boombasti
Goto Top

Wieviel Paketverlust im Internet ist normal

Hallo liebes Forum,

wir haben eine Sicherheitsfirma, die über das Internet unsere Alarmanlage überwacht.
Diese meldet nun seit einiger Zeit, dass "die Verbindung" öfter unterbrochen ist.

Ich pinge nun von Zuhause aus alle 5 Sekunden unsere IP Adresse an, mit dem Ergebnis, dass alle 8-10x ein Paket flöten geht.
Nachts ist es etwas besser, da gehen mal 20 Pakete ohne Probleme durch.
Bevor ich nun an die Firma herantrete und mir die Logs zeigen lassen, wollte ich fragen, wieviel Verlust im Normalen Bereich ist.
Ich arbeite relativ viel mit VPN und RDP und hatte noch nie große Probleme mit der Verbindung. Ab und an bricht die Verbindung mal ab, das ist aber selten.

Wir haben einen Telekom Business Anschluss mit fester IP
Dahinter ist in Lancom R800+

Ich bin für jeden Tipp dankbar.

Gruß Bastian

Content-ID: 312953

Url: https://administrator.de/contentid/312953

Ausgedruckt am: 13.11.2024 um 22:11 Uhr

SeaStorm
Lösung SeaStorm 18.08.2016 um 09:49:31 Uhr
Goto Top
Normal ist <1%

nimm mal ein tool wie z.B PingPlotter und schau dir verschiedene Ziele an. Da siehst du dann in etwa, wo auf der Strecke dein Paketverlust auftritt.
Ich habe immer wieder das Problem, das beim peering von der Telekom in Richtung google massiver Paketverlust aufritt. (immer. wieder. aufs. neue. Ein Schelm, wer böses dabei denkt...) Da hilft dann nur ein Anruf bei der Technik deines ISPs.

Aber erst mal prüfen wo der Verlust stattfindet. Ist evtl. ja nur ein Problem deines Routers/Modems.

Wenn der Verlust auf einer Strecke auftritt, auf einer anderen nicht, dann liegts idR irgendwo auf der Strecke an der Technik der ISPs.
Wenn es immer so ist, dann kann es zwar auch ein ISP Problem sein, aber durchaus auch an deiner Technik im Haus.
aqui
aqui 18.08.2016 aktualisiert um 10:56:40 Uhr
Goto Top
Oha....
http://www.heise.de/ct/ausgabe/2016-14-Sicherheitsleck-in-vernetzten-Al ...
Ich pinge nun von Zuhause aus alle 5 Sekunden unsere IP Adresse an
Hoffentlich NICHT die der Alarmanlage...?!
dass alle 8-10x ein Paket flöten geht.
Das darf niemals sein ! Die Rate ist erheblich zu hoch zumal Standard ICMP Pakete sehr klein sind und immer durchkommen sollten auch auf sehr langsamen Leitungen.
Die Tatsache das du vermutlich die öffentliche IP des Routers anpingst (richtig ?) und hoffentlich nicht die der Alarmanlage ist aber schon übel.
ICMP sollte dort zur Sicherheit immer deaktiviert sein. So stößt man ja Angreifer und Skript Kiddies auch noch darauf das da aktive Technik zum Hacken hinter ist beim Ping Scan.
Man kann auch nur inständig hoffen das die Alarmanlage nicht direkt exponiert ist im Internet sondern hoffentlich durch ein VPN geschützt ist. Mit dem Lancom ja ein leichtes...
Wenn diese Firma sie direkt exponiert ist das grob fahrlässig und sollte eine sofortiger Vertrags Kündigungsgrund sein, mindestens aber eine Abmahnung.
Alles andere wäre im Hinblick auf den o.a. ct' Artikel fahrlässiger und tödlicher Leichtsinn !!
Abgesehen von all diesen Fragen ist so ein extrem hoher Ping Verlust aber de facto nicht normal. An einem popeligen privaten DSL Anschluss mit billigstem Speedport Müll dran hat man vielleicht mal einen Ping Verlust auf 800 Pakete...eher 8000 wenns hochkommt.
BoomBasti
BoomBasti 18.08.2016 um 10:58:23 Uhr
Goto Top
Hallo SeaStorm,

