Sporadische Internetausfälle: Firewall?

OliverS

Hallo Rico,

danke für deine Einschätzung zu Bufferbloat - und für den Hinweis auf die Anzahl der States. Wo kann ich diese Größe am besten checken?

• Unter Diagnostic/States oder .../States Summary sehe ich die Liste, allerdings nicht die Anzahl ...
• Dashboard/System Information/State Table Size?
  (aktuell [ungestört] "0% (1799/803000)" - ist 1799 die aktuelle Anzahl der States?)

Viele Grüße
Oliver

Rico

Genau, die Anzahl siehst du am einfachsten direkt auf dem Dashboard. Interessant wäre die Anzahl mal wenn der Internetzugriff abschmiert.
Unter Diagnostics > pfTop kannst du die States live beobachten. Geht auch über die Console/SSH mit pftop bzw. Option 9.

-Rico

OliverS

Danke.

Während der Störung könnte wahrscheinlich auch interessant sein, die State-Table einmal zurückzusetzen.

Leider (...) bin ich nicht immer anwesend, wenn Internet gerade spinnt.

Gibt es eine Möglichkeit, den Verlauf der States nachträglich im System-Log auszulesen?

Oliver

mike69

Unter Status/Monitor kannst Du dir die States anzeigen lassen. mit den 8H Zeitfenster sogar recht genau. wenn es hilft...

Mike

OliverS

Hilft sehr - danke, Mike!

Off-Topic: Am für User arbeitsfreien Samstag bei unbelastetem Netz ein wenig mit Bufferbloat-Codelq-Trafficshaping experimentiert (Einstellungen gemäß https://www.youtube.com/watch?v=iXqExAALzR8 , Messwerteerfassung mit http://www.dslreports.com/speedtest):

Test 1 10:00 Traffic-Shaping AUS: 35 Down, 30 Up, Bufferbloat "A"
Test 2 10:05 Traffic-Shaping AUS: 33 Down, 32 Up, Bufferbloat "D"
Test 3 10:15 Traffic-Shaping AUS: 40 Down, 35 Up, Bufferbloat "B"
Test 4 10:20 Traffic-Shaping EIN: 58 Down, 18, Up, Bufferbloat "D"
Test 5 10:25 Traffic-Shaping AUS: 40 Down, 22 Up, Bufferbloat "A"
Test 6 10:30 Traffic-Shaping EIN: 20 Down, 16 Up, Bufferbloat "D"
Test 7 10:35 Traffic-Shaping AUS: 31 Down, 32 Up, Bufferbloat "F"

Demnach ist zumindest bei uns kein Zusammhang zwischen Traffic-Shaping und Bufferbloat-Rating erkennbar.

Da die ermittelte Bandbreite zu gering erscheint für VDSL 100, habe ich mit https://www.wieistmeineip.de/speedtest nachgetestet:
Test 8 10:40 Traffic-Shaping AUS: 99 Down, 40 Up
Test 9 10:41 Traffic-Shaping AUS: 95 Down, 43 Up

Soviel zur Aussagekraft von Bandbreiten-Messungen ...

Oliver

OliverS

Hallo + Frohes Neues!

Die erste Arbeitswoche in 2020 fängt gut an: An gleich 2 Tagen hintereinander für etwa 10 bis 20 Minuten Internetausfall!

Heute war ich während einer Störung zugegen (die Anwender stürmten gegen 10:45 Uhr mein Büro) und beobachtete folgendes:

• Ping Google + Ladezeiten Webseiten unterirdisch
• Firewall: Die Anzahl der States erhöhte sich
• Firewall: Die Ping-Laufzeit zur Fritzbox erhöhte sich ("Quality GW_WAN")

Grafiken:

(Störungsbeginn etwa 10:40 Uhr)

Als ich gegen 10:55 die Bufferbloat-Trafficshaping-Regel testweise aktivierte, normalisierten sich die Anzahl der States, die GW-WAN-Latenz, der Google-Ping, sowie die Internet-Ladegeschwindigkeit - die Störung war beendet!

Ein erneutes Deaktivieren der Regel hatte dann jedoch keinen Einfluss auf das nun wieder funktionierende Internet, so dass vielleicht ein Zufall vorgelegen haben mag. Ich werde bei der nächsten Störung als erstes diese Regel wieder aktivieren und beobachten.

