Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

WAN Problem: ungewöhnlicher Anstieg der ICMP Response Time während eines Uploads

Mitglied: dwaldmannDE

dwaldmannDE (Level 1) - Jetzt verbinden

31.07.2020 um 09:58 Uhr, 160 Aufrufe, 6 Kommentare, 1 Danke

Guten Morgen,

ich habe hier ein, für mich kurioses, Problem. Es geht um folgendes:

Sobald ein größerer Upload gestartet wird (>= 5 GB) steigt die ICMP Response Time für Verbindungen von und ins Internet extrem an. Ich habe das ganze heute Morgen einmal protokolliert:

chart2.php - Klicke auf das Bild, um es zu vergrößern

Der Standort ist per Vodafone Cable Business 500/50 angebunden und befindet sich in Baden-Württemberg. Von Vodafone wird eine Fritz!Box 5691 gestellt, hinter der eine OPNSense Firewall (x86 Hardware) ihren Dienst tut. Die Firewall ist als exposed Host konfiguriert und hat ihre eigene öffentliche IPv4. Die OPNSense ist meiner Einschätzung nach auch mehr als ausreichend dimensioniert. Hier die Leistungsdaten aus dem selben Zeitraum wie in der obigen Grafik.

chart22.php - Klicke auf das Bild, um es zu vergrößern
chart23.php - Klicke auf das Bild, um es zu vergrößern
chart24.php - Klicke auf das Bild, um es zu vergrößern
chart25.php - Klicke auf das Bild, um es zu vergrößern

Als Switch und L3 Router für das LAN wird ein Cisco SG350 eingesetzt. Den schließe ich als Problem aber aktuell aus, da wir im internen Netz unseren Wirespeed selbstverständlich problemlos erreichen (auch über die VLAN Grenzen) und die ICMP Response Time lokal immer unter 1 ms liegt.

Da es für mich nach einem Problem aussieht, dass hinter unserer lokalen Netzinfrastruktur steckt, haben wir auch schon den Vodafone Support eingeschaltet – dort konnte unser Problem allerdings nicht nachvollzogen werden.

Mir fehlt nun der Ansatz für die weitere Diagnose. Wie würdet ihr vorgehen? Wenn ich das nächste Mal vor Ort bin, werde ich wahrscheinlich ein Notebook direkt an die FRITZ!Box hängen und schauen was passiert, wenn ich einen größeren Upload starte.

Viele Grüße
Daniel
Mitglied: aqui
31.07.2020, aktualisiert um 10:21 Uhr
Die Firewall ist als exposed Host konfiguriert und hat ihre eigene öffentliche IPv4.
Da kann irgendwas an der Aussage nicht wirklich stimmen !
Die FritzBox kann man NICHT mehr als reines Modem betreiben (Die Kabel TV Version schon gar nicht) also folglich kann die Firewall niemals eine öffentliche IP an ihrem WAN Port bekommen.
Das Konzept ist (geraten) eine klassischen Router Kaskade mit doppeltem NAT wie sie hier dargestellt ist:
https://administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-opnsen ...
Allein schon exposed Host widerspricht dem schon, denn das macht man um die NAT Firewall der FritzBox zu überwinden was dann bedeutet das diese zwingend NAT macht.
Zumindest also in der Beziehung scheint deine technische Schilderung falsch bzw. fehlerhaft zu sein !

