Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Upload im Internet zu lahm trotz VDSL

Mitglied: 113114

113114 (Level 1)

25.08.2013, aktualisiert 03.04.2018, 4229 Aufrufe, 23 Kommentare, 1 Danke

Hallo, frisch angemeldet eine Frage die mir seit einigen Jahren Kopfzerbrechen bereitet.

Windows-System mit Entertain VDSL. Mit diesem werden Daten im Netz zur Verfügung gestellt. Aufgelöst wird über DYN. Klappt alles soweit wunderbar.
Leider scheint es da ein Problem mit dem Uploadspeed des Servers zu geben. Egal von wo man lädt, ein HTTP-Download auf Port HTTP von diesem Server erreicht nur ~250 kByte/sec. Das Fünffache wäre eigentlich drin mit VDSL und 10MBit Upload, dachte ich.

Im LAN ist der Zugriff so schnell wie das Netzwerk, also 1GBit/s. Nur im WAN ist es äußerst lahm.

Was läuft da schief?


Der Server befindet sich hinter einer Firewall und diese Firewallbefindet sich hinter eines Routers. Die Portfreigaben funktionieren alle. Und auch sonst gibt es eigentlich keine Probleme mit der Internetverbindung am PC. Der Upload an sich ist in Ordnung. Nur in der konkreten Anwendung mit Apache aus dem WAN hapert es.


Die Firewall hat einen Durchsatz von 300MBit/s - die ist wahrscheinlich nicht der Flaschenhals. Auch der eingeschaltete CF lastet die Firewall nicht aus. Der Hersteller gibt 45MBit UTM-Durchsatz an (Firewall, Contentfilter, Virenscanner). Und dier Router hat keine Firewall.

Irgendwie habe ich hier meinen Provider im Verdacht.
Bei der nächsten Auswärtsgelegenheit werde ich das mal per FTP testen.

EDIT:
Von einem TestClient aus dem vorgeschaltetem LAN kommen ca. 13MByte/sec vom Server an. Also 100MBit WAN/LAN-Firewalldurchsatz aktuell. Damit ist die Firewall für mich entlastet.

Bleibt nur noch der Router, oder der Provider.
Der Server hängt hinter der Firewall im zweiten Netz . Das erste LAN-Netz (Router) ist IP-TV-Clients vorbehalten. Die Firewall macht leider kein IPTV sodass ein Router den Gateway und ersten NAT spielt.
Mitglied: certifiedit.net
25.08.2013, aktualisiert um 23:43 Uhr
Hallo elmujo,

ich würde mal auf das doppelte NAT tippen. Was passiert denn, wenn du die ZyWALL als exposed Host in der FB definierst? (Sollte dann aber auch entsprechend eingerichtet sein).

Grüße,

Christian

certified IT

PS: Wie sehen denn die Leitungsdaten zum VDSL in der Box aus?
Bitte warten ..
Mitglied: 113114
26.08.2013, aktualisiert 03.04.2018
Danke erstmal.

Also wenn es ein Problem mit dem NAT ist, sollte sich das Problem auch mit FTP auf die gleiche Art darstellen und es wäre wohl das NAT der Router . Das NAT der Firewall schafft ja 13MByte/s.
Ebenso sollte bei dieser Annahme auch die Portnummer keine Rolle spielen. Ich werde das gegentesten, sobald ich die Gelegenheit habe.
Weitere Variante wäre der Testbetrieb des Servers im ersten Netz der Router , also nur hinter einem NAT.

Als Exposed Host möchte ich die Firewall nur ungern freigeben. Zum Einen weil ich nicht genau weiß was exposed host genau bedeutet zum Anderen weil ich nur so wenig wie möglich freigeben will.

" Leitungsdaten zum VDSL in der Box aus" - Wie ist das gemeint?

THX
Bitte warten ..
Mitglied: 108012
26.08.2013 um 09:09 Uhr
Hallo,

Weitere Variante wäre der Testbetrieb des Servers im ersten Netz der Fritzbox, also nur hinter einem NAT.
Jo genau da sollte so etwas eigentlich ja auch stehen! Du hast mit einer Router Kaskade oder Doppel NAT Lösung
ja quasi zwei Netze geschaffen und das macht man eigentlich nur, wenn man etwas hat (Server wie FTP,HTTP, Mail,...)
das zum einen aus dem Internet erreichbar sein muss und zum anderen das auch vom LAN aus erreichbar sein muss,
man aber nicht das gesamte LAN offen von Seiten des Internets zugänglich machen möchte. Normaler Weise heißt
so etwas DMZ und ist eben genau für solche Server gedacht!

