Doch nicht Portproblem bei ICQ oder iChat

GeeEmm · Beitrag von **GeeEmm** » 31 Okt 2007, 19:50

Hey,
ich hab seit längerem ein Problem mit ICQ und iChat. Immer wenn ich online gehe wird die Verbindung zu ICQ oder iChat kurz getrennt und die Programme müssen sich neu verbinden. Bei MSN ist dies nicht der Fall. Ich dachte, dass es an den Ports liegt. Deshalb hab ich sie unter "IP-Router"->"Maskierung"->"Port-Forwarding-Tabelle" freigegeben. Dennoch wird die Verbindung alle paar Minuten getrennt. An was könnte das liegen?
Bitte helft mir

Vielen Dank
GeeEmm

Jirka · Beitrag von **Jirka** » 01 Nov 2007, 12:18

Hallo GeeEmm,

etwas mehr müßtest Du schon schreiben, um die Sache zu analysieren.
Was für eine ICQ-Version verwendest Du?
Was für eine MSN-Version meinst Du?
Erfolgt die Trennung nur, wenn die Programme nicht genutzt werden, oder kommt es auch zu der Trennung trotz Chat-Betrieb?
Auf wieviel Sekunden steht die TCP-Aging-Zeit im IP-Router? (Und geht ca. nach dieser Zeit das Programm offline?)
Altern die Verbindungen in der Verbindungsliste raus, kannst Du das beobachten?

Bei mir existiert das Problem, dass bei einigen Leuten mit dem "Windows Messenger" (der zu Win XP gehört) genau dieses Problem auftritt - nach der TCP-Aging-Zeit fliegen die einfach raus, weil es innerhalb dieser Zeitspanne keinen Traffic gab. Dieses Problem existiert komischerweise erst seit einem Jahr, vorher ging es. Aber es funktioniert nachvollziehbar nicht mit allen Versionen von 4.7 bis 5.1, habe es auf 3 Rechnern mit allen Versionen ausprobiert. Ich bin der Meinung der MSN-Server spricht die Messenger-Clients einfach nicht mehr alle 50 Sekunden an, ob sie noch "da sind", wie es früher der Fall war. So baut der LANCOM die Verbindung dann ab. Da hilft wohl nur die TCP-Aging-Zeit hoch zu schrauben, damit verlängert man dann die Zeit.

Mit dem "Windows Live Messenger" gibt es keine Probleme, da erfolgt alle 50 Sekunden ein "keep-alive". Ich müßte mal nachschauen, ob vom MSN-Server oder vom Programm initiiert.

Bei ICQ gibt es keine Probleme. Ich nutze Miranda, da gibt es auch alle ca. 60 Sekunden ein "keep-alive". Wie es mit den original ICQ-Clients aussieht kann ich nicht sagen, die Werbung installiere ich mir hier nicht, ggf. mal in den Einstellungen schauen, ich glaube bei Miranda kann man da auch einstellen.

Ich werde es die Tage noch mal ausführlicher schreiben, hab jetzt aber erst mal keine Zeit dafür.

Viele Grüße,
Jirka

GeeEmm · Beitrag von **GeeEmm** » 01 Nov 2007, 13:20

Also ich fang lieber nochmals neu an

Um Ports freizugeben, beispielsweise für Comupterspiele, muss ich ja die Ports unter "IP-Router"->"Maskierung"->"Port-Forwarding-Tabelle" freigeben und dort die Intranet Adresse des Computers, für den sie gedacht sind, angeben. Das hab ich nun schon oft gemacht und es hat auch immer alles prima funktioniert.
Seit ich die Lancom Router habe, hab ich aber das Problem, dass, wenn ich mich in ICQ anmelde, ICQ sich alle paar Minuten neu verbindet. Die Version ist dabei egal, es ist seit ungefähr 2 Jahren bei jeder ICQ Version so. Bis jetzt war mir das ja egal, weil ich MSN bevorzuge und nie ICQ brauche. Jetzt benötige ich aber iChat. iChat braucht anscheinend den selben Port wie ICQ, nämlich TCP/UDP 5190. Wenn ich diesen nun aber freigebe, trennt sich iChat wie ICQ noch immer. Deshalb hab ich mal alle Port, ca. 10, für iChat freigegeben. Die Verbindung wird aber dennoch getrennt. An was könnte das liegen? Muss ich unter "Firewall"->"Regeln" noch etwas einstellen?
TCP-Aging ist auf 90 sec, UDP-Aging auf 20 sec eingestellt. ICQ bzw. iChat wird immer so nach ca. 1-3 Min getrennt.
Weiß jemand von euch weiter? Das ICQ Problem müsste doch gekannt sein, oder? Ich kenn mehrere Leute, die dieses mit einem Routerwechsel bekommen haben.
Bitte helft mir!
Danke GeeEmm

