglich die Weboberfläche des Modems aufrufen und die Router-Funktion aktivieren. Anschließend können Sie das Modem mit Ihrem Computer über LAN verbinden und die Netzwerkeinstellungen konfigurieren.
https://www.draytek.de/vigor167.html

Diese Meraki-Kiste ist mir sehr suspekt. Müssen tatsächlich beide Appliances eigenständig konfiguriert werden?
Ich kenne das von unserer Sophos (Active/ Passiv HA) )so: ich habe eine Weboberfläche und die Config wird über den Sync-Port synchron gehalten. Fällt eine der beiden Kisten aus, übernimmt die andere den aktiven Dienst. Ausfall am WAN-Port (DTAG VDSL): < 1 Minute.
Horst86
Horst86 09.06.2023 um 13:03:25 Uhr
Goto Top
Vor den beiden Sophos hast du keinen Router und regelst alles über PPPoE?

Wenn ich den Powerstecker ziehe ... ist nach 3 Sekunden (4 Pings) die Spare online, weil sie sich nicht einwählen muss.
em-pie
em-pie 09.06.2023 um 13:33:42 Uhr
Goto Top
Zitat von @Horst86:

Vor den beiden Sophos hast du keinen Router und regelst alles über PPPoE?
Jupp...
Wenn ich den Powerstecker ziehe ... ist nach 3 Sekunden (4 Pings) die Spare online, weil sie sich nicht einwählen muss.
aqui
aqui 10.06.2023 aktualisiert um 13:23:42 Uhr
Goto Top
Nach meinem Verständnis fängt die Spare Appliance doch erst an, sich beim Provider einzuwählen, sobald keine VRRP Pakete von der Primären mehr empfangen werden.
Nein, das ist technisch falsch, denn VRRP hat mit der Routing Funktion per se nichts zu tun. VRRP stellt lediglich eine virtuelle IP bereit die die beiden Router im LAN sharen an die Clients und auf den VRRP Master Router forwarden. Ees ist also lediglich ein Gateway Sharing für die LAN Clients nicht mehr und nicht weniger.
Der VRRP Master Router ist, wie der Name schon sagt, dann der der das eigentliche Routing Geschäft erledigt. Der Slave Router wird nur dann aktiv wenn der Master ausfällt und das VRRP Gateway Sharing auf den Slave übergeht.
VRRP ist immer ein Active/Passive Szenario (Master/Slave). Ein Active/Active Design sieht der VRRP RFC nicht vor obwohl einige Hersteller auch proprietäre Verfahren dafür nutzen die daber nicht RFC konform sind.
https://de.wikipedia.org/wiki/Virtual_Router_Redundancy_Protocol
Über ein Priority Sharing kann man aber dennoch auch eine Lastverteilung machen im Netzwerk indem man je nach IP unterschiedliche Gateways verteilt.
Sollte man als Netzwerk Admin wie du aber eigentlich auch wissen. 🧐
Was und vor allem wie das bei dir aktuell konfiguriert ist kann man ob deiner oberflächlichen Angaben nicht sagen und leider nur im freien Fall raten. face-sad
den Vogor 167 kannst du auch als Router laufen lassen:
Wäre ja dann völlig sinnfrei, weil er ja in dem Falle auch die FritzBox behalten kann. Damit wäre nichts gewonnen außer überflüssigerweise den Router zu tauschen.
Müssen tatsächlich beide Appliances eigenständig konfiguriert werden?
Ja, wenn der TO VRRP verwendet. Das ist auch bei VRRP Routern generell so.
Wenn ich den Powerstecker ziehe ... ist nach 3 Sekunden (4 Pings) die Spare online
So sollte es bei VRRP ja auch sein...klassisches Verhalten! 😉
Zeigt dann aber auch das kein Balancing der beiden ISP Links gemacht wird. face-sad
Es wird nur der ISP am VRRP Master genutzt und der ISP am Slave ist völlig inaktiv bzw. wird nun dann aktiv wenn der primäre ISP ausfällt.
Kein besonders intelligentes und gutes Design wenn man für beide ISP bezahlt und so die Gesamtlast besser auf beide ISPs verteilen könnte was deutlich sinnvoller wäre.
Horst86
Horst86 12.06.2023 aktualisiert um 16:41:16 Uhr
Goto Top
Hi und nochmal danke für deine ausführliche Erklärung.

