Netzwerk friert ständig ein

[achmetbenmuli]

Hallo zusammen,

ich wollte hier mal meinen Input liefern, vielleicht ist das für den ein oder anderen hilfreich.

Auch ich betreue ein größeres Netzwerk mit bis zu 200 WLAN-Clients, die eingesetzte OPNSense hing bis vor kurzem am WAN-Port an einer FB 5490, die der Provider (hier: 1&1/Versatel) am Glasfaser-Anschluss (500/100) bereitgestellt hat.

Auch bei mir traten nach einiger Zeit, bei hoher Last bis zu 3x am Tag die bereits beschriebenen Probleme auf; zuerst gehen die Pings hoch, dann bleiben sie irgendwann ganz aus, erst ein Neustart der Fritzbox kann das Problem beseitigen. Nach meinen Beobachtungen steigt die FB 5490 bei ca. 12.000-13.000 States komplett aus.

Die Lösung in diesem Fall war, und ich denke, dass das auch für den ein oder anderen mit diesem Problem in Frage kommt, die Fritzbox komplett wegzulassen und die OPNSense die PPPoE-Einwahl machen zu lassen.
Es gibt bestimmt verschiedene Möglichkeiten, das zu bewerkstelligen und die Vorgehensweise unterscheidet sich u.U. von Provider zu Provider, die von mir beschriebene Methode bezieht sich wie schon gesagt auf den Anschluss von 1&1/Versatel:

-Zugangsdaten vom Provider angefragt (Benutzername, Passwort, VLAN für den Internet-Transport)
-folgende Komponenten sind zu besorgen: eine einfache SC-SC-Kupplung, ein LC-SC Glasfaserkabel, ein Mini-GBic GLC-BX-U, ein einfacher Glas-/Kupfer-Wandler mit 1GBit/s

Der SC-Stecker, der von der Spleißbox kommt und normalerweise in der FB steckt, wird mit der SC-SC-Kupplung ans LC-SC-Glasfaserkabel gesteckt und am der LC-Steckerseite in den GBic. Der GBic steckt im Medienkonverter, der Kupferport des Medienkonverters wird mit dem WAN-Port der OPNSense verbunden.

Dann muss noch das VLAN in der OPNSense angelegt werden und der WAN-Port auf PPPoE umgestellt werden und die Account-Daten eingegeben werden.
Falls der Anschluß eine Zwangstrennung hat, sollte die OPNSense dieser zuvor kommen: Unter System--> Settings-->Cron einen 'Periodic Interface Reset' zur gewünschten Zeit einrichten.

Seit dieser Umstellung sind die Probleme nicht mehr aufgetreten. Es ist ein Traum im Vergelich zu vorher.
Nützlicher Nebeneffekt ist auch, dass kein doofes Double-NAT mehr stattfindet.
Die Leistungsfähigkeit hat deutlich zugenommen, auch bei knapp 20.000 States bisher keinerlei Probleme, keine packet losses, nix.

Bei mir war das Problem eindeutig auf die FB zurückzuführen, für einen Glasfaseranschluß einfach kein adäquates Gerät, weil scheinbar nicht leistungsfähig genug.

VG
Achim

[fischkopp]

Servus!

Ich bin gerade durch Zufall über den Beitrag gestolpert. Eigentlich auch Nutzer einer pfSense - Lösung, aber bei der Problembeschreibung ist es 1:1.
Ich habe das Problem allerdings reproduzierbar (die Umstände sind mir aber nicht klar) an einem Kabel Deutschland-Anschluß und schon bei 20.000 States auf der "BSD"-Seite.
Die Kabel 6590 - Box scheint hier dann auch die Grätsche zu machen.