Jirka · Beitrag von **Jirka** » 01 Nov 2007, 15:14

Hallo GeeEmm,

was nutzt Du denn nun bei MSN? Windows Messenger, MSN Messenger oder Windows Live Messenger? Also bei Windows Messenger hast Du unter Garantie das gleiche Problem - da bin ich mir 100 % sicher. Bei MSN Messenger weiß ich es nicht (hab ich nie ausgetestet, ist mir zu viel Werbung), bei Windows Live Messenger geht alles bestens (hab ich sogar mal installiert, die Werbung und den ganzen Blödsinn kann man abschalten).

Aber zurück zum Problem. Warum steht das TCP-Aging bei Dir auf 90 Sekunden? Gibt es da einen Grund für? Der Default-Wert beträgt 300 Sekunden. Je höher Du hier den Wert einstellst, je länger verbleibt ein Eintrag auch ohne Traffic in der Verbindungsliste (NAT-Tabelle). Also bei mir steht der Wert mittlerweile bei 2.000 Sekunden - das reicht aber auch nicht, denn wenn während dieser 2.000 Sekunden (~ 33 Min.) nicht ein Byte fließt, d. h. von den Kontakten niemand seinen Status ändert und auch der eigene Status sich nicht ändert, dann ist der Windows Messenger irgendwann offline und das blöde Programm kriegt es selber noch nicht mal mit - das merkt es erst, wenn man den Status ändert bzw. mit jemandem Kontakt aufnehmen möchte.

Für dieses Problem gibt es auch einen KnowledgeBase-Eintrag: http://www2.lancom.de/kb.nsf/b8f10fe566 ... enDocument
Hier wird empfohlen die TCP-Aging-Zeit auf 1.000 Sekunden zu setzen. Dazu kann ich nur sagen, dass das Grundproblem z. B. beim Windows Messenger damit natürlich auch nicht gelöst ist. Nur ist die Wahrscheinlichkeit einfach höher, dass in den 1.000 Sekunden ein Ereignis Traffic verursacht hat. Das Problem liegt hier klar auf der Seite des Windows Messengers - ich vermute inzwischen gar, dass serverseitig mit Erscheinen von Windows Live Messenger da irgendwas geändert wurde mit der beschriebenen Folge. Ich kenne zwar nicht iChat, aber unterm Strich sollte es da eine Einstellmöglichkeit geben, die genau dieses Problem umgeht.

Setze also erst mal den TCP-Aging-Wert hoch, es sei denn es gab einen Grund dafür, dass Du den runter gesetzt hast.
Für normales ICQ-Chatten benötigt man übrigens kein Portforwarding.

Welche Firmware hast Du eigentlich installiert?

