Verbindung - Internet und PC wird vom Router unterbrochen

[SupahFly]

Hallo zusammen,

Ich habe ein Problem mit den Einstellungen meines Routers,

Code: Alles auswählen

Mein System : 
3 WIN 2000 PCs die über einen Switch mit dem Router ins Internet gehen. 
Firmware : 3.52.0012 

Ich bin n bißchen verzweifelt, denn der Router trennt mehrmals am Tag die Verbindung zwischen dem Internet und den einzelnen PC´s. Zuerst habe ich geglaubt die Telekom sei schuld, aber laut dem LanMonitor ist die Verbindung gar nicht getrennt worden denn die Verbindungszeit war nach der Trennung nicht auf Null gesetzt, das geht nun schon fast n halbes Jahr so. (ist irgendwann aufgetaucht, weiß schon gar nicht mehr wann)

Ganz am Anfang, war es so, dass alle Programme von dieser Trennung betroffen waren.
Wenn ich HLSW glauben kann dauert diese Trennung etwa 40 Sek. (das ist die Zeit, bei der er mit bei jedem GameServer in der übersicht ein Timeout anzeigt)

Vor 3 Monaten bin ich das Problem das erstemal angegangen, und habe ein wenig im Forum gestöbert, daraufhin habe ich TCP- UDP und ICMP-Aging auf 600 erhöht.

Nach der Änderung der Werte bleibt IRC und ICQ zu 90% funktionsfähig während der 40 sek. Trennung, aber andere Programme überleben die Trennung nicht. (z.b. Teamspeak, Diablo, CS; Warcraft…….)

Jemand eine Idee woran es liegen könnte? Da es alle 3 PCs betrifft und mein Rechener auch schon eine Neuinstallation hinter sich hat, denke ich der Fehler liegt im Router.

Code: Alles auswählen

> show bootlog 
Boot log (166 Bytes): 
**** 

1/1/1900 0:00:01 System boot after power on 

DEVICE: LANCOM DSL/I-10 Office 
HW-RELEASE: A 
VERSION: 3.52.0012 / 21.09.2004 

Vielen Dank

[Carli]

Hallo SupahFly,

ich kann Dir in der Hinsicht zwar leider nicht weiterhelfen, aber vielleicht etwas beruhigen, da ich exakt das gleiche Problem mit meinem DSL/I-10+ habe.

Die Symptome sind immer die gleichen, die Verbindung scheint kurzzeitig unterbrochen/gestört zu sein. Z.B. werde ich bei meinen ICQ-Kontakten ein paar Minuten nach meiner Anmeldung plötzlich als Offline angezeigt obwohl ich noch vollständig online bin. Mein ICQ bekommt es nicht mit und ich lebe in der Illusion noch erreichbar zu sein.
Die Ursache dafür ist definitiv der LANCOM-Router. Wenn ich meinen alten DSL-Router wieder an dessen Stelle setze tritt diese "Erscheinung" nicht auf.

Die Verbindung zum Provider wird auch nicht getrennt (im LANmonitor Verbindungszeit: 4Tage und 6 Stunden), es scheint nur irgendetwas verloren zu gehen.

Ich habe mit einem Kollegen mal getestet. Wir haben per Skype mit einander telefoniert, dann habe ich mein ICQ geöffnet und er hat mir gesagt, wann ich nicht mehr als online geführt werde. Das ließ sich immer wieder reproduzieren - das Ulkige an der Sache ist aber, dass das Skype-Gespräch zu keinem Zeitpunkt unterbrochen war, obwohl es von den selben Rechnern aus geführt wurde.

Ich habe auch schon an allen möglichen Einstellung gedreht - ohne nennenswerten Erfolg.

Ich hoffe mal, dass dieses Problem mit der nächsten Firmware behoben und kein Problem mit der Hardware ist.