Zyxel gibt 45MBit UTM-Durchsatz an (Firewall, Contentfilter, Virenscanner).
Das wird der wahre Verursacher sein und zwar so wie ich das sehe der Virenscanner!!!

Und die AVM hat keine Firewall.
Doch "Netfilter" bzw. SPI wie es auch genannt wird.

Zyxel gibt 45MBit UTM-Durchsatz an.....
Das stellt aber einen rein theoretischen Wert dar der das Optimum widerspiegelt
und zwar meist in einer Laborumgebung unter Idealbedienungen und das ist bei Dir garantiert nicht der Fall!

Man kann nun mehrere Lösungsansätze verfolgen die zielführend sind und auch die Sicherheit nicht beeinträchtigen.
- VDSL Modem kaufen und vor die ZyWall USG setzten und die Server mit Internetkontakt in eine DMZ setzen.
- Die Internetverbindung durch die Fritz!Box, da sie nicht mehr nur als Modem betrieben werden kann, an einem LAN Port via "Exposed Host" also quasi ungefiltert an die ZyWall heran führen. Sollte das keine Verbesserung bringen denke ich
das es an dem AV der ZyWall liegt"!
- Die Server in das Netz der Fritz!Box stellen, allerdings sind dann die Funktionen der ZyWall, AV, Kontentfilter und
Firewall nur für das interne Netzwerk (LAN) verfügbar und wenn noch andere Server eine Rolle spielen sollten, wie zum
Beispiel Mail, FTP usw. eher suboptimal!

Ich würde der Sicherheit wegen lieber ein VDSL Modem besorgen und dann direkt an die ZyWall
anschließen wollen, dort dann aber eine DMZ einrichten wollen in der Du dann alle Server platzierst, die auch
permanenten Kontakt zum Internet haben, den selben Effekt kann man auch mit der "Exposed Host" Funktion
an einem LAN Port erreichen, aber direkt hinter der Fritz!Box, also in deren Netz würde ich dann auch wirklich nichts
anderes mehr hinstellen wollen, ginge ja zur Not auch und ist wohl eher die Budget Lösung.

Leitungsdaten zum VDSL in der Box aus" - Wie ist das gemeint?
Man kann einen Leitungstest machen, den man direkt in der Box "anstößt"!

Gruß
Dobby
Bitte warten ..
Mitglied: certifiedit.net
26.08.2013 um 09:35 Uhr
Guten Morgen D.o.b.b.y Das Problem mit dem VDSL Modem sollte sein, dass IPTV dann nicht mehr geht (ungeprüft, Erstellers Aussage).

Zum Thema "Was macht ein Exposed Host", nun, dazu kann man sich schnell einlesen, wenn man die Materie versteht sind das zwei, drei Sätze.

Beste Grüße,

Christian
Bitte warten ..
Mitglied: aqui
26.08.2013, aktualisiert um 10:53 Uhr
Die Grundproblematik ist aber das doppelte NAT und das doppelte Routing wie Kollege certified schon richtig bemerkt hat, was eigentlich unnötig ist. Leider sind die Billigrouter der Provider oft ein Hinderniss, da sie zwar physisch die Bandbreiten schaffen aber in der Packet Forwarding Rate, also dem was wirklich durch die Router CPU mit NAT durchgeht von einem Port zum anderen oft nur ein Bruchteil können was dann entsprechend empfindliche Einbußen in der Performance nach sich zieht.
Da nützt es dann auch herzlich wenig eine weitere eigentlich überflüssige Firewall in einer Kaskade zu betreiben. Was vorne rauströpfelt kann eine gute Firewall natürlich dahinter nicht wieder beschleunigen...logisch !
Außerdem will der Provider für sowas keine billigen Consumer Accounts verkaufen sondern hat andere Business Modelle um damit Umsatz zu machen...ein weiterer erschwerdende Punkt.