Viele Grüße,
Jirka

GeeEmm · Beitrag von **GeeEmm** » 01 Nov 2007, 15:48

Hey,
danke für deine Antwort. Bei mir gibt es eigentlich keinen Grund dafür, dass das Aging so weit runtergesetzt ist. Ich hab da nie was verstellt, war schon immer so eingestellt. Habs jetzt mal auf 1000 sec hochgestellt, mal sehen, ob es jetzt besser ist.
Du hast Recht, ich hab den Windows Live Messenger, davor hatte ich MSN Messenger. Windows Messenger hab ich noch nie hergenommen...
Dann benötige ich also genauso wenig wie für MSN bei iChat oder ICQ eine Portfreigabe? Dann liegt das Problem nur darin, dass bei Lancom Routern die Aging Zeit eingestellt werden kann und diese bei mir so gering ist? Andere Router haben ja so viel ich weiß nicht dieses Problem...
Ich hab immer die neuste Firmware installiert, also 7.22. Das Problem ist jedoch schon die letzten Jahre so, also firewareunabhänig...
Noch eine Frage: Sind die Standardeinstellungen der Firewall sicher? Hab das einen "WINS" Eintrag in beiden Routern eingetragen... Oder wäre ein "All-Deny" Eintrag sinnvoller?

backslash · Beitrag von **backslash** » 02 Nov 2007, 15:31

Hi GeeEmm

Noch eine Frage: Sind die Standardeinstellungen der Firewall sicher? Hab das einen "WINS" Eintrag in beiden Routern eingetragen... Oder wäre ein "All-Deny" Eintrag sinnvoller?

Wenn du so fragst, sind sie natürlich nicht "sicher", denn sie läßt in der Defaulteinstellung alles durch... "Sicher" bist du nur mit einer Deny-All Strategie und expliziter Freigabe der gewünschten Ports.

Der WINS-Eintrag dient i.Ü. nicht dazu, irgendwelchen NetBIOS-Traffic zu blocken. Er unterbindet nur die Unart von Windows, NetBIOS-Namen über DNS auflösen zu wollen, was unnötigen Traffic generiert (der DNS-Server des Providers wird die Namen wohl kaum kennen...) - und dadurch bei zeitbasierter Abrechnung des Internetzugangs unnötige Kosten provoziert.

Gruß
Backslash

GeeEmm · Beitrag von **GeeEmm** » 02 Nov 2007, 16:13

Hey backslash,

vielen Dank für deine Antwort. Jetzt hab ich aber ein Angriff auf dich vor... Auch wenn es wahrscheinlich schon huntert mal gefragt wurde... Ich bin ein völliger Anfänger im Erstellen von neuen Firewallregeln...
Ich hab 2 Router, einen 1511er und einen L54g... die beiden sind mit nem Kabel verbunden. Der 1511er hängt am DSL, Clienten vom L54g loggen sich über diesen am 1511er an und bekommen Internet...
Wie stell ich es jetzt am besten an, eine "All-Deny" Regel auf beiden einzutragen? Soll ich die "Wins" dann lassen? Welche weitere Regel ist nötig, um erlaubte Ports zu öffnen? Muss ich dann jeden Port angeben? Also z.B. auch MSN, für das ich ja jetzt keinen Port angeben muss? Funktioniert dann die Datenverbindung zwischen den beiden Routern noch? Welche Standardports muss ich wie zulassen, damit alle PCs noch ins Internet kommen und untereinander Daten austauschen können? Gibt es noch Windowsports, die man öffnen muss, oder z.B. welche für Softwarefirewalls für die Updates?
Das sind eine Menge Fragen auf einmal und ich entschuldige mich jetzt schon dafür

Wäre super, wenn du(ihr) mir helfen könntet. Bei mir soll es nämlich in Sachen PC so sicher bleiben wir nur irgendwie möglich
Vielen Dank
GeeEmm

backslash · Beitrag von **backslash** » 02 Nov 2007, 16:53

Hi GeeEmm

Wie stell ich es jetzt am besten an, eine "All-Deny" Regel auf beiden einzutragen?

die Firewall sollte an der Gefähdungsquelle sitzen - sprich am DSL. Daher reicht es erstmal aus, die Deny-All und alle anderen Regel im 1511er einzutragen

Code: Alles auswählen

Name:    Deny-All
Aktion:  zurückweisen
Quelle:  alle Stationen
Ziel:    alle Stationen
Dienste: alle Dienste

Soll ich die "Wins" dann lassen?

Ja, da du für den Internetzugang auch DNS freischalten mußt, benötigst du eine Regel, die die unnötigen DNS-Auflösungsversuche für NetBIOS-Namen unterbindet. Achte darauf, daß die WINS-Regel immer oben steht.