Code: Alles auswählen

> show bootlog
Boot log (160 Bytes):

****

1/1/1900 0:00:01     System boot after power on

DEVICE:           LANCOM DSL/I-10+
HW-RELEASE:       A
VERSION:          4.02.0003 / 14.12.2004

Gruß
C.

[backslash]

Hi

wenn ich das richtig verstehe, bricht die Verbindung bei SupahFly immer dann ab, wenn er Gameserver sucht und bei radtke während der Benutzung von Skype.

Das ist garantiert kein Hardwareproblem, aber auch keins das jemals über ein Firmwareupdate behoben werden kann. Das LANCOM kann "nur" 2048 IP-Verbindungen in der Maskierungstabelle aufnehmen (was i.Ü. deutlich mehr ist als bei den meisten anderen Router). Das Problem bei Gameserver-Abfragen ist, daß gleichzeitig (zig-) tausende von Anfragen rausgehen und somit die Maskierungstabelle extrem schnell überläuft. Das gleiche gilt auch für Skype.

@SupahFly

Vor 3 Monaten bin ich das Problem das erstemal angegangen, und habe ein wenig im Forum gestöbert, daraufhin habe ich TCP- UDP und ICMP-Aging auf 600 erhöht.

Hilfe! das ist absolut tödlich. Gerade Gameserveranfragen gehen über UDP. UDP arbeitet verbindungslos, wodurch das Ende der Übertragung nicht erkannt werden kann. Daher können die Maskierungseinträge somit nur über den Timeout wieder entfernt werden. Wenn du nun das UDP-Aging auf 600 Sekunden erhöhst, dann ist direkt nach der ersten Gameserver-Anfrage (genauer: nachdem dabei der 2048te Server angefragt wird) dein Internetzugang für 10 Minuten blockiert.

Die Default-Einstellungen (TCP 300, UDP 20 und ICMP 10 Sekunden) sorgen dafür, daß der Betrieb selbst bei Gameserver-Anfragen spätestens 20 Sekunden nach der letzen Anfrage normal weiterläuft.

Ein TCP-Aging von 5 Minuten oder auch länger ist hingegen unkritisch, da das Ende einer TCP-Verbindung automatisch erkannt werden kann und das Aging nur dafür sorgt, daß Zombie-Verbindungen, die nicht korrekt beendet wurden, irgendwann wieder entfernt werden.

@radtke

Die Symptome sind immer die gleichen, die Verbindung scheint kurzzeitig unterbrochen/gestört zu sein. Z.B. werde ich bei meinen ICQ-Kontakten ein paar Minuten nach meiner Anmeldung plötzlich als Offline angezeigt obwohl ich noch vollständig online bin. Mein ICQ bekommt es nicht mit und ich lebe in der Illusion noch erreichbar zu sein.

Stelle das TCP-Aging auf 5 Minuten ein und aktiviere im ICQ die Keep-Alive-Funktion.

Ich habe mit einem Kollegen mal getestet. Wir haben per Skype mit einander telefoniert, dann habe ich mein ICQ geöffnet und er hat mir gesagt, wann ich nicht mehr als online geführt werde. Das ließ sich immer wieder reproduzieren - das Ulkige an der Sache ist aber, dass das Skype-Gespräch zu keinem Zeitpunkt unterbrochen war, obwohl es von den selben Rechnern aus geführt wurde

Das ist das gleiche Problem wie bei den Gameservern. Skype öffnet auch tausende Verbindungen, was die Maskierungs-Tabelle überlaufen läßt. Solange die Tabelle voll ist, können keine weiteren Anfragen bearbeitet werden. Wenn möglich solltest Du versuchen Skype dazu zu bringen die Anzahl der verwendeten Verbindungen zu reduzieren - oder vernünftige VOIP-Software verwenden, die mit SIP arbeitet (allein schon deshalb, weil Skype dich dazu zwingt, in der Firewall alles zu erlauben um es nutzen zu können...)

