(SOLVED) Ständige WAN (PPPoE) Reconnects

[stoeti97]

Liebe Community,

ich hoffe sehr, dass mir hier weitergeholfen werden kann. Aktuell bin ich mit meinem Latein am Ende.

Mein technischer Aufbau:
Ich bin Telekom VDSL 250 Kunde. Von meiner TAE-Dose geht das Kabel in mein DrayTek Vigor 165. Von da aus geht per RJ-45 Kabel in meine OPNsense DEC750 Appliance (Port ibg1).
Ich habe zwei physikalische Netze. WLAN läuft über das native VLAN direkt auf Port igb2 und mein LAN ist auch im native VLAN auf Port ibg0. Darüber hinaus habe ich noch vier VLANs für unterschiedliche Verwendungszwecke.
Mein Wunsch ist, dass die OPNsense Appliance die PPPoE Einwahl macht, damit ich keinen zusätzlichen Hop habe und meine öffentlichen IPv4 und IPv6 Adressen sollen direkt am WAN Interface terminieren. Ich habe lange Zeit Suricata auf dem igb1 Port genutzt im Promiscuous-Modus. Aufgrund der anhaltenden Probleme habe ich Suricata jedoch deaktiviert. Weiterhin nutze ich das Zenarmor Plugin auf den Interfacen igb2 und igb0.

Mein Problem:
Etwa alle 60-100 Stunden bekomme ich eine neue WAN IP-Adresse. Das führt dazu dass Zenarmor "abstürzt" und die Verbindung zu den Cloud-Knoten verliert. Somit ist steht mein Netzwerk Traffic auf den Interfacen igb2 und igb0 still. Ich muss jedes mal das Plugin neustarten um das Problem zu beheben. Darüberhinaus habe ich IPv6 basierte Firewallregeln die ich ebenfalls nach einem Reconnect wieder anpassen muss. Dieser ganze Prozess ist super nervig und muss, wie gesagt, alle 60-100 Stunden wiederholt werden.

Meine fehlgeschlagenen Lösungsversuche:
Ich bin selbst Fachinformatiker für Systemintegration und arbeite bereits einige Jahre im IT-Support und Rechenzentrums sowie Netzwerkbetreuung. Somit habe ich ein bisschen Erfahrung was Troubleshooting angeht.
Nach Rücksprache mit der Telekom wird der Reconnect durch meinen Router (also die OPNsense) ausgelöst. Also über den Provider keine Lösungsmöglichkeiten.
Nächster Schritt war also der Austausch sämtlicher Kabel:
- TAE-Dose zu Vigor 165
- RJ-45 Kabel von Vigor 165 zu OPNsense
- Zwischenschalten eines unmanaged Switches zwischen Vigor 165 und OPNsense
- BIOS Update der DEC750 Applicance nach Anleitung von OPNsense selbst
- Neuinstallation des Betriebssystems auf der OPNsense Applicance
- Abschalten von Suricata
- Abschalten von Zenarmor
- In einem anderen Forum Beitrag wurde folgender Shell Befehl als Lösung vorgeschlagen: opnsense-patch 7aaa6a263b1 bb4743a7322 / Bei mir jedoch ohne Erfolg

Das Log von heute konnte ich dem Artikel leider nicht anhängen. Ich stelle aber hier ein OneDrive Link zur Verfügung:

https://stoeters-my.sharepoint.com/:u:/g/personal/philip_ps97_net/EbaKtg0TgvtHquL8OHjHtrwBdO5WxAImH8igF6ZhK7FZcg?e=V8g9js

Dabei zur Info: gegen 5:15 Uhr war der letzte Reconnect und gegen 6:24 Uhr habe ich den Zenarmor Dienst neugestartet. Dies führt immer zu einer Reihe von Fehler im Log.

Sollte ich irgendwelche Infos nicht mitgeliefert haben, würde ich mich über einen kurzen Hinweis freuen und diese umgehend nachliefern. Vielen Dank im Voraus.