Leider beschreibst du auch nicht WELCHES Ziel du pingst. Wenn dies eins im Internet ist, dann ist es logisch das die Response Times länger werden, denn du belastest ja den Kabel TV Upload massiv. Sofern in FW oder besonders der FirtzBox keinerlei Priorisierung für ICMP konfiguriert ist werden auch ICMP Frames wie alles andere nach best Efford vorgewardet und da ist es dann logisch das bei erheblicher Last dann Verzögerungen eintreten.
Solange du aber lokale Interfaces pingst wie VLAN IP Interfaces des Switchs, LAN oder WAN Port der Firewall bleibst du ja innerhalb deiner lokalen Ethernet Gigabit Infrastruktur. Dort sollten keine relevanten Delays auftreten solange die CPU Last der beteiligten Geräte unter ca. 30% liegt.
Du solltest zusätzlich wissen das der interne Scheduler bei Router, Firewall oder Switch eine sehr niedrige Priorität hat für ICMP Steuerpakete. Bei entsprechender Gerätelast ist es also auch nicht unbedingt unnormal wenn es dort Delays gibt da Antworten durch die geringere Prio dann verzögert kommen. Switch Router usw. sind aus gutem Grund immer auf Forwarding Performance getrimmt.
Da du aber einen (Internet) Upload ja niemals mit mehr als 50 Mbit/s realisieren kannst (eher drastisch weniger, denn jeder weiss das Kabel TV Router auf der letzten Meile heillos überbucht sind weil sich hier mehrere 1000 User ein shared Medium teilen) sollten solche Lasten niemals auftreten.
Fazit:
Alles kann mehr oder minder normal sein, da man leider nicht weiss WAS du anpingst und ob der Upload in lokaler Infrastruktur oder via Internet passiert ??
Ob ein billiger Consumer Router in einer Kaskade mit doppeltem NAT die richtige Lösung für ein Firmennetz ist solltest du dich zudem auch einmal ernsthaft fragen.
Es wäre sehr viel sinnvoller und aus Performance Sicht erheblich besser ein reines Kabel TV Modem wie z.B. das Technicolor_TC4400-EU zu verwenden an der OPNsense und keinen billigen NAT Plaste Router davor.
Das erspart dir die Hürde und Performancefresser mit dem doppelten NAT.
Bitte warten ..
Mitglied: ChriBo
31.07.2020 um 10:26 Uhr
Hi aqui,
Die fritzBox kann man NICHT als reines Modem mehr betreiben also folglich kann die Firewall niemals eine öffentliche IP an ihrem WAN Port bekommen.
Diese Aussage ist (für Unitimdia Business) falsch. @dwaldmannDE beschreibt das (alte ?) standard Setup von Unitymedia.
Die Fritzbox macht kein NAT, sondern echtes Routing.
Für eine feste IP man bekommt ein /30 subnet, eine der beiden Adressen ist die "LAN seite" der Fritzbox, als Gateway für die dahinter geschaltete kundeneigene Firewall.

CH
Bitte warten ..
Mitglied: ChriBo
31.07.2020 um 10:31 Uhr
Hi,
ich sehe da kein Problem.
du hast mit >= 50 Mbit/s DateiUpload die gebuchte und vorhandene Uploadkapazität erreicht.
da bleibt für das Echo reply kein "Platz" mehr, kommt also mit Verzögerung zurück.
Works as designed.

CH
Bitte warten ..
Mitglied: dwaldmannDE
31.07.2020 um 10:49 Uhr
Hallo aqui,

du hast schon recht, es macht Sinn zu erwähnen was gepingt wird. Die Grafik im ersten Post zeigt die ICMP Response zu dieser OPNSense Firewall vom Server des Hauptstandorts. Vergleichbare Auffälligkeiten beim Monitoring anderer Standorte gibt es nicht. Ich habe den Ping Check an dieser Stelle für die bessere Nachvollziehbarkeit und die einfachere Protokollierung gewählt. Während das Problem auftritt, sind grundsätzliche alle ausgehenden Verbindungen von der hohen Latenz betroffen. Auch SIP und der IPSec Tunnel zum Rechenzentrum (über den wird nur RDP gemacht, da ist also nicht viel los). Es kann kein reines ICMP Problem sein. Das Thema QoS ist bei der Fritz!Box bisher noch nicht angeschaut worden. Das ist ein guter Punkt!

Den Vorschlag ein reines Modem zu verwenden finde ich persönlich sehr sympathisch und würde das auch gerne machen, allerdings verweigert uns Vodafone dann die statische IP-Adresse für diesen Anschluss. Sie verweisen dabei hierauf: https://www.vodafone.de/business/hilfe-support/unitymedia-faq/hardware.h ...

In einer Sache muss ich dir widersprechen: Die OPNSense bekommt definitv eine öffentliche IP Adresse an ihrem WAN-Port (78.xxx.xxx.206). Die Fritz!Box hat die 78.xxx.xxx.205. Nach doppeltem NAT sieht das erstmal nicht aus. Ich weiß aber auch nicht, welche obskuren Firmware Modifkationen von AVM eingebaut worden sind.

Zur Zusammenfassung:

Findet ein größerer Upload ins Internet statt (mit verschiedenen Gegenstellen gestestet) steigt die Latenz für alle ausgehenden Verbindung in den Bereich von +- 1000 ms. Lokale Verbindungen sind nicht betroffen.

Viele Grüße
Bitte warten ..
Mitglied: dwaldmannDE
31.07.2020 um 10:51 Uhr
Hallo CH,

genau darum handelt es sich. Das ist ein alter UnityMedia Business Anschluss mit einem eigenen /30 Netz.