Symptome der letzten 2(!) Jahre Ideen für die Ursachen waren:
- Fritzbox bootet neu und haut die CPU-Last auf 100, zeigt aber (ist eine eigene Kaufbox) keine Logfileinformationen zum langsamen Overload
- Problem lässt sich auch beheben, wenn man das "WAN-Kabel" zwischen WAN und Fritzbox-Switch für 10-20 Sekunden rauszieht
- Ebenso geht, wenn noch machbar ein Reset States auf der Firewall

Was ich aber bis jetzt in dieser (DoubleNAT) Umgebung nicht rausgefunden habe, WAS die Ursache für das Abstapeln ist. Hier reden wir nur von <10 Clients. Und je nach Tageszeit verhält es sich unterschiedlich.
Auch gibt es im Kabelnetzanschluß jede Menge Errors auf der KAbelnetzseite, so dass wir jetzt mal zusätzlich die Kaufbox wieder zur Leihbox wechseln werden.

Gibt es hier bei KD eigentlich eine Alternative Lösung, so dass man die IP ohne Fritzbox an die Firewall knüpfen kann?

[kruemelmonster]

....
Gibt es hier bei KD eigentlich eine Alternative Lösung, so dass man die IP ohne Fritzbox an die Firewall knüpfen kann?

Ja die gibt es grundsätzlich. Das Kabelmodem TC4400-EU macht docsis3.1. Ist mit gut 200 (T)Euronen nicht eben preiswert und zumindest in der Vergangenheit nur bei wernerelectronic.de zu bekommen gewesen.  Kann aber selbst dazu nichts sagen. Habe das Teil nie benutzt und mitttlerweile wegen des ganzen HickHack bei KDG/VF auf einen "normalen" DSL-Anschluß umgestellt.

Das kdgforum.de / vodafonekabelforum.de kennst du ja vielleicht schon. Weinn nicht, schau einfach mal dort rein. Da findet sich alles rund um VF / Kabel und natürlich auch zu dem Modem.

Soweit ich das von anderen Modems als Bridge bei VF noch in Erinnerumg habe, bekommst du mit der OpnSense hinter dem Modem die IP direkt per dhcp.

[Tuxtom007]

Bei mir war das Problem eindeutig auf die FB zurückzuführen, für einen Glasfaseranschluß einfach kein adäquates Gerät, weil scheinbar nicht leistungsfähig genug.

Du kannst ja mal spasseshalber beim AVM-Support anfragen, wieviele gleichzeitige Verbindungen einen FritzBox abkann, ich denke, das du hier das Limit überschritten hast und daher die Probleme nicht verwunderlich sind.
Das Teil ist für den SoHo-Nutzer gedacht :)
Die Datenblätter geben leider da keine Infos zu.

Letztens hatte ich von jemanden gelesen, der 1000 Smartphones in einem Schulnetz über die FritzBox leiten wollen - das funktioniert nicht.

[Raketenmeyer]

....
Gibt es hier bei KD eigentlich eine Alternative Lösung, so dass man die IP ohne Fritzbox an die Firewall knüpfen kann?

Ja die gibt es grundsätzlich. Das Kabelmodem TC4400-EU macht docsis3.1. Ist mit gut 200 (T)Euronen nicht eben preiswert und zumindest in der Vergangenheit nur bei wernerelectronic.de zu bekommen gewesen.  Kann aber selbst dazu nichts sagen. Habe das Teil nie benutzt und mitttlerweile wegen des ganzen HickHack bei KDG/VF auf einen "normalen" DSL-Anschluß umgestellt.

Das kdgforum.de / vodafonekabelforum.de kennst du ja vielleicht schon. Weinn nicht, schau einfach mal dort rein. Da findet sich alles rund um VF / Kabel und natürlich auch zu dem Modem.

Soweit ich das von anderen Modems als Bridge bei VF noch in Erinnerumg habe, bekommst du mit der OpnSense hinter dem Modem die IP direkt per dhcp.

Man kann bei KD/Vodafone die Fritzbox einfach gegen die Vodafone Station tauschen. Diese lässt sich dann einfach im Kundeninterface auf den Bridge-Mode umschalten. Ist dann quasi nur noch ein Modem. Und man verliert nicht den Supportanspruch.