sieht so aus, als wären Hop 7 und Hop 8 die Schuldigen.
Werde es mal weiter beobachten und dann meinen ISP kontaktieren.
pingplotter
BoomBasti
BoomBasti 18.08.2016 um 11:07:54 Uhr
Goto Top
Hallo Aqui,

danke für Deine ausführliche Anwort. Und für den Link!
Den Artikel der ct werde ich mir in Ruhe ansehen.
Ich pinge meine öffentliche IP an. Zu diessem Zweck, habe ich den Router so konfiguriert, dass er den Ping nicht blockiert. Sonst wird das natürlich geblockt.
Letzt endlich, habe ich eine Firewall Regel, dass nur Pakete mit der IP der Firma auf die IP der Alarmanlage weitergeleitet werden.
Alle anderen Pakete werden gedropt.

Danke und Gruß
aqui
Lösung aqui 18.08.2016 aktualisiert um 11:15:18 Uhr
Goto Top
Letzt endlich, habe ich eine Firewall Regel, dass nur Pakete mit der IP der Firma auf die IP der Alarmanlage weitergeleitet werden.
Und wie kommt dann eine Fremdfirma deren IP du nicht kennst remote auf die Anlage ?
Oder meinst du mit "nur Pakete mit der IP der Firma" dann deren öffentliche IP Adresse. Wäre etwas unüblich wenn die diese herausgeben. Oder wenn sie dynamisch ist und permanent wechselt.
So oder so ist es generell keine gute Idee eine Anlage per simplen Port Forwarding zu exponieren. Wird dann nicht HTTPS erzwungen oder die Überwachung per SSH / SSL gemacht sind die Daten auch noch vollkommen ungeschützt.
OK, ist nicht das eigentliche Thema hier und eine andere Baustelle...
Es bleibt dabei das der Ping Verlust erheblich zu hoch ist...warum auch immer ?! Diese Unzuverlässigkeit der Leitung hat ja auch eine gewisse Auswirkung auf die Alarmanlage.
Was nützt die wenn der Dienstleister nicht alarmiert werden kann...
LordGurke
LordGurke 18.08.2016 um 11:38:57 Uhr
Goto Top
Zitat von @aqui:
Das darf niemals sein ! Die Rate ist erheblich zu hoch zumal Standard ICMP Pakete sehr klein sind und immer durchkommen sollten auch auf sehr langsamen Leitungen.
Die Tatsache das du vermutlich die öffentliche IP des Routers anpingst (richtig ?) und hoffentlich nicht die der Alarmanlage ist aber schon übel.
ICMP sollte dort zur Sicherheit immer deaktiviert sein. So stößt man ja Angreifer und Skript Kiddies auch noch darauf das da aktive Technik zum Hacken hinter ist beim Ping Scan.
Und wenn das deaktiviert ist - wie testet er dann den Packetloss? face-wink
SeaStorm
SeaStorm 18.08.2016 um 12:01:31 Uhr
Goto Top
Hi

das ist die Route von dir daheim zu deiner Geschäfts-IP ?

Wie sieht es aus, wenn du vom Geschäft aus diverse andere IPs anpingst? Tritt das dann auch auf und auch bei telia?

Das KD und Telia kein sonderlich gutes Verhältnis haben ist nichts neues. Störungen zwischen den 2 sind ein ständiges Übel. Aber das würde nur deine Verbindung daheim ins Geschäft betreffen. Deinen Alarmanlagenbetreiber nur dann, wenn sie auch über Telia/KD kommen.

Deshalb müsste man jetzt mal wissen, wie die Strecke vom Geschäft zum Dienstleister aussieht und ob die Probleme auch bei anderen Strecken/Zielen so aussieht
aqui
aqui 18.08.2016 um 12:53:27 Uhr
Goto Top
Und wenn das deaktiviert ist - wie testet er dann den Packetloss?
Da hast du zweifelsohne Recht. Dichtmachen muss man da hinterher.
Obwohl das wieder zur grundsätzlichen Diskussion führt ob ICMP blocken sinnig ist oder nicht.
Hatten wir ja kürzlich... face-smile