Besser aus Performance Sicht wäre es in jedem Fall das ganze Konstrukt gegen ein Single Hop Szenario auszutauschen um diese Hürde zu überwinden.
Mit einem gescheiten VDSL Firewall Router wie z.B. diesem_hier wäre das kein Thema, Firewall, Entertain und entspr. Performance wieder zu vereinigen.

P.S.: Ein exposed Host ist die IP Adresse an der der Router alle IPs und Ports forwardet die nicht auf andere lokale IP Adressen als Port Forwarding eingetragen sind.
Mit so einem Sicherheits Scheunentor sollte man immer sehr sehr vorsichtig umgehen !!
Bitte warten ..
Mitglied: certifiedit.net
26.08.2013 um 10:31 Uhr
Geb ich dir absolut Recht, sollte auch nicht als Widerspruch gesehen werden.
Bitte warten ..
Mitglied: 113114
26.08.2013, aktualisiert 03.04.2018
Ihr seit etwas zu voreilig und voreingenommen.

1. Der Wert von 45MBit ist durch diverse Tests bestätigt.
2. Es ist garkein Virenscanner in der Firewall aktiv (ich sagte nur, dass die gesamte UTM-Leistung bei 45MBit liegt, und zwar wenn alles aktiv ist)
2.a. Dass hätte ersichtlich sein müssen an dem Punkt, an dem ich einen Abruf aus dem vorgelagertem Netz tätigte mit 13MByte/sec.
3. Überflüssig ist die Firewall NICHT, ist doch die frei konfigurierbare Firewall und der Contentfilter ideal gegen unliebsame Gestalten wie Googleanalytics und co.
4. Ist die Router als erstes NAT zwingend , da IPTV (IGMPv3) NICHT von der Firewall unterstützt wird
5. Das WAN/LAN-NAT der Firewall schafft aktuell wie gesagt 13MB/Sec
6. Wir haben keinen Consumer-Account sondern einen Geschäftskundenaccount

" Die Internetverbindung durch die Router, da sie nicht mehr nur als Modem betrieben werden kann, an einem LAN Port via "Exposed Host" also quasi ungefiltert an die Firewall heran führen. "
Geht nicht, wegen fehlender IGMPv3-Unterstützung der Firewall (bereits getestet).


Der gescheite VDSL-Rouer von Cisco braucht einiges mehr an Strom, ist viel teurer, hat keine Fax-Unterstützung, und keine DECT-Schnittstelle. Der Einsatz dieses Gerätes würde mein ganzes Netz zum umstrukturieren zwingen, dazu mit Kosten die in den 4 stelligen Bereich gehen. Klar, aber die Garantie dass es dann schnell läuft kann mir auch Cisco nicht geben.

Also jetzt nochmal logisch durchdacht.
-Das WAN-LAN-Nat der Firewall ist sehr schnell, def. schneller als 200kByte/sec (damit wäre der Hersteller weg vom Fenster). Der Router hat 1000€ Listenpreis, ist also kein Billigteil.
-Sollte es auch bei FTP so langsam gehen, ist der Server an sich entlastet
-Sollte HTTP-Download vom Apache auf einem anderen Port schneller gehen, kommt nur noch der Provider ins Spiel
-Kommt der Server direkt hinter die Router und ist der Download weiterhin lahm, ist die Firewall zweifelsfrei entlastet und die Schuld läge bei der Router oder dem Provider

Ist es für euch quasi "undenkbar" dass der Provider hier drosselt? So nach x Jahren DSL-Erfahrung würde ich diese Aussage nicht unterschreiben.
Ich hoffe ich kmme morgen dazu die ersten weiteren Tests anzustellen.

Dann vielen Dank erstmal für die Anregungen.
Bitte warten ..
Mitglied: certifiedit.net
26.08.2013 um 19:08 Uhr
Dann zitier ich mich mal selbst:

Zitat von certifiedit.net:
PS: Wie sehen denn die Leitungsdaten zum VDSL in der Box aus?
Bitte warten ..
Mitglied: aqui
26.08.2013, aktualisiert um 19:23 Uhr
IPTV auf einem Businessanschluss ?? Schon komisch und sicher nicht üblich... IGMP muss die Zywall auch gar nicht machen, nur durchlassen bzw. Multicast Routing supporten. Es reicht wenn der MC Querrier im lokalen LAN dahinter ist.
Das der Cisco mehr Strom brauchen soll als deine Kaskade mit Fritzbox und Zywall verweisen mir mal ins Reich der Märchen und sicher meinst du das nicht im Ernst, denn nachgemessen hast du sicher nicht, das Argument ist eher schwach.
Faxen auf dem Router ?? In einer Business Umgebung ?? Meinst du sicher auch nicht wirklich Ernst, oder ?
Keine DECT Schnittstelle auf dem Router in einer Business Umgebung ??
Du bist hier vermutlich generell im falschen Film oder hast vollkommen falche Vorstellungen von einem Business Router. Was du da suchst oder beschreibst bzw. deine Ansprüche beschreiben einen eierlegenden Wollmilchrouter wie sie der kleine Zahnarzt, die KFZ Werkstatt und der Steuerprüfer um die Ecke haben will die nix ausgeben wollen und auch nicht wirklich "Business" Ansprüche haben.
In einem sauber designten netzwerk machen das andere Komponenten aber ganz sicher nicht der Router, denn der soll Routen und das auch bei akzeptabler Performance.
Du willst einen Bastelrouter für den kleinen Consumer mit Blödmarkt Budget der aber noch Hoster Qualitäten in der Performance hat.....sowas geht in der Regel nicht wirklich zusammen und wenn dann nicht so wie du es gelöst hast und das weiss eigentlich jeder engagierte und verantwortungsvolle Netzwerker...sorry !
Um Fakten zu bekommen:
  • Plaziere einen kleinen FTP Server oder SCP Server in deinem Netzwerk.
  • Teste mit [ NetIO] und mit einem lokalen Filetransfer erstmal direkt was diese Kombination so hergibt an Durchsatz um einen verlässlichen Ausgangswert und Maßstab zu erhalten !
  • Plaziere den Server hinter der Zywall und miss vom lokalen AVM Netz zum lokalen Zywall Netz und vice versa !
  • Plaziere den Server hinter dem AVM und miss von remote, wobei der remote Client nicht gerade in Timbuktu sein sollte. Ideal wäre es wenn der remote Client im gleichen Providernetz platziert ist.
  • Plaziere den Server hinter der Zywall und miss nochmal von remote am besten unter den gleichen bedingungen wie oben.
Sinnvoll wäre mal ein Transfer mit FTP, SCP und ggf. NetIO um mal unterschiedliche Protokolle zu sehen was die transferieren.
So bekommst du erstmal verlässlichere Aussagen und kannst das "Problem" besser und enger eingrenzen.
Das die Telekom HTTP Port TCP 80 Traffic drosselt unter VDSL wäre ungewöhnlich. Vollkommen ausschliessen kann man das aber nicht.
Bitte warten ..
Mitglied: 113114
26.08.2013, aktualisiert 03.04.2018
DSL-Test auf wieistmeineip.de

PC hinter Firewall
Downstream: 42911 kBit/s
Upstream: 8184 kBit/s

PC hinter Router
Downstream: 44300 kBit/s
Upstream: 7661 kBit/s

Jeh nach Messung schwankt es aktuell etwas, der Upload fällt aber nie unter 5000 kBit/s.
Wenn man den Test zu einer anderen zeit macht, gehts bis 50000/10000 hoch, das habe ich früher schon öfter getestet.

Oder meinst du die Daten zum Dslam in der Box? Die sehen noch weitaus besser aus, als die gestesteten bei wasistmeineip.de
Bitte warten ..
Mitglied: certifiedit.net
26.08.2013 um 19:22 Uhr
Exakt die meine ich. Dann gibt es nur noch zwei Möglichkeiten
a) es wird nicht gehen mit der Kaskadierung
b) du hast irgendwo irgendwas falsch konfiguriert.