Welche weitere Regel ist nötig, um erlaubte Ports zu öffnen? Muss ich dann jeden Port angeben? Also z.B. auch MSN, für das ich ja jetzt keinen Port angeben muss?

Ja du mußt für jeden erlaubten Port eine Regel erstellen - insbesondere auch wenn du Portforwardings z.B. für MSN eingetragen hast. Bei jeder Regel mußt du immer beachten in welcher Richtung die TCP-Verbindungen aufgebaut werden und Quelle und Ziel entsprchend wählen. Im allgemeinen gilt für Verbindungen ins Internet daß als Quelle "alle Stationen im lokalen Netz" und als Ziel "alle Stationen" eingetragen wird. Für Portforwardings sieht die Regel natürlich "umgekehrt" aus, d.h. als Quelle wird "alle Stationen" und als Ziel die IP-Adresse des PCs an die der Port weitergeleitet wird.

Wichtig ist bei allen Regeln (außer der WINS-Regel), daß die anzugebenden Ports immer nur als Ziel-Ports angegeben werden.

Funktioniert dann die Datenverbindung zwischen den beiden Routern noch?

solange die Regeln nur im Gateway (also dem 1511) stehen ist der Traffic zwischen den Geräten uneingeschränkt möglich.

Standardports muss ich wie zulassen, damit alle PCs noch ins Internet kommen und untereinander Daten austauschen können?

nun ja, als erstes eine Regel, die den Usern DNS-Auflösungen über das LANCOM erlaubt:

Code: Alles auswählen

Name:    Allow-DNS
Aktion:  übertragen
Quelle:  alle Stationen im lokalen Netz
Ziel:    IP-Adresse des LANCOMs
Dienste: Namensauflösungen (DNS)

Dann eine Regel für normale Internet-Dienste:

Code: Alles auswählen

Name:    Allow-Internet
Aktion:  übertragen
Quelle:  alle Stationen im lokalen Netz
Ziel:    alle Stationen
Dienste: World Wide Web (HTTP, HTTPS)
         Mail und News(SMTP, POP3, NNTP)
         Datei-Übertragungen (FTP)

Der Traffic zwischen PCs im eigenen Netz bleibt davon völlig unberührt, weil dieser nicht über das LANCOM läuft.

Gibt es noch Windowsports, die man öffnen muss, oder z.B. welche für Softwarefirewalls für die Updates?

Gerade "Windowsports" solltem immer gesperrt werden - zumindest in Richtung Internet...

Gerade zum Thema Firewalleinstellungen gibt es auch gute Bücher

Gruß
Backslash

GeeEmm · Beitrag von **GeeEmm** » 03 Nov 2007, 09:39

Hi backslash,

vielen Dank für deine Unterstützung! Es funktioniert alles perfekt. Noch ne kleine Frage: Ist es besser die TCP und UDP Ports von einem Programm, z.B. von MSN, in 2 Regeln einzutragen, also eine MSN-TCP und eine MSN-UDP Regel, oder reicht es, eine Regel mit UDP und TCP Ports zu öffnen?
Hab die Priorität von "Wins" auf 1 gestellt, der Rest ist auf 0.

Vielen Dank
GeeEmm

PS: Kennt ihr den Port 3800 namens pwgpsi, ein Print Services Interface? Soll ich den freigeben?

backslash · Beitrag von **backslash** » 03 Nov 2007, 20:37

Hi GeeEmm

Ist es besser die TCP und UDP Ports von einem Programm, z.B. von MSN, in 2 Regeln einzutragen, also eine MSN-TCP und eine MSN-UDP Regel, oder reicht es, eine Regel mit UDP und TCP Ports zu öffnen?

das ist letztendlich egal, weil das LANCOM aus den Regeln intern für jedes Protokoll eigene Filter generiert. Es werden in deimem Fall also immer zwei Filter generiert (einer für UDP und einer für TCP) unabhängig davon, wie du es konfigurierst. Die internen Filter kannst du dir im Telnet unter /status/ip-router/filter anschauen oder über show filter auflisten lassen

Gruß
Backslash