Mysteriöse Disconnects mit aktivem Captive Portal



  • Servus,

    ich hab ein sehr merkwürdiges und HOCHNERVIGES Problem mit, ich nenn's mal, "Disconnects", die im Stuwo-System auftreten. Alle 5-10 Min reißt die Verbindung zum Internet ab und ich bekomm nicht heraus, woran es liegt.

    Das komische daran ist, dass sich dabei die externe IP beim Provider nicht ändert und
    dass während so einem "Disconnect" Google pingbar bleibt, alles andere aber versagt.

    Das Problem hab ich erst seitdem ich mein Modem (mit PPPoE-Passthrough) durch die Fritzbox austauschen musste.

    Ich hoff ihr könnt mir bei meinem Problem weiterhelfen.

    Viele Grüße und danke schon mal im Voraus,
    OttNorml

    P.S.:
    So hab ich das System zur Zeit konfiguriert.

    
          WAN / Internet
                :
                : PPPoE-Provider
                :
          .-----+-----.
          |   Router  |  (FritzBox 3270)
          '-----+-----' 192.168.1.31
                |
                | WAN (NAT)
                |
          .-----+-----. 192.168.1.30
          |  pfSense  |  (Version 2.1 mit Captive Portal)
          '-----+-----' 192.168.0.30
                |
            LAN | 192.168.0.1/24
                |
          .-----+------.
          | LAN-Switch |
          '-----+------'
                |
        ...-----+------... (Clients)
    
    

  • Moderator

    Nicht ohne irgendwelche Informationen. Etwas genaueres Fehlerbild wäre schön, wie das WAN angeschlossen ist und woran bzw. welchem Provider, etc. Also ein wenig Grundkonfiguration außer einfach dem Netzbild und "Verbindungsabriß".

    • Steht zu der Zeit was im Log?
    • Wenn ja/nein was (davor)?
    • Was heißt Google ist pingbar? DNS? IP?
    • Geht irgendetwas anderes? Per Name (DNS)? Per IP?
    • Wie sind Regeln, NAT, o.ä. konfiguriert?

    Ansonsten ist es ohne Glaskugel ziemlich schwer eine Aussage zu treffen.

    Grüße



  • Danke JeGr für die schnelle Antwort und Entschuldigung für meine späte Antwort.

    Hier das vervollständigte jetztige Netzbild:

    
                     Internet (M-Net)
                     :
                     : PPP
                     :
               .-----+-----.
               | DSL-Router| NAT
               '-----+-----'
    192.168.1.31/24  |
                     |
    192.168.1.30/24  |
            WAN .----+----.
                | pfSense | 1:1-NAT
            LAN '----+----'
    192.168.0.30/24  |
                     |
                .----+----.     LAN     .---------.
                | Switch  +-------------+  Switch |
                '----+----'             '----+----'
    192.168.0.69/24  |                       |  192.168.0.68/24
                     |                       |
             ...-----+-----...       ...-----+-----...
                        (Clients/Servers)
                         192.168.0.1/24
    
    

    Mein Provider ist M-Net.
    Der DSL-Router ist eine Fritzbox 3270 v3, die sich mit den Zugangsdaten beim DSLAM einwählt und die Pakete direkt per NAT über das WAN an pfSense weitergibt (kein Switch oÄ zwischengeschaltet).
    Pfsense macht 1:1-NAT, damit die Fritzbox erreichbar ist.
    Es läuft Captive Portal mit normalem User-Login und " www.google.de" gewhitelistet.
    Danach kommen 2 L2-Managed-Switch von TP-Link (TL-SG3424), die aber kein Management machen.

    Alle 5-10 Min hab ich eine Unterbrechung meiner Internetverbindung von ungefähr 10 Sek.

    Ich finde im Log leider keine Eintragungen, die das Erklären könnten.
    Die Unterbrechungen und die Einträge passen nicht zusammen, da
    erstens, zu wenig im Log steht und
    zweitens, wenn da etwas steht, die Zeiten überhaupt nicht übereinstimmen.