Grüße
Bitte warten ..
Mitglied: aqui
26.08.2013, aktualisiert um 19:29 Uhr
OK, das isnd dann ~43 Mbit/s Down und ~6 Mbit Uplink. Diesen Durchatzs müsste man aber mindestens auch mit FTP erreichen. Da diese Internet Tests auf HTTP basieren bedeutet es ja das diese Werte mit einem HTTP Transfer erziehlt wurden.
Gleiches würde dann auch für deinen Apachen gelten...
Ansonsten kann man ja an dem auch noch "drehen":
http://www.huschi.net/10_54_de.html
Bitte warten ..
Mitglied: 113114
26.08.2013, aktualisiert um 19:35 Uhr
Zitat von aqui:
IPTV auf einem Businessanschluss ?? Schon komisch und sicher nicht üblich... IGMP muss die Zywall auch gar nicht machen, nur
durchlassen bzw. Multicast Routing supporten. Es reicht wenn der MC Querrier im lokalen LAN dahinter ist.
Das der Cisco mehr Strom brauchen soll als deine Kaskade mit Fritzbox und Zywall verweisen mir mal ins Reich der Märchen und
sicher meinst du das nicht im Ernst, denn nachgemessen hast du sicher nicht, das Argument ist eher schwach.
Faxen auf dem Router ?? In einer Business Umgebung ?? Meinst du sicher auch nicht wirklich Ernst, oder ?
Keine DECT Schnittstelle auf dem Router in einer Business Umgebung ??
Du bist hier vermutlich generell im falschen Film oder hast vollkommen falche Vorstellungen von einem Business Router. Was du da
suchst oder beschreibst bzw. deine Ansprüche beschreiben einen eierlegenden Wollmilchrouter wie sie der kleine Zahnarzt, die
KFZ Werkstatt und der Steuerprüfer um die Ecke haben will die nix ausgeben wollen und auch nicht wirklich
"Business" Ansprüche haben.
In einem sauber designten netzwerk machen das andere Komponenten aber ganz sicher nicht der Router, denn der soll Routen und das
auch bei akzeptabler Performance.
Du willst einen Bastelrouter für den kleinen Consumer mit Blödmarkt Budget der aber noch Hoster Qualitäten in der
Performance hat.....sowas geht in der Regel nicht wirklich zusammen und wenn dann nicht so wie du es gelöst hast und das
weiss eigentlich jeder engagierte und verantwortungsvolle Netzwerker...sorry !

"Plaziere den Server hinter der Zywall und miss vom lokalen AVM Netz zum lokalen Zywall Netz und vice versa !" Bereits passiert => 13MB/s
"Plaziere den Server hinter der Zywall und miss nochmal von remote am besten unter den gleichen bedingungen wie oben." Das war die Ausgangslage


Ja, IPTV als Geschäftskunde ist rel. selten, aber nocht abnormal exotisch.

Nein, die Zywall darf NICHT erstes NAT spielen. Es wurde schon getestet und es funktioniert nicht. Auch die Idee mit den durchlassen der Pakete funktioniert NICHT. Jedes Glied in der Kette MUSS IGMPv3 zwingend unterstützen. Ich habe mich damit schon über einem Jahr auseinandergesetzt.

"DECT-Schnittstelle in der Business-Umgebung?"

Dir sind wohl Freiberufler, Anwälte, Buchhalter, Steuerberater und Selbstständige fremd. Hier ist ein gewöhnlicher Telefonanschluss die Regel. Gleiches gilt für FAX. Undenkbar das hier abzuschalten.

Der Rest ist allgemeines Geschwafel ohne Substanz auf das ich nicht weiter eingehe. Seh deine Welt die du sie sehen willst.