Gruß
Backslash

[COMCARGRU]

(allein schon deshalb, weil Skype dich dazu zwingt, in der Firewall alles zu erlauben um es nutzen zu können...)

Ist das wirklich so? Siehe mein Post wegen der Quell und Zielports. Damit Skype funktioniert reicht es aus, für einen einzigen Quellport alle Zielports zu erlauben. Das ist zwar auch schon sehr unschön, aber wenigstens noch überschaubar...

Gruß
COMCARGRU

[Carli]

Hallo backslash,

erstmal Danke für den Einblick in die Netzwerkinterna. Deine Ausführungen klingen plausibel, nur was macht mein "Billigrouter" anders, dass mit ihm die Probleme nicht auftreten???

Die von Dir genannten Einstellungen (TCP-Aging auf 5 Min und keep-alive an) hatte ich genau so - bringt also keinen Erfolg.
Gibt es noch andere Einstellungen (z.B. die Sitzungswiederherstellung der Firewall?) die Abhilfe oder zumindest Besserung bringen könnte, denn ich werde kaum alle meine Bekannten von Skype abbringen können?!

Danke für Deine Unterstützung.

Viele Grüße
C.

[COMCARGRU]

Laufen bei dir noch andere "gefrässige" Tools zeitgleich? Also Tauschbörsen Software oder ähnliches?

Was andere "Billigrouter" anders machen? - So spontan: Die arbeiten nicht so sauber und können nicht mal ein Bruchteil dessen, was Lancom ermöglicht.

Dann sind Billigrouter natürlich gerade für so ein Umfeld (Privatanwender) gebaut worden. Lancoms sind primär für Business Anwender gedacht. Da verwendet man kein Skype oder P2P... - Das kann dann schonmal zu Problemen führen...

Mit meinem Skype klappt aber alles...


Gruß
COMCARGRU

[COMCARGRU]

@Backslash

Wie groß ist eigentlich die Maskierungstabelle bei der 8011???

Gruß
COMCARGRU

[Carli]

Hallo COMCARGRU,

außer Skype und gelegentlich einem Browser läuft nichts, was irgendwelche Netzlast erzeugt.

Was andere "Billigrouter" anders machen? - So spontan: Die arbeiten nicht so sauber und können nicht mal ein Bruchteil dessen, was Lancom ermöglicht.

Dann sind Billigrouter natürlich gerade für so ein Umfeld (Privatanwender) gebaut worden. Lancoms sind primär für Business Anwender gedacht. Da verwendet man kein Skype oder P2P... - Das kann dann schonmal zu Problemen führen...

Dass Billigrouter vom Funktionsumfang her Welten von dem Lancom-Gerät entfernt sind, dessen bin ich mir bewusst, aber mit Deiner Begründung kann ich nicht leben. Zumal Begriffe wie "sauber" oder "unsauber" sehr unsachlich und in der deterministischen Routerwelt völlig deplaziert wirken.

Und gerade Businesslösungen sollten ALLEN Ansprüchen genügen, gerade weil sie besser als ihre Stellvertreter aus dem Low-Budget-Segment sind.

Gruß
C.

[COMCARGRU]

Dass Billigrouter vom Funktionsumfang her Welten von dem Lancom-Gerät entfernt sind, dessen bin ich mir bewusst, aber mit Deiner Begründung kann ich nicht leben. Zumal Begriffe wie "sauber" oder "unsauber" sehr unsachlich und in der deterministischen Routerwelt völlig deplaziert wirken.

Und gerade Businesslösungen sollten ALLEN Ansprüchen genügen, gerade weil sie besser als ihre Stellvertreter aus dem Low-Budget-Segment sind.

Genau sowas haben wir hier schonmal diskutiert und festgestellt, daß eben weil es Profi Router sind, gewissen Kiddi Software zum Teil Probleme hat. Das liegt dann meistens an Einstellungen der TCP/IP Parameter, oder im DoS IDS Bereich.