    Ich habe Google per DNS-Ping gepingt.
    Hab aber inzwischen herausgefunden, dass ICMP nicht von den Unterbrechungen betroffen ist,
    sondern nur TCP und UDP.
    TCP hab ich per http-pinging getestet und erhalte bei einer Unterbrechung eine Antowrtzeit von 10 Sek,
    was Skypen und Zocken unmöglich macht.

    Pfsense macht 1:1-NAT zwischen LAN und WAN mit Virtueller IP.

    Interface External IP  Internal IP     Destination IP
    WAN  192.168.1.31 192.168.0.31    *

    Virtual IP address  Interface  Type
    192.168.1.31/32  WAN        proxy arp

    Ich hoffe, ich könnte ein paar mehr hilfreiche Informationen liefern.

    VG
    OttNorml

    P.S.:
    Hier das Bild zum Vergleich von damals ohne Probleme:

    
               Internet (M-Net)
                     :
                     : PPP
                     :
               .-----+-----.
               | DSL-Modem |
               '-----+-----'
                     |
                     |  PPPoE
                     |
            WAN .----+----.
                | pfSense | NAT
            LAN '----+----'
    192.168.0.30/24  |
                     |
                .----+----.             .---------.
                | Switch  +-------------+  Switch |
                '----+----'             '----+----'
    192.168.0.69/24  |                       |
                     |                       |
             ...-----+-----...       ...-----+-----...
                        (Clients/Servers)
                         192.168.0.1/24
    
    

  • Moderator

    Ahoi,

    1:1 NAT brauchst du nicht, um an die FritzBox heranzukommen. Ich denke dort vorne könnte - wenn ich mir so deine ganzen IP Ranges anschaue - vielleicht auch dein Problem liegen. Ich musste auch dank Kabelanschluß zu Hause eine FritzBox vor die pfS stellen (lassen) und da Bridging keine Möglichkeit ist, das ganze per zweifache NAT lösen. Das läuft aber problemlos:

    • Fritzbox:
        - WAN Seite ist hier natürlich Kabel, wäre bei dir dann DSL
        - LAN konfiguriert auf: DHCP von 100-200, WLAN mit WPA2 für Gäste (die nichts im LAN zu suchen haben), IP 192.168.178.1/24 (Fritzbox Standard).
        - Netzwerk Weiterleitung konfiguriert auf 192.168.178.2 (allen Traffic von außen weiterleiten auf die IP der pfS)
        - Ggf. wenn nötig externe Erreichbarkeit der WebUI auf anderen Port konfigurieren (8443, 453 o.ä.), dann kann von außen auf die FB zugegriffen werden, sobald ein User dafür angelegt wurde (im neusten FritzOS)
        - Evtl. DynDNS einrichten, da die pfS dahinter sonst evtl. Probleme hat (weil sie die externe Adresse nicht ohne weiteres sieht).

    • pfSense:
        - WAN Seite auf 192.168.178.2, Default GW 192.168.178.1 (FB). Kein Blocken von Privaten Netzen, nur Bogus Check angehakt
        - LAN Seite beliebig
        - Advanced outbound NAT angelegt mit LAN/24 -> WAN .2 Adressmapping (ich mag es die Regeln zu sehen, deshalb auf Advanced geschaltet)
        - Firewallregel: Auf LAN erlaube Verbindung zu 192.168.178.1 auf WAN. Damit kann man problemlos die Fritzbox per IP erreichen.
        - DNS Forwarder: wenn du den nutzt, kannst du hier bspw. das Alias fritz.box anlegen und auf 192.168.178.1 konfigurieren. Damit ist dann auch das Standard fritz.box DNS Alias mit am Start.

    Ich denke man kann dann besser prüfen, wo noch Probleme sind, wenn du die seltsamen 1:1 Mappings und die .1.x Netze vorne rausgeworfen hast und nur noch ein normales Transfernetz zwischen FB und pfS hast :)

    Grüße