Die Zunahme der States sowie der Ping-Latenz GW_WAN hatte ich bereits bei einer früheren Störung beobachtet - was kann ich aus dem Kurvenverlauf schlussfolgern?

Viele Grüße
Oliver

JeGr

@OliverS said in Sporadische Internetausfälle: Firewall?:

was kann ich aus dem Kurvenverlauf schlussfolgern?

Wenig. Da fehlt bspw. noch der Traffic Graph zur gleichen Zeit sowie Syslogs. Das gibt dann eher ein Gesamtbild. Ist z.B. zwischen 1041 und 1100 die Bandbreite ausgemaxt gewesen? Wieviele States gab es? Gabs Probleme bei den mbuf Werten in der Zeit etc. etc. Nur Delay/Packet Loss und States anzusehen ist da nicht so wirklich aussagekräftig.

OliverS

Hallo JeGr,

danke! Da liefere ich doch gerne noch ein paar Angaben nach:

Trafic LAN (Peak 10:35 Uhr: outpass 33,5 Mbit/s, inpass 605 kBit/s, inblock 0, outblock 0)

Traffic WAN (Peak 10:35 Uhr: inpass 33,5 Mbit/s, outpass 605 kBit/s, inblock 1,1 Bit/s, outblock 0)

Vor oder zu Beginn der Störung gegen 10:40 fand offenbar noch ein Download statt. Während der Störung zeigte auch die Fritzbox nur flache Peaks im niedrigen Auslastungsbereich, das bekannte Muster ...

Die States noch einmal im Detail (kompletter Graph siehe meine Vorpost)

MBUF-Clusters (Kurve verläuft im Untersuchungszeitraum linear)

MBUF-Usage (Dashboard) im einstelligen Prozentbereich.

System-Log:
/Gerneral: Hier ist nur meine Anmeldung an der Firewall sowie die zweimalige Änderung der Filterregel gelistet.
/Gateway: Kein Eintrag im Untersuchungszeitraum

Auffällig sind demnach nur der Anstieg der States sowie der RTT-Zeit im Störungszeitraum.

Weitere Vorschläge zur Fehleranalyse?

Oliver

JeGr

So eine Momentaufnahme ist schwer zu sagen. Sowas lässt sich tatsächlich eher/einfacher live debuggen wenns auftritt weil man dann eher was messen kann. Aber das käme mir jetzt eher nach Leitungsproblem/Provider vor. ~7k States sind nun nicht soo viel auch wenns einen Peak gab der aber auch dadurch zu Stande kommen kann, dass wegen Problemen auf der Leitung die Verbindungen abgerissen sind und mehrfach neu aufgebaut werden müssen. Oder man müsste sich die States zu dem Zeitpunkt ansehen, ob die alle zum gleichen/ähnlichen Ziel gehen oder Querbeet. Ob da ggf. intern eine Kiste durchdreht und Verbindungen aufreißt. Ist alles irgendwie zu vage.

Micky008

This post is deleted!

OliverS

Hallo JeGr,

gerne würde ich eine ausführliche Live-Analyse durchführen, doch dafür lässt mir die Störungsdauer leider keine Zeit, oder ich bin nicht zugegen.

Leitungsprobleme, hmm ... Folgender Test während der Störung:

• Laptop an Fritzbox-Gastnetz => Laptop kein Internet
• Laptop an Fritzbox-Gastnetz + Firewall AUS => Laptop Internet!

Danke für deine Einschätzung zu den States.

Wie beurteilst du die hohe RTT-Latenz von 100 ms zum Nachbar-Hop, der Fritzbox?

Oliver

Bob.Dig

@OliverS Ich hatte ebenfalls Probleme nach sporadischen Störungen meiner Leitung. Mir wurde geraten und ich meine auch, dass es geholfen hat, unter SystemRoutingGateways das Default gateway nicht mehr automatisch zuzuweisen, sondern fest zu definieren. Versuch es einfach mal.
GL

OliverS

@Bob-Dig:
Danke für den Tipp, der Default Gateway für IPv4 war jedoch bereits fest eingetragen.

Oliver

Rico

Noch immer nicht getestet einfach mal die Fritzbox zu ersetzen?
Dann sind die Schmerzen noch nicht groß genug.