Unter Sauber verstehe ich z.B., daß man mit einem Lancom eine echte DMZ aufbauen kann, bei den Billig Routern heist es nur DMZ ist aber ein Exposed Host!!! - Mit enstprechenden Konsequenzen...

Gruß
COMCARGRU

[Carli]

Hallo zusammen,

ich weiß, ich habe diese Frage schon an anderer Stelle gestellt, aber leider wollte/konnte mir noch niemand antworten oder sie wurde nicht gesehen.

Kann man die Maskierungstabelle irgendwo einsehen?

Danke und Gruß
C.

[backslash]

Hi Carli,

sie ist unter /Setup/IP-Router/1-N-NAT/Table-1-N-NAT zu finden

Gruß
Backslash

[Carli]

Hi Backslash,

Danke. Das hat mich eine ganze Ecke weiter gebracht. Ich bin schon mal über die Tabelle gefallen, als ich mit Verbindungsproblemen zu kämpfen hatte, bin aber wegen der geringen Anzahl an Einträgen wieder von abgekommen.
Ich entschuldige mich hiermit für alle negativen Gedanken und Zweifel hinsichtlich der ausreichenden Dimensionierung mit 2000 Einträgen. Ich weiß nun, dass meine aktuell existierenden Probleme absolut garnichts mit dem Volllaufen der Mappingtabelle zu tun haben - man muss sich richtig anstrengen um die 2000 Einträge voll zu bekommen.
Eine Frage habe ich aber noch. Kann man sich Details zu den halboffenen Verbindungen anzeigen lassen (am besten in derart wie die Verbindungsliste)? Daran liegen nämlich meine aktuellen Verbindungsprobleme.

Danke nochmal und viele Grüße
C.

[backslash]

Hi Carli

Kann man sich Details zu den halboffenen Verbindungen anzeigen lassen (am besten in derart wie die Verbindungsliste)?

du kannst dir unter /Status/IP-Router/HO-Conn.-List anschauen, wie viele halboffene Verbindungen für jede Ziel-IP existieren. Die Anzahl ist auf die im DOS- bzw. IDS-Bereich abgelegten Schwellen begrenzt - zumindest, wenn du "verwerfen" oder "zurückweisen" als DOS- oder IDS-Aktion eingestellt hat

Genaueres, also von welche Quell-IP die Verbindungen aufgebaut wurden, kannst du dort aber nicht einsehen. Dazu müßtest du schon die Verbindungsliste zerplücken. Halboffene Verbindungen sind alle die, die in den Flags nicht das "Open"-Bit (0x00000008) gesetzt haben (siehe Referenzhandbuch Seite 290)

Daran liegen nämlich meine aktuellen Verbindungsprobleme.

Woran machst du das fest?

Gruß
Backslash

[Carli]

Hi Backslash,

danke für die Hinweise auf die Listen. Die mit den halboffenen hat mich darauf gebracht, dass darin meine Probleme begründet liegen und in der Verbindungstabelle konnte ich diese Verbindungen nicht wiederfinden (weshalb ich gefragt hatte, wie man die halboffenen untersuchen kann).

Da ich bei mir hinter dem Lancom einen Webserver betreibe und meine Bandbreite nicht komplett durch Downloads zumachen lassen möchte, verbreite ich alle Downloads, die ich anbiete, per Torrents. Ich habe dafür einen PHP-Tracker laufen und auch ein uTorrent-Client, welcher die Downloads seeded. Durch die steigende Anzahl an verbundenen Clients ergibt sich mittlerweile folgendes Szenarium, welches ich noch nicht ganz verstehe:

Zu Stoßzeiten steigt die Anzahl in der HO-Übersicht durch die eingehenden Verbindungen auf irrsinnige Werte (>1000). Interessant ist auch, dass in der HO-Liste auch meine 2. externe IP autaucht (die das uTorrent laut RoutingTag-Regel gar nicht tangieren dürfte) auftaucht, dort die Zahl ebenfalls (leicht) ansteigt und immer mal wieder eine Intruder-Nachricht für das falsche Interface im LanMon angezeigt wird. Diese halboffenen Verbindungen finde ich aber alle in der Verbindungsliste nicht wieder.