Darum habe ich das Bild gepostet. Natürlich verwenden wir beide ISPs.
Alle wichtigen Services lasse ich über Glas laufen und die User surfen über VDSL.
Sollte auf einem der beiden Leitungen noch Kapazitäten frei sein, greift das Loadbalancing.

Die beiden ISPs hängen ja jeweils an beiden Geräten.
Nicht ISP1 an Meraki1 und ISP2 an Meraki2
aqui
aqui 12.06.2023 um 17:19:45 Uhr
Goto Top
Hast du dann ingesamt 4 ISP Leitungen als jeweils 2 pro ISP? Anders wäre so ein Konzept mit direkten Provider Anschlüssen am Router ohne Kaskade ja sonst nicht zu realisieren!
em-pie
em-pie 12.06.2023 um 17:26:52 Uhr
Goto Top
Zitat von @aqui:

Hast du dann ingesamt 4 ISP Leitungen als jeweils 2 pro ISP? Anders wäre so ein Konzept mit direkten Provider Anschlüssen am Router ohne Kaskade ja sonst nicht zu realisieren!
Wenn ich die Zeichnung richtig interpretiere, eben nicht.
2 ISPs und je ISP nur eine physikalische Anbindung.
Irgendeinen SPOF hat er also immer. Mit den Fritten doppelt er dann die einzelnen Medien zu den Merakis

für den VDSLer könnte er das via Vigor167 (oder Produkte anderer Hersteller) kompensieren. Beidem LWL-Zugang müsste vermutlich ein Switch mit 2x SFP(+) und 2x Cu herhalten?
aqui
aqui 12.06.2023 aktualisiert um 17:38:51 Uhr
Goto Top
Wenn ich die Zeichnung richtig interpretiere, eben nicht.
Dann ist ja prinzipbedingt auch keine direkte Provider Terminierung auf dem Router möglich. Sowas kann man bei rein singulären Provider Anschlüssen dann so oder so dann nur mit einer Kaskade und, wie du richtig sagst, der Doppelung lösen. Ansonsten wären ja immer 2 Links je Provider nötig oder ein kleines Subnetz vom Provider mit mindestens 3 IP Adressen.
Damit hat sich dann das Thema Modem auch schon erledigt...
Horst86
Horst86 13.06.2023 um 09:56:25 Uhr
Goto Top
Hi Leute,
sorry, dann habe ich mich von Anfang an nicht klar ausgedrückt.
Mein Grundkonzept ist ja, dass ich bei einem Defekt an einer Appliance (Hardware/Software) innerhalb von ein paar Sekunden in meinen Test meistens unter 2 sek. direkt mit beiden Uplinks weiterarbeiten kann.
Die andere Option ist klar ... ein ISP pro Gerät und dann PPPoE. Mit dieser Lösung verschenke ich doch meiner Meinung nach Potenzial. Bei einem Defekt bleibt doch dann nur ein Uplink online.

Die ganze Zeit habe ich ja schon immer gegrübelt, wie ihr das meint, einfach die Zugangsdaten rein und mit beiden Geräten die PPPoE Verbindung aufbauen.

Zitat von @Horst86:
Ich würde es echt gerne ohne Router realisieren, aber ich komme immer wieder zu der gleichen Frage: wenn ich in Meraki Appliance 1 und Meraki Appliance 2 die gleichen Zugangsdaten eintrage, wählt sich doch nur einer von beiden bei den Providern ein.


Mein ursprüngliches Problem war nur, dass die Fritzbox ICMP Pakete verwirft und ich so nicht richtig monitoren kann ;)

Hab mir jetzt mal zwei verschiedene Drytec bestellt und teste die mal.

