Verbingungsabbrüche mit der OPNsense an der FritzBox, ohne OPNsense nicht

[FabianMartin]

Hallo zusammen,
ich betreue mehrere Schulen und habe aktuell bei einer das Problem, das mir seit dem die OPNsense im Einsatz ist, die Internetverbindung ständig abbricht. Vorrangig passiert dies zu den Stoßzeiten, d.h. wenn eine neue Unterrichtsstunde beginnt.

Das Netzwerk ist simpel aufgebaut. Die OPNsense sorgt aktuell für die Trennung des Verwaltungsnetzes und des pädagogischen Netzes. Im pädagogischen Netz gibt es ein Schüler-WLAN und kabelgebundene Geräte (Lehrer-PCs, PC-Raum). Im Verwaltungsnetz nur kabelgebundene Geräte. In Zukunft sollen auch gezielte Verbindungen vom Verwaltungs- ins pädagogische Netz möglich sein (Zugriff auf bestimmte Geräte etc.) und ein zusätzliches Gast-WLAN beherbergen. Das ist aber Zukunftsmusik und ein Problem meines Zukunfts-Ichs.

Code: [Select]

      WAN / Internet
            :
            : Vodafone Kabel 1Gbit/s
            :
      .-----+-----.
      |  Gateway  |  FritzBox 6660
      '-----+-----'
            |
        WAN | 192.168.178.0/24
            |                                          :
      .-----+------.   Verwaltung       .------------. :
      |  OPNsense  +--------------------+ LAN-Switch |-+-(Clients/Servers)
      '-----+------'   192.168.0.0/24   '------------' :
            |                                          :
  Transfer  | 192.168.42.0/24
            |               
      .-----+------.
      | IServ      |
      '-----+------'
            |
        LAN | 10.0.0.254/8 (pädagogisches Netz)
            |
      .-----+------.
      | LAN-Switch |
      '-----+------'
            |
    ...-----+------... (Clients/Servers/APs)

Außerhalb der Unterrichtszeiten funktioniert die Konstruktion ohne weiteres. Sobald jedoch eine neue Unterrichtsstunde los geht, geht die Latenz hoch und am Ende geht nichts mehr. Erst ein Neustart der FritzBox schafft Abhilfe. Dann läuft alles ohne Probleme, bis zur nächsten Stoßzeit.

Die Hardware sollte meiner Meinung nach ausreichen.

Super Micro Server
CPU: Intel Xeon E-2124 CPU @ 3.30GHz (4 cores)
Chipsatz: Intel C246
RAM: 8 GB
Interfaces: 8 x Intel 1 Gbit/s I210-AT

An einer anderen Schule habe ich eine ähnliche Konstruktion mit der gleichen Hardware, nur das dort keine FritzBox ist, sondern ich direkt an der Glasfaser hänge. Hier funktioniert alles fehlerfrei, sodass ich von einem Problem mit der FritzBox ausgehe.

Ich habe zu dem Thema schon ein paar Sachen im Forum gefunden.

https://forum.opnsense.org/index.php?topic=20091.0
Das Monitoring wurde von mir komplett deaktiviert.

In https://forum.opnsense.org/index.php?topic=21896.0 wird berichtet, dass die Menge an States das Problem sind (den Eindruck habe ich auch), also habe ich hiermit ein wenig experimentiert und „Firewall Optimization“ auf „aggresive“ gestellt. Ohne Verbesserung.

Anschließend habe ich die „Firewall Adaptive Timeouts“ und die „Firewall Adaptive States“ dahingehend angepasst, dass die Firewall die offenen States knapp an die 10.000 hält (außerhalb der Stoßzeiten bewegt sie sich bei ca. 9.000 States ohne Probleme). Wieder ohne Verbesserung.

Nachdem die Fehlerbehebung sich nun schon etwas in die Länge zieht, habe ich den IServ Server direkt an die FritzBox angeschlossen, mit dem Ergebnis, dass es zu keinen Verbindungsabbrüchen mehr kommt.