Im Moment experimentiere ich mit den Einstellungen am uTorrent und am Lancom, um diese hunderten halboffenen Verbindungen in vermutlich gerade mal zig echte Verbindungen zu überführen.

Viele Grüße
C.


EDIT: Beim Schreiben des obigen Textes wurde mir mein Denkfehler bewusst, konnte es aber jetzt erst verifizieren. Hab also schon mal einen Teilerfolg. Die unzähligen halboffenen Verbindungen rühren daher, dass im uTorrent ein Verbindungslimit festgesetzt werden kann und wenn dieses erreicht wird, werden keine neuen "echten" Verbindungen aufgebaut und die halboffenen steigen (ab einem bestimmten Punkt kappt mir QSC sogar die Verbindung und gibt mir nach der Wiedereinwahl sogar mal eine neue IP - krasses Regelwerk).
Mein Fehler: Da ich ja der Meinung war, dass die Netzprobleme von der Mappingtabelle herrührten, habe ich im uTorrent die Verbindungsanzahl herabgesetzt, und damit mein Problem nur verstärkt. Ich habe jetzt also im Prog die Verbindungen heraufgesetzt und siehe da, die halboffenen Verbindungen zum Server sind Geschichte. Lediglich die Hand voll halboffenen Verbindungen zur 2. externen IP sind noch da (zusammen mit den Intruder-Mails).

Manchmal muss man einfach nur drüber reden.

[Carli]

Hallo zusammen,

ich nutze mal nicht die Editierfunktion, damit die Ergänzung auffällt.

Ich hatte über die Weihnachtsfeiertage mal wieder etwas Zeit mich mit meinem Routingproblem zu befassen. Dass es wie im obigen EDIT-Teil zum Rückgang der halboffenen Verbindungen kam, hatte weniger mit den Einstellungen als mit der zeitgleichen Änderung der Routing-Tags zu tun. Ich nämlich die 0 von der SDSL-Leitung auf die ADSL-Leitung umgehangen (also vertauscht).

Kann es sein, dass das Routing von UDP-Paketen über die Tag-Zuordnung nicht immer/richtig funktioniert? Wenn der Torrent-Server über Route 1 rausgehen soll (letzte Regel in der FW "gesamter Traffic aller Rechner" über Routing Tag 1) hab ich nur Probleme, da die Antwortpakete scheinbar auf der anderen IP (mit Tag 0) ankommen bzw. zumindest die halboffenen Verbindungen dann bis ins Unermässliche ansteigen?!
Hätte ich nur den Server wäre das dauerhafte Zuordnen der ADSL-Leitung auf Tag 0 eine Lösung, aber dann zickt mein VOIP-ATA, der will nämlich auch nur ordentlich arbeiten, wenn er die 0 bekommt. (Aber telefonieren und Torrents gleichzeitig über dieselbe Leitung macht bei der Masse an Clients und UDP wirklich keinen Spaß - auch mit QoS nicht.)
Ich habe schon versucht eingehende Regeln mit Tag 1 festzulegen, aber das hat nichts gebracht. Also für jeden weiteren Denkanstoß wäre ich dankbar.

Viele Grüße
C.

EDIT: Nachdem ich mich schrittweise über einzelne IPs herangetastet habe, folgende Erkenntnis. Es funktioniert scheinbar, wenn die letzte Regel nicht für alle Verbindungen von allen Stationen, sondern nur für alle Verbindungen von allen internen Stationen angelegt wird. (Macht eigentlich auch nur so Sinn, wenn man mal drüber nachdenkt. Es hat halt noch zu viel sauber funktioniert um direkt skeptisch zu werden. )