Es geht immernoch um zu lahmen Upload des Apaches, nicht um deine persönlichen Vortsellungen von einem geschäftlich genutzen Netzwerk. Was wirklich handfestes hast du bisher nicht beigetragen. Von daher ist damit für mich auch die Frage, wer in welchem Film sitz beantwortet.
Bitte warten ..
Mitglied: aqui
26.08.2013, aktualisiert um 19:37 Uhr
Na ja du siehst die Welt ja auch so wie DU sie sehen willst und auch Freiberufler lösen sowas anderes.
Ferner hast du es nichtmal geschafft sinnvolle und aussagekräftige Durchsatztests mit entsprechend fundierten Tools hier zu posten. Nichts also was der Forumsgemeinde in irgendeienr Art und Weise helfen würde für einen zielführenden Tip. Das betrifft die Netzwerk als auch die Apache Seite. Es gibt dazu zig kostenlose im Web ! Soviel also zu deinem Film....
Also besser gehen wir auch auf deine zweifelhaften Ausführungen auch nicht weiter ein und kümmern uns mal wieder um die Fakten.
Die sind ja eindeutig...
  • Deine unorthodoxe Router Firewall Kaskade kann es de facto nicht sein, denn die schafft ~43 Mbit/s Down und ~6 Mbit Uplink was ohne Abstriche auch für HTTP gilt. Gut wäre das nochmal mit einem dedizierten Transfer Test zu verifizieren, da wird aber nix anderes bei rauskommen.
  • Fazit: Es kann nur noch der Apache selber sein. Lahmer Server, lahme NIC, alter schlechter NIC Treiber usw. usw.
Bitte warten ..
Mitglied: 113114
26.08.2013, aktualisiert 03.04.2018
Zitat von aqui:
Na ja du siehst sie ja auch so wie DU sie sehen willst und auch Freiberufler lösen sowas anderes.
Also besser gehen wir auch auf deinen zweifelhaften Ausführungen nicht ein und kümmern uns mal wieder um die Fakten.
Die sind ja eindeutig...
  • Deine unorthodoxe Router Firewall Kaskade kann es de facto nicht sein, denn die schafft ~43 Mbit/s Down und ~6 Mbit Uplink
was ohne Abstriche auch für HTTP gilt. Gut wäre das nochmal mit einem dedizierten Transfer Test zu verifizieren, da wird
aber nix anderes bei rauskommen.
  • Fazit: Es kann nur noch der Webserver selber sein. Lahmer Server, lahme NIC, alter schlechter NIC Treiber usw. usw.

Na aber wieso bekomme ich dann vollen Gigabit-Speed im eigenem Netz der Firewall?
PC war ein I7-920

Die Routeraufstellung war so auch nicht geplant. Ursprünglich war ja die Firewall mal erstes NAT. Seit VDSL muss dsie aber hinter die Firewall - leider
Und da die Firewall nicht annähernd solche Sicherheitsfeatures wie die Firewall bietet, wollte ich sie behalten.
Morgen Teste ich den Speed vom FTP hinter der Firewallund vom Server hinter der Firewall- alles aus dem WAN

EDIT
es gibt noch einen möglichen Befehl in der config des Servers "EnableSendfile Off"
Aber dies bringt wohl nur bei virtuellen Ordnern was, also die auf die Servernicht direkt zugreifen kann, da sie physisch woanders liegen. Aber das ist heir ja nicht der Fall. Sonst fällt mir keine sinnvolle Einstellung im Server ein.
Bitte warten ..
Mitglied: aqui
26.08.2013, aktualisiert um 19:42 Uhr
MTU Size Mismatch ?? Hast du mal einen Wireshark genommen und mal den Sessionaufbau lokal und remote gecheckt ?
Fragmentierungsprobleme in einem der Router oder der Firewall ?
Was passiert wenn du mal die Zywall testweise weglässt und direkt hinter dem AVM misst ? Nur um eine Kaskade mal zu eliminieren und mal zu checken ob das irgend einen Einfluss hat ! Bevor man den Wireshark bemührt...
Bitte warten ..
Mitglied: 108012
26.08.2013, aktualisiert um 19:58 Uhr
Na aber wieso bekomme ich dann vollen Gigabit-Speed im eigenem Netz der Zywall ?
Weil da ja auch nicht zwei mal NAT und SPI zwischen sind eventuell?

So nun mal Butter bei die Fische hier!

Erstens:
- Also Du hast alles vor Ort und kannst es sehen und auch anfassen, wir nicht!
- Du weist auch was Du erreichen möchtest und was Du brauchst und wir wieder nicht!
- Du musst uns das halt aufschreiben und wir können das alles falsch verstehen und auch sicherlich falsch in den Hals
bekommen, aber dann hast Du zu 50% in meinen Augen auch Schuld, denn das ganze verständlich herüber zu bringen
ist Dein Part und nicht unserer! Zumindest sehe ich das so, wenn keine Zeichnung beigefügt ist!

