WAN Verbindung schlecht, VPN Verbindung gut - warum?
-
Hy!
Ich hab 2 Lans. Diese haben als Gateway (beide gehen über dasselbe Modem):-Opt1 : Openvpnclient
-Opt2: KabelmodemSeit einigen Wochen ist das Internet über Opt2 schwer gestört, über Opt1 geht es wunderbar. Netalyzr zeigt über die Opt 1 Verbindung alles grün, über Opt 2 hab ich 10 Sekunden Verzögerung und geblockte Ports (woher?):
http://netalyzr.icsi.berkeley.edu/restore/id=43ca253f-26065-0413a5d4-883d-4b99-bb03Die Config für den OpenVpn Client hab ich so (Nating, kein Routing):
https://forum.pfsense.org/index.php?topic=76015.0Opt2 ist genau gleich eingestellt, ausser dass der Gateway eben nicht das vpn-interface ist, sondern das Kabelmodem unter 192.168.0.1 (das Kabelmodem macht Nat, also wie beim vpn double-nat)
Am Op2 schaut ein Traceroute so aus:
traceroute 131.130.1.11 traceroute to 131.130.1.11 (131.130.1.11), 64 hops max 1 * * * 2 * * * 3 * * * 4 * XX.XXX.228.149 10.307ms 9.328ms 5 213.46.173.6 82.204ms 41.421ms 8.728ms 6 193.203.0.1 10.108ms 9.262ms 12.751ms 7 193.171.23.97 24.448ms 8.671ms 11.018ms 8 193.171.14.50 22.600ms 9.092ms 9.686ms * ...
Am Opt1 so
traceroute 131.130.1.11 traceroute to 131.130.1.11 (131.130.1.11), 64 hops max 1 10.10.0.1 118.051ms 102.599ms 119.699ms 2 XXX.XXX.1.13 120.894ms 103.020ms 106.500ms 3 XXX.XXX.53.41 102.734ms 104.689ms 105.233ms 4 XXX.XXX.10.102 106.510ms 118.250ms 108.573ms 5 XXX.XXX.11.142 114.373ms 104.904ms 121.308ms 6 195.66.225.24 186.114ms 186.683ms 184.206ms 7 109.105.102.98 205.465ms 194.703ms 194.896ms 8 62.40.98.77 199.458ms 199.551ms 199.560ms 9 62.40.98.153 221.490ms 198.786ms 202.598ms 10 62.40.98.113 209.238ms 209.042ms 209.429ms 11 62.40.98.38 213.442ms 210.118ms 211.348ms 12 62.40.124.2 213.547ms 233.232ms 211.953ms 13 193.171.23.41 212.981ms 212.560ms 213.194ms 14 193.171.23.17 214.373ms 214.103ms 214.481ms 15 193.171.14.50 211.677ms 216.011ms 213.651ms 16 * * *
Was kann das sein?
Thx -
ohne pfsense hab ich am modem genau dasselbe netalyzr ergebnis, es düfrte also am modem liegen, aber was das ist, versteh ich nicht.
-
Also wenn der Netalizer Test da oben reel ist, würde ich das Interface sofort abschalten. Das geht ja gar nicht.
Auf einer Public IP sind Ports wie 135 und 139 aktiv?? Im Ernst?Ansonsten sehe ich nicht, was bei deinem Interface "schwer gestört" sein soll? Die ersten 3 Hops geben keine Antwort auf Ping. So what, das mag sein. Dass Ports auf dem Kabel-Modem geblockt sind ist ja auch gut so. Ich will ja nicht, dass nach Einwahl mal satt alle Ports die niemanden was angehen nackt im Netz hängen?
Irgendwie ist mir gerade dein Problem nicht ganz klar ;)
Grüße Jens
-
hy,
:) nein, ich hab nicht 139 etc offen lokal.
das ist umgekehrt zu lesen, geblockt heißt, dass sie vom modem aus nicht erreichbar sind auf den testservern von netalyzr, d.h. ausgehende verbindungen werden auf dem weg geblockt. das problem ist, dass das modem 10 sekunden braucht bis eine anfrage über das modem rausgeht, das sagt der netalyzr auch"
None of the bandwidth measurement packets sent between the server and client arrived at the client when testing the uplink, which prevented us from measuring the available bandwidth. One possible reason for this is dynamic filtering by access gateway devices. Another possibility is simply a transient error.
""
We recorded a packet loss of 36%.
""
TCP connection setup latency (?): 1400ms "DAs Problem ist, dass der Gatway "Modem" einfach spinnt; steht eine Connection einmal, geht alles (was diese Connection betrifft, z.b. das Vpn).
ich hab den eindruck der provider knüpft die verbindungen an die bedingung, dass man über seinen dns geht, ich hab das mal testhalber so eingestellt an einer nic dass alles über dhcp bezogen wird, also auch dns und die verbindung war besser.
-
We recorded a packet loss of 36%.
Wenn sich das von Innen nach Außen aber reproduzieren lässt, würde ich das dem Provider mal um die Ohren hauen ;)
BTW:
Direct TCP access to remote RPC servers (port 135) is allowed.
liest sich für mich nicht unbedingt in !negativ Schreibweise. Und wenn das grün hinterlegt ist… naja. Warum ich sowas anzeige, muss ich nicht verstehen ;)