[tpf]

Servus,
folgt der Reconncet denn auf einen Verlust der Synchronisation des Modems? Die Verbindungsdauer sollte sich im Modem auslesen lassen.

Das Log nennt normalerweise auch den Grund für einen Reconnect. Timeouts o.ä.

Grüße

[stoeti97]

Hallo,

vielen Dank für die schnelle Reaktion.

Ich habe gerade mal im Webinterface des Draytek's nachgeschaut.
Das Gerät läuft seit 430 Stunden und der WAN Link ist up seit 8 Stunden und 17 Minuten. Zeitlich würde das passen.
Leider hat das DrayTek kein Log. Dafür muss ich erst einen SysLog Server aufsetzen.

Viele Grüße

[tpf]

Mein Zyxel bezeichnet als WAN Link die synchrone Verbindung zum DSLAM. Unabhängig von der aufgebauten PPPoE-Verbindung.

Ich interpretiere Deine Information ebenso: Dein Modem verliert den Sync, nicht die OPNsense trennt die PPPoE. Aber wie gesagt, das muss Dir das Log der OPNsense mitteilen.

Es ist auch einfach rauszufinden: trenne die PPPoE-Verbindung auf der OPNsense manuell und verbinde wieder. Wenn der Zähler im Modem weiterläuft, ist es wie von mir interpretiert.

[stoeti97]

Ah okay.

Das Log der OPNsense habe ich ja oben in dem Link zur Verfügung gestellt. Ich habe hier trotzdem nochmal einen Screenshot angefügt von der exakten Uhrzeit an der auch das DrayTek eine neue Synchronisierung gestartet hat.

Das heißt wenn mein Modem den Sync verliert, müsste ich nochmal bei der Telekom nachfragen?

Viele Grüße.

[TimoB]

Moin,

ich nutze den Vigor 165 schon länger.

Anfangs hat er die Fritzbox abgelöst, um dahinter eine UniFi USG-Pro-4 zu versorgen.

Vor ein paar Wochen wurde die USG durch eine OPNsense auf einer APU6B4 ersetzt.

Ich hatte zu Beginn auch Probleme mit Reconnects.
Damals noch bei 1&1 sVDSL250 (Telekomleitung).

Wichtig sind mal 2 Dinge:

Im Vigor:
1.
Diagnostics => DSL status => SNR Margin up & down?
Laut Draytek Support sollte der SNR nicht unter 7 fallen, da es sonst zu Syncproblemen kommen kann.

Mit meiner Firmware (siehe unten) liege ich seit langem bei SNR 9 downstream / 11 upstream

2. Running Mode (selbe Seite, oben)

Bei mir ist es 35B

Schau Dir die Kontakte in der TAE-Dose an. Die Dosen wurden meistens vor längerer Zeit montiert, hier kann es zu Oxidation kommen.
Einfach mal schauen, ob die Drähte schön blank sind.

VDSL250 ist supervectoring, hier spielt auch die Kabellänge zum "Kasten auf der Straße" eine Rolle.


Zur Firmware:
Ab Werk haben die Vigor die "STD" aufgespielt. Wie es der Name sagt: Standard.
Vermutlich funktioniert die meistens.

Zusammen mit dem Drayteksupport haben wir bei mir damals alles geprüft: Alles i.O.

Somit ging es weiter zur Firmware. Draytek bietet immer mehrere je Model an.

http://draytek.com/download_de/Firmwares-Modem/


Neueste Firmware ist die 4.2.4
http://draytek.com/download_de/Firmwares-Modem/Vigor165/

Ich hab bei mir damals die 4.2.3 getestet. Alle 4 Versionen: MDM1, MDM2, MDM3 & STD

Final läuft bei mir die 4.2.3_MDM2 Modemcode 8D1917


Installier mal die verschiedenen Versionen, am Besten über die Rushhour testen.

Ich bin zum Jahreswechsel zur Telekom gewechselt, hier lief alles munter weiter, da selbe Leitung.

[stoeti97]

Moin,

vielen Dank für die detaillierten Infos.