Ich probiere halt gerne herum und versuche alles per self study und learning by doing rauszubekommen.
Bringt mir mehr Spaß und hilft mir langfristig ... auch wenn dadurch die ein oder andere Lücke entsteht.
Nochmal vielen Dank an alle.
aqui
aqui 13.06.2023 um 10:16:03 Uhr
Goto Top
Hab mir jetzt mal zwei verschiedene Drytec bestellt und teste die mal.
Ist bei deinem Setup aber dann völlig sinnfrei, denn du kannst keine NUR Modems einsetzen wenn dir die ISP Links fehlen. face-sad
per self study und learning by doing rauszubekommen. Bringt mir mehr Spaß und hilft mir langfristig
Sehr löblich denn nur so bekommt man Erfahrung! 👍
Horst86
Horst86 13.06.2023 um 10:48:15 Uhr
Goto Top
Hab mir einen Vigor 2766 und einen 2135 bestellt face-smile
aqui
aqui 13.06.2023 um 11:22:01 Uhr
Goto Top
Einen Cox Orange mit einem Holsteiner Cox ausgewechselt...wird sicher nicht allzuviel bringen und ist eher Geld verbrennen. Aber...Versuch macht klug. face-wink
em-pie
em-pie 13.06.2023 um 12:25:00 Uhr
Goto Top
Zitat von @aqui:

Hab mir jetzt mal zwei verschiedene Drytec bestellt und teste die mal.
Ist bei deinem Setup aber dann völlig sinnfrei, denn du kannst keine NUR Modems einsetzen wenn dir die ISP Links fehlen. face-sad
Und warum nicht?
Das Modem an einen Switch anschließen und den Switch dann mit beiden Merakis verbinden.
am Modem liegt an der "LAN"-Seite ja ein ETH-Signal an. Du kannst ein Modem ja auch direkt an eine Firewall anschließen. und der Vigor hat ja selbst bereits zwei LAN-Ports im Gepäck, somit würde der Switch auch wegfallen.
Lief damals mit unsere D-LINK ADSL-Modem und einer Sophos UTM fehlerfrei. Die aktive Sophos hat die Einwahl durchgeführt.
aqui
aqui 13.06.2023 um 13:00:45 Uhr
Goto Top
Und warum nicht?
Er hat ja 2 redundante Router aber nur einen einzigen PPPoE Link vom ISP! Wie sollte er den dann redundant direkt auf die beiden Router legen?
Zumindestens in einer NUR Modem Konfig mit der PPPoE Terminierung direkt auf den beiden Merakis scheitert das.
Geht dann nur über eine Kaskade mit einem Koppelnetz dazwischen. Ob der Tausch der FB gegen einen anderen, einfachen Plasterouter dann etwas bewirkt ist eher fraglich.
Horst86
Horst86 13.06.2023 um 14:08:22 Uhr
Goto Top
Was wäre denn deine Empfehlung? Das war ja meine ursprüngliche Frage face-smile "Suche einfachen und zuverlässigen Router"
Die Connections über die Fritten sind eigentlich Top. Die Meraki VPN-Tunnel sind stabil ... Latenzen, Jitter, packet loss ist alles OK. Die Fritzboxen machen ja auch nicht viel ... Die stellen die Verbindung her ... leiten die Ports durch und machen ein bisschen DHCP.


Mein Problem ist halt nur, dass ich nicht dauerhaft pingen kann.
Nach einiger Zeit fangen die Fritzboxen an, Pakete zu verwerfen.
Habe ich zusätzlich mal bei mir Zuhause getestet.

Ich bin froh über jeden Tipp. Geld möchte ich nicht verbrennen. Darum habe ich ja nach Erfahrungen gefragt.