-Rico

OliverS

Anlässlich unsere Störung gegen 11:00 Uhr heute einige schöne Grafiken:

Quality (Ping-Laufzeit zur Fritzbox)

States

Leider konnte ich mir die States nicht live anschauen ...

Weniger spektakulär: Traffic LAN

Die Quality war dermaßen mies, dass die pFSense sie vorsichtshalber ins Log schrieb, z.B.: "GW_WAN 192.168.70.1: Alarm latency 523165us stddev 576477us loss 0%"

Auch wenn es mir widerstrebt, ohne eindeutige Fehlerisolierung ein Geräte-Upgrade vorzunehmen: Die Fritzbox steht ganz oben auf der Tausch-Liste. Rico wird mir sicherlich zustimmen.

Oliver

athurdent

Eventuell kann man ja sehen, ob die FB die maximale Anzahl States ausgereizt hat. Eigentlich sollte ein Linux Host dann etwas in der Art loggen:
nf_conntrack: table full, dropping packets
Dies müsste man dann mit ein wenig Glück auch im kurz nach dem Problem gezogenen Support File der FB finden. Leider kommt man ja nicht mehr an die Shell der FB's ran, sonst wäre es eventuell einfacher, das Maximum rauszufinden.

OliverS

Danke für diesen Hinweis, athurdent!

Gerade einmal eine der 3 Support-Dateien, die zur Analyse an AVM gingen, nach derlei Begriffen gescannt.

Hmm, ich finde zumindest DAS hier:

LAN
Link encap:Ethernet HWaddr BA:DB:AD:C0:FF:EE
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:2547799 errors:0 dropped:2462280 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:139902179 (133.4 MiB) TX bytes:0 (0.0 B)

Habe jedoch keine Ahnung, auf welchen Zeitraum sich diese Angabe bezieht und ob sie tatsächlich störungsrelevant ist.

Außerdem haben die AVM-Jungs die Dateien gecheckt und für in Ordnung befunden ...

Oliver

OliverS

Update:

Nach 1,5 störungsfreien Jahren mit einem Lancom R883+ vor der pfSense habe ich am Sonntag wieder einmal eine Fritzbox (die neue 7590 AX, wegen WiFi 6) in Betrieb genommen - in der Hoffnung, dass sich die damaligen Probleme infolge neuer Hardware und Patch-Stände mittlerweile aufgelöst haben (FEHLANZEIGE!).

VDSL ----- Lancom Fritzbox ----- pfSense ----- LAN

Der Montagmorgen (etwa 20 User waren aktiv) verlief unauffällig, aber mittags die bekannten Symptome:

• Webseiten laden sehr verzögert
• Teamviewer rotes Ausrufezeichen
• 50 % Zeitüberschreitungen bei ping 8.8.8.8

Kurze Analyse:

• FritzBox alles grün, DSL seht. Auslastungskurven Upload und Download niedrig.
• Dashboard der pfSense (V. 2.5.1): CPU + RAM im unteren Bereich.
• Allerdings im pfSense-Log: "rc.gateway_alarm 40403 Gateway alarm: GW_WAN (Addr:192.168.70.1 Alarm:1 RTT:508.178ms RTTsd:135.852ms Loss:14%)" (192.168.70.1. ist die Fritzbox)

Reload Filter brachte keine Besserung.

Da die User warteten, habe ich schnell den Lancom wieder in Betrieb genommen - die Probleme waren sofort weg!

Weiß einer, was hier mit Fritzbox und pfSense schief läuft?

Viele Grüße

Oliver

slu

@olivers
wir haben auch eine FritzBox 6890 LTE als Backup, das läuft, warum denn auch nicht.

Hast Du ein tcpdump gemacht als das Problem aufgetreten ist?
Das wäre sehr interessant und mein erster Ansatz das Problem einzugrenzen.

OliverS

@slu
Danke für den Tipp. Nein, mit packet-sniffing kenne ich mich leider nicht wirklich aus. Viel Zeit zum Analysieren gibts aber auch nicht, denn die nervigen User wollen arbeiten.

Und am Wochenende ist es mir trotz diverser Last-Tests bisher nicht gelungen, das Phänomen zu reproduzieren, so dass sich der Fehler eingrenzen ließe.

Oliver