WAN Problem: ungewöhnlicher Anstieg der ICMP Response Time während eines Uploads
Guten Morgen,
ich habe hier ein, für mich kurioses, Problem. Es geht um folgendes:
Sobald ein größerer Upload gestartet wird (>= 5 GB) steigt die ICMP Response Time für Verbindungen von und ins Internet extrem an. Ich habe das ganze heute Morgen einmal protokolliert:
Der Standort ist per Vodafone Cable Business 500/50 angebunden und befindet sich in Baden-Württemberg. Von Vodafone wird eine Fritz!Box 5691 gestellt, hinter der eine OPNSense Firewall (x86 Hardware) ihren Dienst tut. Die Firewall ist als exposed Host konfiguriert und hat ihre eigene öffentliche IPv4. Die OPNSense ist meiner Einschätzung nach auch mehr als ausreichend dimensioniert. Hier die Leistungsdaten aus dem selben Zeitraum wie in der obigen Grafik.
Als Switch und L3 Router für das LAN wird ein Cisco SG350 eingesetzt. Den schließe ich als Problem aber aktuell aus, da wir im internen Netz unseren Wirespeed selbstverständlich problemlos erreichen (auch über die VLAN Grenzen) und die ICMP Response Time lokal immer unter 1 ms liegt.
Da es für mich nach einem Problem aussieht, dass hinter unserer lokalen Netzinfrastruktur steckt, haben wir auch schon den Vodafone Support eingeschaltet – dort konnte unser Problem allerdings nicht nachvollzogen werden.
Mir fehlt nun der Ansatz für die weitere Diagnose. Wie würdet ihr vorgehen? Wenn ich das nächste Mal vor Ort bin, werde ich wahrscheinlich ein Notebook direkt an die FRITZ!Box hängen und schauen was passiert, wenn ich einen größeren Upload starte.
Viele Grüße
Daniel
ich habe hier ein, für mich kurioses, Problem. Es geht um folgendes:
Sobald ein größerer Upload gestartet wird (>= 5 GB) steigt die ICMP Response Time für Verbindungen von und ins Internet extrem an. Ich habe das ganze heute Morgen einmal protokolliert:
Der Standort ist per Vodafone Cable Business 500/50 angebunden und befindet sich in Baden-Württemberg. Von Vodafone wird eine Fritz!Box 5691 gestellt, hinter der eine OPNSense Firewall (x86 Hardware) ihren Dienst tut. Die Firewall ist als exposed Host konfiguriert und hat ihre eigene öffentliche IPv4. Die OPNSense ist meiner Einschätzung nach auch mehr als ausreichend dimensioniert. Hier die Leistungsdaten aus dem selben Zeitraum wie in der obigen Grafik.
Als Switch und L3 Router für das LAN wird ein Cisco SG350 eingesetzt. Den schließe ich als Problem aber aktuell aus, da wir im internen Netz unseren Wirespeed selbstverständlich problemlos erreichen (auch über die VLAN Grenzen) und die ICMP Response Time lokal immer unter 1 ms liegt.
Da es für mich nach einem Problem aussieht, dass hinter unserer lokalen Netzinfrastruktur steckt, haben wir auch schon den Vodafone Support eingeschaltet – dort konnte unser Problem allerdings nicht nachvollzogen werden.
Mir fehlt nun der Ansatz für die weitere Diagnose. Wie würdet ihr vorgehen? Wenn ich das nächste Mal vor Ort bin, werde ich wahrscheinlich ein Notebook direkt an die FRITZ!Box hängen und schauen was passiert, wenn ich einen größeren Upload starte.
Viele Grüße
Daniel
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 592411
Url: https://administrator.de/contentid/592411
Ausgedruckt am: 22.11.2024 um 04:11 Uhr
6 Kommentare
Neuester Kommentar
Die Firewall ist als exposed Host konfiguriert und hat ihre eigene öffentliche IPv4.