Die Draytec sind noch nicht geliefert ;) Storno geht immer
aqui
aqui 13.06.2023 aktualisiert um 14:46:10 Uhr
Goto Top
Dein Problem und auch Fehler der FritzBox Konfig ist das du die kaskadierten Merakis als "exposed Hosts" definiert hast.
Das hat 2 große Nachteile:
  • Security
  • Die Fritzbox muss dann alles über ihre CPU forwarden was an ihren WAN Ports auf sie einprasselt
Gerade Letzteres ist heftig wenn man einmal an einem offenen WAN Port im Internet mitgesniffert hat weiss man das was da an Port Scanning und Connect Versuchen auf diese Adressen niederregnet.

Durch das allgemeine Port Forwarding jedes eingehenden Paketes am WAN Port wird die CPU der FB stark belastet weil das CPU switched ist und dort werkelt nun mal kein Intel Core i oder Ryzen sondern ein sehr schwachbrüstiger SoC.
Die IPv4 Forwarding Engine eines Routers hat aber die höchste CPU Prio so das die CPU ggf. andere, für sie nicht wichtige Management Frames, einfach dropped. Genau das was bei dir passiert.

Mit anderen Worten: Du solltest also immer dediziert im Port Forwarding immer nur DAS forwarden was du auch wirklich an den Merakis benötigst. Vermutlich dann eh nur die VPN Ports.
Jeglicher anderer Traffic wird dann in der Firewall gedroppt und belastet die CPU nicht.
ICMP Echo Requests sollte man auch immer filtern am WAN Port unm Port Schnüffeleien schon von vorn herein einen Riegel vorzuschieben.
Also alles dicht machen was man nicht wirklich für den Betrieb benötigt.
Diese bekannten Binsenweisheiten hast du bei deiner Konfiguration nicht beachtet, wäre aber nötig gewesen an offenen Internet Ports. face-sad
Horst86
Horst86 13.06.2023 um 15:45:22 Uhr
Goto Top
Ah ok deine Beschreibungen bzw. Erklärungen sind Mega face-smile

Zum Thema Security ... Es sind tatsächlich nur die Ports offen, die wir auch wirklich brauchen. Steuer ich alles über die Meraki Firewall. Bis zur Firtzbox hast du allerdings recht ... da ist über den exposed Host alles offen.

Mir war ABSOLUT nicht klar, dass die CPU der Fritzbox durch "exposed Host" so heftig belastet wird. Meine Vermutung war immer genau andersherum. Ein dickes Forwarding Regelwerk belastet die CPU. Wieder was gelernt. Finde ich richtig gut. face-smile face-smile

Ich habe mich Wochen nur mit der Meraki Konfiguration auseinandergesetzt und die Fritzbox komplett außen vor gelassen. Fail ...

Deine Erklärung ergibt natürlich absolut Sinn. Dann richte ich das Port Forwarding an beiden Geräten sowohl Fritzbox als auch Meraki ein.

ICMP Antworten lasse ich auch nicht dauerhaft eingeschaltet.
Einen internen VPN Endpunkt kann ich natürlich immer anpingen, aber trotzdem würde ich gerne die Möglichkeit haben, im Störfall, einen Dauerping auf die externe IP laufenzulassen.

Für alle unsere Services brauche ich ca. 1200 Ports, die ich weiterleiten muss. Meinst du, die Fritzbox packt das?
Alternativen?
Horst86
Horst86 13.06.2023 aktualisiert um 15:56:30 Uhr
Goto Top
Nachtrag:

Hält sich tatsächlich in Grenzen.
FTTH
fritzbox

VDSL
fritzbox2
aqui
aqui 13.06.2023 um 16:39:46 Uhr
Goto Top
Es sind tatsächlich nur die Ports offen, die wir auch wirklich brauchen.
(Zitat von oben) "Die Fritz!Box hatte die einfache Funktion "exposed Host"."
Fragt sich was man dir nun glauben soll. face-sad
Meine Vermutung war immer genau andersherum.
Wie kommt das?? Wie stellst du dir denn vor erkennt die Fritzbox relevanten Traffic an ihrem WAN Port und die dazugehörige Forwarding Information? Lesen des kompletten Layer 3 Headers, entscheiden welcher Port wohin muss, IP Forwarding Database Lookup usw. usw. um nur mal das Allernötigste zu nennen. Was hattest du da denn vermutet?
im Störfall, einen Dauerping auf die externe IP laufenzulassen.
Welchen man ja dann auch in einem 10 Sekunden Intervall laufen lassen kann wenn man meint das sei irgendwie hilfreich.
brauche ich ca. 1200 Ports, die ich weiterleiten muss.
Nicht dein Ernst, oder ?? Das hört sich dann eher nach einem fundamentalen Designfehler an. Normal ist sowas jedenfalls nicht wenn man meint 1200 Löcher in eine Firewall bohren zu müssen. Ohne Worte...
Horst86
Horst86 14.06.2023 um 11:33:03 Uhr
Goto Top
z.B.VoIp ...
5060/5061 SIP Daten
9000-10999 RTP Kommunikation Anrufsteuerung und Anrufdaten
443 WebRTC
Dann noch IOS und Android
schon bin ich bei 1000 offenen Ports nur für die PBX

dazu kommen noch

Diverse Onlineshops ... mail ... Security Software ... weitere Schnittstellen.

Bei großen Softwarehäusern hat man doch keine Wahl ... die geben Ports vor und der Kunde muss folgen... Ist beim Security-Audit durch einen großen Versicherer auch nicht negativ aufgefallen.

Zu der anderen Frage ... Deine Erklärung war absolut plausibel für mich, aber die beiden Fritzboxen eiern doch nur mit max 30% CPU Auslastung herum. Da beißt sich doch Theorie und Praxis irgendwie.

Ist doch im Grunde auch egal ... Jeder muss irgendwie durch die Welt kommen. Ich mache sicherlich nicht alles richtig, aber bestimmt auch nicht so viel falsch. Von den kleinsten Läden über Krankenhäuser bis zu Megakonzernen haben alle irgendwo, irgendwie Lücken, es fehlt an Expertise und Hacker haben leichtes Spiel. Gerade im Bereich IT kann man einfach nie alles wissen. Ich versuche mich selbst weiterzubilden und Wissen aufzusaugen. Solange bei uns alles läuft, ist das für mich OK. "Auf Holz klopfen" uns hat es noch nicht erwischt face-smile

Habe mir jetzt über das Salesteam von Meraki ein Softwarehaus empfehlen lassen und wir hatten gerade das erste Meeting. Der Kollege meinte "es sieht eigentlich alles super aus" er empfiehlt allerdings die Fritzboxen durch Cisco Router zu ersetzten und wie Du schon sagst, die Ports auf beiden Geräten weiterzuleiten.

Nochmal danke an alle für den Input
Looser27
Looser27 14.06.2023 um 11:43:23 Uhr
Goto Top
z.B.VoIp ...
5060/5061 SIP Daten
9000-10999 RTP Kommunikation Anrufsteuerung und Anrufdaten

Da machst Du aber was grundlegendes falsch. Die Ports sind nur von innen nach außen offen....
Von außen nach innen hingegen sind die zu.
Horst86
Horst86 14.06.2023 um 12:10:38 Uhr
Goto Top
... inbound

ghfgh
Looser27
Looser27 14.06.2023 um 13:21:37 Uhr
Goto Top
Die "Anleitung" ist bekannt.

Solange Du keine Client-Devices ausserhalb des Netzwerkes hast, brauchst Du sowas nicht.
Die VOIP-Anlage meldet sich selbständig beim Provider, so dass die benötigten Ports (5060/5061) durch die Anlage offen gehalten werden.
Kommt ein Gespräch zustande, öffnet die Anlage die Gesprächsports.

Und ganz nebenbei.....Port 443 von außen auf die Anlage ist fahrlässig, weil Du damit direkten Zugriff auf das Webinterface der Anlage freigibst.