Am liebsten würde ich die FritzBox durch ein Modem ersetzen, allerdings sieht es bei Kabel echt bescheiden aus. Gefunden habe ich das Technicolor TC4400, welches aber aktuell nicht lieferbar ist. (https://shop.wernerelectronic.de/antennen-und-kabelfernsehtechnik/catv-modems/tc4400-eu-kabel-modem-docsis-3-1.html)

Kennt jemand die Probleme und kann mir ggf. einen passenden Tipp geben? Oder kann sich jemand erklären, warum es ohne OPNsense problemlos läuft, aber mit OPNsense nicht?

Ich bin für jeden Tipp dankbar.

[Raketenmeyer]

Hallo,

ist der entsprechende LAN-Port der Fritz-Box evtl. auf Energie sparen (100 MBit) eingestellt?

Das mit dem reinen Modem ist bei Vodafone eigentlich ganz einfach machbar, indem du die Fritz-Box gegen die Vodafone Station tauschst. Diese lässt sich dann in den Bridge-Modus schalten - ist dann quasi nur noch ein Modem.

LG Olli

[Tuxtom007]

Nur eine Vermutung, aber wieviele Clients sind im Netz aktiv ?

Die FritzBox ist eine Gerät für den Hausgebrauch aber nicht für größere Installationen. Ich kann mir gut vorstellen, da die mich der Anzahl der Clientverbindungen nicht klar kommt und in die Knie geht.
Evtl. macht es doch mal Sinn, Monitoring auf der OPNSense zu aktivieren und ich würde raten, mal ein Supportticket bei AVM zu öffnen und denen dann die gewünschten Daten zu liefer. Die sind da recht fix und gut.

[wtremmel]

Mein Setup sieht ähnlich aus, ich hatte das Problem dass mit 21.7 meine Fritzbox ab und zu unmotiviert rebooted hat (konkret hat sie fast immer rebooted wenn ich das OPNsense neu gestartet habe)

Seit 22.1 besteht das Problem nicht mehr, eine Ursache habe ich nie herausgefunden.

[FabianMartin]

Hallo,

ist der entsprechende LAN-Port der Fritz-Box evtl. auf Energie sparen (100 MBit) eingestellt?

Das mit dem reinen Modem ist bei Vodafone eigentlich ganz einfach machbar, indem du die Fritz-Box gegen die Vodafone Station tauschst. Diese lässt sich dann in den Bridge-Modus schalten - ist dann quasi nur noch ein Modem.

LG Olli

Hallo,

die Ports sind alles auf GBit gestellt (war auch eine meiner ersten Vermutungen).

Danke für den Tipp mit der Vodafone Station, das werde ich einmal besprechen. Dass man diese auch in den Bridge Modus schalten kann, war mir bis dato nicht bekannt. Vielen Dank.

[FabianMartin]

Nur eine Vermutung, aber wieviele Clients sind im Netz aktiv ?

Die FritzBox ist eine Gerät für den Hausgebrauch aber nicht für größere Installationen. Ich kann mir gut vorstellen, da die mich der Anzahl der Clientverbindungen nicht klar kommt und in die Knie geht.
Evtl. macht es doch mal Sinn, Monitoring auf der OPNSense zu aktivieren und ich würde raten, mal ein Supportticket bei AVM zu öffnen und denen dann die gewünschten Daten zu liefer. Die sind da recht fix und gut.

Es sind ca. 1000 Schüler an der Schule und seit neuestem gibt es auch WLAN, welches die Schüler mit ihren Privatgeräten nutzen dürfen. Dass die FritzBox dort ist, ist noch eine Altlast meines Vorgängers, mit der ich jetzt aber erstmal arbeiten muss. AVM selber spricht ja in der FAQ auch davon, dass die FritzBox lediglich hunderte Verbindungen kann.

Danke mit dem Tipp zum AVM Support, das werde ich einmal probieren.

[FabianMartin]

Mein Setup sieht ähnlich aus, ich hatte das Problem dass mit 21.7 meine Fritzbox ab und zu unmotiviert rebooted hat (konkret hat sie fast immer rebooted wenn ich das OPNsense neu gestartet habe)

Seit 22.1 besteht das Problem nicht mehr, eine Ursache habe ich nie herausgefunden.

Danke für den Tipp. Ich werde mir gleich mal die Changelogs der 22.1 ansehen. Bisher haben wir auch die 21.7 installiert.