Da kann irgendwas an der Aussage nicht wirklich stimmen !Die FritzBox kann man NICHT mehr als reines Modem betreiben (Die Kabel TV Version schon gar nicht) also folglich kann die Firewall niemals eine öffentliche IP an ihrem WAN Port bekommen.
Das Konzept ist (geraten) eine klassischen Router Kaskade mit doppeltem NAT wie sie hier dargestellt ist:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Allein schon exposed Host widerspricht dem schon, denn das macht man um die NAT Firewall der FritzBox zu überwinden was dann bedeutet das diese zwingend NAT macht.
Zumindest also in der Beziehung scheint deine technische Schilderung falsch bzw. fehlerhaft zu sein !
Leider beschreibst du auch nicht WELCHES Ziel du pingst. Wenn dies eins im Internet ist, dann ist es logisch das die Response Times länger werden, denn du belastest ja den Kabel TV Upload massiv. Sofern in FW oder besonders der FirtzBox keinerlei Priorisierung für ICMP konfiguriert ist werden auch ICMP Frames wie alles andere nach best Efford vorgewardet und da ist es dann logisch das bei erheblicher Last dann Verzögerungen eintreten.
Solange du aber lokale Interfaces pingst wie VLAN IP Interfaces des Switchs, LAN oder WAN Port der Firewall bleibst du ja innerhalb deiner lokalen Ethernet Gigabit Infrastruktur. Dort sollten keine relevanten Delays auftreten solange die CPU Last der beteiligten Geräte unter ca. 30% liegt.
Du solltest zusätzlich wissen das der interne Scheduler bei Router, Firewall oder Switch eine sehr niedrige Priorität hat für ICMP Steuerpakete. Bei entsprechender Gerätelast ist es also auch nicht unbedingt unnormal wenn es dort Delays gibt da Antworten durch die geringere Prio dann verzögert kommen. Switch Router usw. sind aus gutem Grund immer auf Forwarding Performance getrimmt.
Da du aber einen (Internet) Upload ja niemals mit mehr als 50 Mbit/s realisieren kannst (eher drastisch weniger, denn jeder weiss das Kabel TV Router auf der letzten Meile heillos überbucht sind weil sich hier mehrere 1000 User ein shared Medium teilen) sollten solche Lasten niemals auftreten.
Fazit:
Alles kann mehr oder minder normal sein, da man leider nicht weiss WAS du anpingst und ob der Upload in lokaler Infrastruktur oder via Internet passiert ??
Ob ein billiger Consumer Router in einer Kaskade mit doppeltem NAT die richtige Lösung für ein Firmennetz ist solltest du dich zudem auch einmal ernsthaft fragen.
Es wäre sehr viel sinnvoller und aus Performance Sicht erheblich besser ein reines Kabel TV Modem wie z.B. das Technicolor_TC4400-EU zu verwenden an der OPNsense und keinen billigen NAT Plaste Router davor.
Das erspart dir die Hürde und Performancefresser mit dem doppelten NAT.
Hi aqui,
Die Fritzbox macht kein NAT, sondern echtes Routing.
Für eine feste IP man bekommt ein /30 subnet, eine der beiden Adressen ist die "LAN seite" der Fritzbox, als Gateway für die dahinter geschaltete kundeneigene Firewall.
CH
Die fritzBox kann man NICHT als reines Modem mehr betreiben also folglich kann die Firewall niemals eine öffentliche IP an ihrem WAN Port bekommen.
Diese Aussage ist (für Unitimdia Business) falsch. @dwaldmannDE beschreibt das (alte ?) standard Setup von Unitymedia.Die Fritzbox macht kein NAT, sondern echtes Routing.
Für eine feste IP man bekommt ein /30 subnet, eine der beiden Adressen ist die "LAN seite" der Fritzbox, als Gateway für die dahinter geschaltete kundeneigene Firewall.
CH