Viele Grüße
Bitte warten ..
Mitglied: NordicMike
31.07.2020, aktualisiert um 11:24 Uhr
Die Grafik im ersten Post zeigt die ICMP Response zu dieser OPNSense Firewall vom Server des Hauptstandorts
Heisst das du bist gar nicht am Hauptstandort?

Trotzdem ist es normal, dass Ping Zeiten steigen, wenn die Leitung dicht ist.
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
Icmp DUP! replies
Frage von fabi186LAN, WAN, Wireless5 Kommentare

Hallo zusammen, ich habe seit kurzem das Problem, dass ein Drucker nicht mehr zuverlässig druckt und oft die Netzwerkverbindung ...

Internet

Tim Berners-Lee will das Internet verändern

Information von FrankInternet4 Kommentare

Einer der Erfinder des Internets, Tim Berners-Lee, hat heute auf der Webseite Inrupt seine Pläne für ein neues und ...

Erkennung und -Abwehr

TrendMicro WFBS - Massiver Anstieg von False-Positive-Scans

gelöst Frage von Looser27Erkennung und -Abwehr4 Kommentare

Guten Morgen allerseits, seit Anfang der Woche konnten wir einen massiven Anstieg von False-Positive Scans vom WFBS nachvollziehen. Kann ...

Firewall

Sophos ICMP im FWLog wird nicht angezeigt

Frage von Leo-leFirewall3 Kommentare

Hallo zusammen, vielleicht kann mir jemand bei meinem Denkfehler helfen Ich bekomme aktuell keine ICMP states im FW-Log der ...

Neue Wissensbeiträge
Monitoring

Unabhängiger Ansatz - IoT (frei von Cloud- oder Appzwang) - Hier mit Schaltsteckdosen

Anleitung von beidermachtvongreyscull vor 2 TagenMonitoring2 Kommentare

Tach Kollegen, ich erzähle Euch mal von meiner Ausgangslage und den/m Problem(chen) Ich benutze ein NAS zur Lagerung meiner ...

Microsoft
Microsoft Advanced Threat Protection for Linux
Information von Dani vor 4 TagenMicrosoft

Microsoft Defender Advanced Threat Protection (MD ATP) support for Linux with kernel version 3.10.0-327 or later, including the following ...

Humor (lol)
! ! Today ist SysAdmin-Day ! !
Information von VGem-e vor 5 TagenHumor (lol)5 Kommentare

Moin, "Happy Birthday" an alle Systemadministratoren, Mausschubser, System-/EDV-Betreuer, SysOps etc!! Siehe auch. Edit (Video hinzugefügt): Gruß VGem-e

Exchange Server
Basic Authentication and Exchange Online
Information von Dani vor 7 TagenExchange Server

Today we are pleased to announce some new changes to Modern Authentication controls in the Microsoft 365 Admin Center, ...

Heiß diskutierte Inhalte
Google Android
Handy gehackt ? - Gegemassnahmen
Frage von hushpuppiesGoogle Android27 Kommentare

Hallo zusammen, folgendes Szenario: Kollegin kommt heute zu mir und erzählt, dass ihre Tochter gestern über WhatsApp von einem ...

Windows Server
Windows-NAS zum sekundären DNS-Server machen?
Frage von DanielG1974Windows Server18 Kommentare

Moin. Wer so ein bissel meine Situation meiner Arbeitsstelle kennt Mein Chef hat immer noch keinen neuen ESXi-Server angeschafft. ...

Hyper-V
Hardware Empfehlung Hyper-V Host
Frage von TraxxTecHyper-V15 Kommentare

Hi, ich habe keine Ahnung was aktuell an Hardware unterwegs ist, deshalb bräuchte ich eine grobe Empfehlung für einen ...

Batch & Shell
Telefonserver remote starten
Frage von imebroBatch & Shell12 Kommentare

Hallo, ich hatte ein ähnliches Problem schon einmal. Damals hatten sich jedoch die Gegebenheiten dann verändert, sodass sich das ...

Weniger Werbung?
Administrator Magazin
07 | 2020 In der Juli-Ausgabe beleuchtet das IT-Administrator Magazin den Themenschwerpunkt "Monitoring & Support". Darin zeigt die Redaktion unter anderem, wie Sie die Leistung von Terminalservern im Blick behalten und welche Neuerungen das Ticketsystem OTRS 8 mitbringt. Auch die Überwachung von USV-Anlagen darf nicht fehlen. In ...