Ja das hatte ich vergessen mit zu teilen. Ich habe die Probleme sowohl mit Firmware Version 4.2.3_STD als auch mit 4.2.4_STD.

Ich hatte vor März 2022 eine Sophos SG 135w hinter dem Modem angeschlossen und hatte nie dieses Verhalten. Allerdings bin ich zu März auch in eine andere Stadt umgezogen.

Zu den Punkten:

1. SNR Margin steht auf Down 6 dB und Up auf 8 dB [da wären wir ja schon unter 7 ]
- Was wären hier mögliche Lösungswege?

2. Running Mode habe ich ebenfalls 35B

3. DSL-Version steht bei mir auf: 8B2607_A/B/C HW: B

Die verschiedenen Firmware Versionen werde ich dann in der nächsten Tagen mal durchtesten.

Viele Grüße

[TimoB]

Ich konnte den SNR etwas anheben durch die Verkabelung sprich TAE-Dose

[tpf]

Normalerweise schaltet der DSLAM bei häufigen Reconnects die Übertragungsrate runter, bis die Leitung stabil läuft. Bei so großen Zeitspannen, sieht er dazu vermutlich keine Notwendigkeit.

TAE hast du schon gemacht. Im Zweifel TAE entfernen und Modem direkt an die Doppelader anschließen. Gerne auch mal am APL im Keller Kontakte putzen. Insbesondere bei älteren Häusern gerne mal genommen.

Bin gespannt, was es letztlich bei dir ist.

[stoeti97]

Hallo zusammen,

ich habe jetzt sowohl die Firmware Versionen des DrayTek ausprobiert als auch neue Kabel bestellt.
Zwischen den unterschiedlichen Versionen des DrayTek's konnte ich keinen Unterschied hinsichtlich der Stabilität der Leitung feststellen. Deshalb habe ich erstmal wieder STD installiert.

Einen größeren Erfolg hat aber ein TAE to RJ-45 Kabel mit galvanischer Signatur gebracht. Ich habe eine SNR Margin in beide Richtungen von 9 dB. Aktuell läuft die Leitung seit knapp 70 Stunden ohne Probleme.

Alternativ habe ich noch einen TAE to RJ-45 Adapter gekauft und könnte dann per CAT 6a Kabel zum Modem. Mal schauen ob ich darauf zurückkommen muss.

Euch allen erstmal vielen Dank bisher 

[TimoB]

70h klingt doch schonmal erfolgsversprechend... 

Mit 9 biste doch schon gut dabei ;-)

Ich bin bei 9 (down) / 11 (up)

Man muss immer bedenken, dass die Kabel auch altern.

Bei mir z.B.:

Haus stammt aus 1983. 6DA von der TG in meine Wohnung. Damals hat niemand an DSL oder gar supervectoring gedacht. ;-)

Also muss da schonmal alles i.O. sein.

Eventuell kannst Du noch die TAE Dose tauschen (oder gegen eine UAE mit Schraubklemmen) ersetzen.
Wer ein LSA Anlegewerkzeug hat kann auch eine Datendose nehmen.
Dann könntest Du Dir ein weiteres Kabel TAE auf RJ45 sparen.

[TimoB]

Aktuell läuft die Leitung seit knapp 70 Stunden ohne Probleme.

Moin @stoeti97,

wie läuft`s mit Deiner Verbindung? Stabil?

[stoeti97]

Hi Timo,

danke, dass du nochmal nachgefragt hast. Aber irgendwie ist das komplett untergegangen bei mir.
Ich bin der Telekom ein bisschen auf die Nerven gegangen und nach zahlreichen Anrufen konnte ein sehr netter Techniker mein Problem lösen.
Die Leitung von meiner TAE-Dose zum nächsten Straßenverteiler hatte wohl eine Macke. Der Telekom Techniker hat mich auf eine andere physikalische Leitung gelegt und seit dem ist das Problem auch nie wieder aufgetreten.

Viele Grüße und schöne Feiertage