Zweitens, so eine Lösung läuft Millionenfach in Deutschland und ist auch in vielen anderen Foren so beschrieben
nur warum das bei Dir nicht so richtig "wuppen" will ist mir echt schleierhaft! Also noch einmal ganz langsam zum mit
meißeln:

AVM FB mit Set Top Box an LAN Port 4 der FB
DMZ in der AVM FB aktiviert für LAN Port 4
LAN Port 1 mit Kabel zum WAN Port der ZyWall
fertig

So hier mal eine Zeichnung damit wir auch ja alle über das gleiche Thema reden!


dfe3fc2bde64049d343bb61e085b0da5 - Klicke auf das Bild, um es zu vergrößern



Noch was falls Du unbedingt Deinen IPTV Dienst hinter die ZyWall bringen musst, ist dass das selbe als wenn
man dort eine VPN hinbekommen muss oder will, dann kann man nur die ZyWall "aufbohren" also Ports öffnen
und der eigentliche Nutzen der ZyWall, das interne Netz also das LAN zu schützen ist dann dahin.



Gruß
Dobby
Bitte warten ..
Mitglied: 113114
26.08.2013, aktualisiert 03.04.2018
Genau so sieht unser Netzwerk aus. Nur die spezielle DMZ-Einstellung in der Router ist nicht vorgenommen.

"Weil da ja auch nicht zwei mal NAT und SPI zwischen sind eventuell?"
Dann kann aber schonmal nicht die NIC oder der PC infrage kommen, so wie ich das verstehe.

KORREKTUR:
Die IPTV-Boxen händen direkt an der Router . Am Port 1 oder 4 (weiß ich geradse nicht genau) hängt dann die Firewall. Hinter diesem der Server
Bitte warten ..
Mitglied: 108012
26.08.2013 um 20:07 Uhr
Pro SPI/NAT kann man gut und gerne 5% von dem Durchsatz abziehen!
Also bei zwei mal SPI/NAT dann eben 10%, kommt aber auch immer auf die Daten an, die da durchgehen.

Das mit der NIC hat @aqui nur mit ins Spiel gebracht, weil die "etwas" günstigeren NoName Karten und/oder
Consumer Karten die CPU sehr stark belasten und die richtigen NICs für Server alle einen kleinen aber eigenen DSP
(Digitalen Signal Prozessor) verlötet haben und daher die CPU nicht so stark belastet wird wie bei den "billigeren"
Karten und das kann man mitunter eben nicht oder nur sehtr schlecht heraus finden!

Eine DMZ ist in der Regel dafür vorhanden, um dort Server und Geräte zu platzieren die zum einen Kontakt zum
Internet haben und zum anderen vom LAN aus erreichbar sein müssen. Das macht man damit nicht gleich jemand
im LAN drinnen ist, falls er Kontrolle über einen Server erlangt hat.

Als letzte Alternative und auch guten bzw. praktikablen Lösungsansatz habe ich noch folgendes:
Die Fritz!Box als erstes und den Apache Server in die DMZ der ZyWall und nicht in die der AVM FB.

Dann kann man eben auch Ports öffnen und hat beides von einander getrennt, aber kann den Kontentfilter nutzen.

Gruß
Dobby
Bitte warten ..
Mitglied: 113114
26.08.2013, aktualisiert 03.04.2018
"Als letzte Alternative und auch guten bzw. praktikablen Lösungsansatz habe ich noch folgendes:
Die Router als erstes und den webServer in die DMZ der Firewall und nicht in die der Router"

Ja so läuft es im Prinzip gerade. Nur ein L2-Switch hängt noch zwischen der Firewallund dem Server
Bitte warten ..
Mitglied: 113114
28.08.2013, aktualisiert 03.04.2018
Hmmm. Mein Kumpel ist leider gerade im Urlaub, so dass ich noch ein paar Tage warten muss bis ich das gegentesten kann.

Andere Frage: Gibt es neben FileZilla noch einen guten schnellen open-source-FTP-Server? Ich komme mit der Bedienung des Filezillas überhaupt nicht klar. Entweder ist die Bedienung von Filezilla zu einfach oder zu kompliziert gedacht, in jedem Fall finde ich mit Filezilla keinen gemeinsamen Nenner (ganz im Gegensatz zu Firefox).
Sehr gefallen hat mir z.B. FTP Server - leider kein OpenSource. Die Bedienung war schlicht und selbsterklärend. Und der Funktionsumfang war ok für meinen Gebrauch.

