Erhöhte Antwortzeiten Richtung FritzBox nach x Minuten



  • Hallo zusammen,

    ich habe ein aktuell für mich unlösbares Problem. Zum Aufbau:

    PFsense in der aktuellsten Version läuft auf einem VMWare Host (die VM hat 24GB RAM, 2 CPUs mit jeweils 4 Kernen) mit 2 Netzwerkkarten (em0 und em1)
    An em0/WAN hängt eine FritzBox 6430 mit 150Mbit DL und 20Mbit UL. Auf der Fritzbox ist kein DHCP aktiviert und alleiniger Client ist das PFsense auf der VM.
    An em1/LAN hängen bis zu 400 Kabel/WLAN gebundene Clients.

    In PFSense ist nicht viel konfiguriert, nur das mindeste --> WAN-Seite mit fester IP und LAN-Seite mit einem DHCP der die Bereiche XX.XX.0.1 - XX.XX.9.254 abdeckt.

    Wenn ich nun PFsense hochfahre bekommen die Clients brave ihre Adressen und können surfen, nach einer Zeit habe ich jedoch dann folgendes Problem:
    Bei einem Dauerping auf die FritzBox und einem Dauerping auf google erhöhen sich die Antwortzeiten schlagartig... (Direkt physikalisch mit einem Netzwerkkabel an der Fritzbox)
    Dies hat zur Folge das ein surfen nicht mehr möglich ist. Die Antwortzeiten >2000ms im Screenshot zeigen dies deutlich.

    Wenn ich die PFsense herunterfahre erholt sich der Ping auf die Fritzbox wieder... und liegt wie gewohnt bei ca 1ms.

    "Irgendetwas" flutet scheinbar die FritzBox das diese nicht mehr antworten kann und somit auch das web dicht macht.
    Die CPU und RAM-Auslastung der Fritzbox bleibt bei diesem Phänomen jedoch im normalen Bereich.

    Hat jemand eine Lösung?
    2019-05-29_15-24-14.jpg

    Ich habe noch folgenden Post gefunden, der mein Problem in ähnlicher Form beschreibt, nur das ich kein MultiWAN mache: https://forum.netgate.com/topic/141722/solved-massive-latenzen-und-packteloss-mit-telekom-vdsl-anschluss

    Hilft mir nur nicht weiter, die PFSense VM hat aktuell 24GB RAM + CPU-Kerne: 4 Sockets: 2 Kern pro Socket: 2 (Intel(R) Xeon(R) CPU X5560 @ 2.80GHz) Ich kann mir nicht vorstellen das dies nicht ausreicht um ca. 200-400 Clients zu bedienen.


  • LAYER 8 Rebel Alliance

    Schon mal mit der Fritz im Bridge Modus probiert, was passiert dann?
    Wieviel States siehst du denn zu dem Zeitpunkt wenn dann alles abkackt? Habe keine Erfahrung mit der 6430, aber das Ding ist ja als Heimrouter gedacht und nicht für 400 Clients, ich könnte mir vorstellen da laufen die States dann recht schnell voll bei der Box.

    -Rico



  • Hi Rico,

    danke, ich werde die FB nun mal in den Bridged Modus versetzen und schauen wie es sich dann verhält.
    Wie muss ich den WAN-Port im PFSense denn dann konfigurieren wenn die FB im Bridged-Modus läuft.
    Aktuell ist der WAN Port mit einer statischen IP-Adresse aus dem Adressbereich der FB konfiguriert.


  • LAYER 8 Rebel Alliance

    Kommt auf den Provider an, teilweise reicht es einfach pfSense WAN auf DHCP zu stellen, du bekommst da dann deine externe IP drauf.

    -Rico



  • @Rico said in Erhöhte Antwortzeiten Richtung FritzBox nach x Minuten:

    Rico

    Hallo Rico,

    nachdem ich ein Modem von UM erhalten habe und den WAN-Port mit den IPs meines ISPs versorgt habt läuft es wie es laufen soll...
    Perfekt...

    Nun habe ich noch zwei Sachen:

    • Aus dem LAN soll das Modem was am WAN hängt nicht erreichbar sein.
    • Wie gehe ich mit der Erreichbarkeit von PFsense aus dem LAN um, aktuell ist auch PFSense aus dem WAN erreichbar, das sollte man auch besser verhindern, oder?

  • LAYER 8 Rebel Alliance

    Wieso ist deine pfSense aus dem WAN erreichbar? Das sollte auf gar keinen Fall so sein und entspricht auch nicht der Standardeinstellung, damit das möglich ist hast du selbst eine entsprechende Firewall Regel angelegt. Die solltest du sofort wieder löschen.
    Um ordentliche Vorschläge zu deinen LAN Fragen geben zu können, müsste man den genauen Aufbau kennen. Generell sollte auch aus dem LAN heraus alle Konfigurationsmöglichkeiten der pfSense (WebGUI, SSH, ...) gesperrt sein, jedenfalls in den Netzen in denen sich die normalen Clients und evtl. Server tummeln.
    Bei uns nutzen wir dafür ein gesondertes Management Netz, da kommt außer dem 3rd Level IT Support keiner dran. In diesem Netz gibt es auch nichts mit Windows oder direkten Internetzugang. :-)

    -Rico



  • Sorry, PfSense ist natürlich nicht aus dem WAN erreichbar sondern nur aus dem LAN.


  • LAYER 8 Moderator

    @Prof-Hase said in Erhöhte Antwortzeiten Richtung FritzBox nach x Minuten:

    Sorry, PfSense ist natürlich nicht aus dem WAN erreichbar sondern nur aus dem LAN.

    Die Sense ist nur erreichbar aus Netzen/Bereichen, wenn Regeln es zulassen. Auf dem WAN per default somit nicht, aus dem LAN wegen anti-lockout Regel schon. Wenn das nicht gewünscht ist, die Regel abschalten und vorher! eine Regel definieren, die den Zugriff von einer/spezifischen IPs aus erlaubt. Noch besser: drittes Interface für Management, dort das interne "lan" mit der Lockout Regel drauflegen und das eigentliche LAN als opt1 einfach als LAN konfigurieren, aus dem internen "lan" IF dann einfach "MGMT" machen. So sichert man das im Normalfall im Enterprise Einsatz ab. Wie du das handhaben möchtest obliegt dir :)

    Aus dem LAN soll das Modem was am WAN hängt nicht erreichbar sein.

    Das Modem wird somit wohl ein Hybrid sein, das am LAN für Notfälle eine IP im privaten Bereich hat? Einfach diese IP blockieren per Regel auf dem LAN - oder von gleichen Alias/IPs aus erlauben wie die Firewall selbst.

    Generell liegt es am Admin, wie er sein(e) LAN(s) einschätzt und welches Gefahrenpotential besteht, die UI von LAN Seite erreichbar zu lassen - schließlich muss man sich immer noch anmelden.

    Grüße


Log in to reply