WAN Verbindung schlecht, VPN Verbindung gut - warum?



  • Hy!
    Ich hab 2 Lans. Diese haben als Gateway (beide gehen über dasselbe Modem):

    -Opt1 : Openvpnclient
    -Opt2: Kabelmodem

    Seit einigen Wochen ist das Internet über Opt2 schwer gestört, über Opt1 geht es wunderbar. Netalyzr zeigt über die Opt 1 Verbindung alles grün, über Opt 2 hab ich 10 Sekunden Verzögerung und geblockte Ports (woher?):
    http://netalyzr.icsi.berkeley.edu/restore/id=43ca253f-26065-0413a5d4-883d-4b99-bb03

    Die Config für den OpenVpn Client hab ich so (Nating, kein Routing):
    https://forum.pfsense.org/index.php?topic=76015.0

    Opt2 ist genau gleich eingestellt, ausser dass der Gateway eben nicht das vpn-interface ist, sondern das Kabelmodem unter 192.168.0.1 (das Kabelmodem macht Nat, also wie beim vpn double-nat)

    Am Op2 schaut ein Traceroute so aus:

    
    traceroute 131.130.1.11 
    traceroute to 131.130.1.11 (131.130.1.11), 64 hops max
      1   *  *  * 
      2   *  *  * 
      3   *  *  * 
      4   *  XX.XXX.228.149  10.307ms  9.328ms 
      5   213.46.173.6  82.204ms  41.421ms  8.728ms 
      6   193.203.0.1  10.108ms  9.262ms  12.751ms 
      7   193.171.23.97  24.448ms  8.671ms  11.018ms 
      8   193.171.14.50  22.600ms  9.092ms  9.686ms
    *
    ...
    
    

    Am Opt1 so

    
    traceroute 131.130.1.11
    traceroute to 131.130.1.11 (131.130.1.11), 64 hops max
      1   10.10.0.1  118.051ms  102.599ms  119.699ms 
      2   XXX.XXX.1.13  120.894ms  103.020ms  106.500ms 
      3   XXX.XXX.53.41  102.734ms  104.689ms  105.233ms 
      4   XXX.XXX.10.102  106.510ms  118.250ms  108.573ms 
      5   XXX.XXX.11.142  114.373ms  104.904ms  121.308ms 
      6   195.66.225.24  186.114ms  186.683ms  184.206ms 
      7   109.105.102.98  205.465ms  194.703ms  194.896ms 
      8   62.40.98.77  199.458ms  199.551ms  199.560ms 
      9   62.40.98.153  221.490ms  198.786ms  202.598ms 
     10   62.40.98.113  209.238ms  209.042ms  209.429ms 
     11   62.40.98.38  213.442ms  210.118ms  211.348ms 
     12   62.40.124.2  213.547ms  233.232ms  211.953ms 
     13   193.171.23.41  212.981ms  212.560ms  213.194ms 
     14   193.171.23.17  214.373ms  214.103ms  214.481ms 
     15   193.171.14.50  211.677ms  216.011ms  213.651ms 
     16   *  *  * 
    
    

    Was kann das sein?
    Thx



  • ohne pfsense hab ich am modem genau dasselbe netalyzr ergebnis, es düfrte also am modem liegen, aber was das ist, versteh ich nicht.


  • LAYER 8 Moderator

    Also wenn der Netalizer Test da oben reel ist, würde ich das Interface sofort abschalten. Das geht ja gar nicht.
    Auf einer Public IP sind Ports wie 135 und 139 aktiv?? Im Ernst?

    Ansonsten sehe ich nicht, was bei deinem Interface "schwer gestört" sein soll? Die ersten 3 Hops geben keine Antwort auf Ping. So what, das mag sein. Dass Ports auf dem Kabel-Modem geblockt sind ist ja auch gut so. Ich will ja nicht, dass nach Einwahl mal satt alle Ports die niemanden was angehen nackt im Netz hängen?

    Irgendwie ist mir gerade dein Problem nicht ganz klar ;)

    Grüße Jens



  • hy,
    :) nein, ich hab nicht 139 etc offen lokal.
    das ist umgekehrt zu lesen, geblockt heißt, dass sie vom modem aus nicht erreichbar sind auf den testservern von netalyzr, d.h. ausgehende verbindungen werden auf dem weg geblockt. das problem ist, dass das modem 10 sekunden braucht bis eine anfrage über das modem rausgeht, das sagt der netalyzr auch

    "
    None of the bandwidth measurement packets sent between the server and client arrived at the client when testing the uplink, which prevented us from measuring the available bandwidth. One possible reason for this is dynamic filtering by access gateway devices. Another possibility is simply a transient error.
    "

    "
    We recorded a packet loss of 36%.
    "

    "
    TCP connection setup latency (?): 1400ms "

    DAs Problem ist, dass der Gatway "Modem" einfach spinnt; steht eine Connection einmal, geht alles (was diese Connection betrifft, z.b. das Vpn).

    ich hab den eindruck der provider knüpft die verbindungen an die bedingung, dass man über seinen dns geht, ich hab das mal testhalber so eingestellt an einer nic dass alles über dhcp bezogen wird, also auch dns und die verbindung war besser.


  • LAYER 8 Moderator

    We recorded a packet loss of 36%.

    Wenn sich das von Innen nach Außen aber reproduzieren lässt, würde ich das dem Provider mal um die Ohren hauen ;)

    BTW:

    Direct TCP access to remote RPC servers (port 135) is allowed.
    liest sich für mich nicht unbedingt in !negativ Schreibweise. Und wenn das grün hinterlegt ist… naja. Warum ich sowas anzeige, muss ich nicht verstehen ;)


Log in to reply