schönen Abend noch
Bitte warten ..
Mitglied: aqui
29.08.2013 um 11:19 Uhr
Für Winblows oder darf es auch Linux sein ??
Winblows ist noch Cerberus FTP http://www.cerberusftp.com
Linux hat sowas per Default gleich an Bord. Z.B. ein Raspberry_Pi allerdings hat der nur einem 100 Mbit/s Netzwerkport, was aber zumindestens für einen Trend Test ja reicht.
Bitte warten ..
Mitglied: 108012
29.08.2013 um 11:44 Uhr
leider kein OpenSource. Die Bedienung war schlicht und selbsterklärend. Und der Funktionsumfang war ok für meinen Gebrauch.
WS_FTP light

- Leicht zu bedienen
- selbst erklärend
- kein unnötiger "Schnick Schnack"

Gruß
Dobby
Bitte warten ..
Ähnliche Inhalte
DSL, VDSL

VDSL Anschluss - VDSL Modem und dahinter LANCOM Router

gelöst Frage von heisenberg4DSL, VDSL9 Kommentare

Hallo, nächste Woche Dienstag wird an einem Standort bei uns der Anschluss von ADSL mit ISDN auf VDSL mit ...

DSL, VDSL

Telefondose verlegen - VDSL

Frage von BierkistenschlepperDSL, VDSL10 Kommentare

Hallo, ich plane gerade die Verlegung meiner TAE-Dose in den Serverraum. Das sind maximal 6m Kabelstrecke. Ich wollte dabei ...

Vmware

Koperien im Netzwerk lahm

gelöst Frage von Finchen961988Vmware27 Kommentare

Ich beschreibe erst mal die Harware und die Konfiguration Server: 1 x 6C Xeon E5-2420v2 (2,2GHz/15MB) 96GB RAM (6x16 ...

Router & Routing

VDSL Router Kaufberatung

gelöst Frage von rocco61Router & Routing20 Kommentare

Hallo zusammen, wir stellen demnächst auf VDSL um, derzeit mit ADSL ist ein Dreytech 2820 mit Fritzbox als Schnittstelle. ...

Neue Wissensbeiträge
Humor (lol)
Administrator.de Perlen
Tipp von DerWindowsFreak2 vor 1 TagHumor (lol)3 Kommentare

Hallo, Heute beim stöbern auf dieser Seite bin auf folgenden Thread aus dem Jahre 2006 gestossen: Was meint ihr? ...

Erkennung und -Abwehr
OpenSSH-Backdoor Malware erkennen
Tipp von Frank vor 2 TagenErkennung und -Abwehr

Sicherheitsforscher von Eset haben 21 Malware-Familien untersucht. Die Malware soll Hintertüren via OpenSSH bereitstellen, so dass Angreifer Fernzugriff auf ...

iOS
WatchChat für Whatsapp
Tipp von Criemo vor 6 TageniOS5 Kommentare

Ziemlich coole App für WhatsApp User in Verbindung mit der Apple Watch. Gibts für iOS sowohl als auch für ...

iOS
IOS hat nen Cursor!
Tipp von Criemo vor 6 TageniOS5 Kommentare

Nette Funktion im iOS. iPhone-Mauszeiger aktivieren „Nichts ist nerviger, als bei einem Tippfehler zu versuchen, den iOS-Cursor an die ...

Heiß diskutierte Inhalte
Grafikkarten & Monitore
PCIe 1.0 Grafikkarte für 3840x2160
Frage von Windows10GegnerGrafikkarten & Monitore26 Kommentare

Hallo, mein Vater hat einen neuen Monitor gekauft, welcher eine native Auflösung von 3840*2160 hat. Diese muss jetzt auch ...

Festplatten, SSD, Raid
SSD zeigt falsche Werte
Frage von karl2014Festplatten, SSD, Raid25 Kommentare

Ich habe ein Problem mit der SSD in meinem Laptop mit Windows 10. Es ist eine 1Tb Platte die ...

Windows 10
Windows Enterprise 1809 Eval nicht bootbar
Frage von Sunny89Windows 1022 Kommentare

Hallo zusammen, bevor ich mich jetzt noch stundenlang rumärger wollte ich euch fragen, ob Ihr die gleichen Probleme habt ...

Linux
Info Monitor für eine Schule
gelöst Frage von CAT404Linux13 Kommentare

Moin, ich möchte einen Infomonitor betreiben; derzeit läuft da ein Windows 10 Rechner bei dem Firefox beim Start in ...