Nur ein Ping auf FritzBox möglich | Firewall

[Joakim]

Hallo allerseits,

mein erster Thread.

Kurze Problemschilderung:

Ich habe heute festgestellt, das von extern nur ein ping auf die FritzBox möglich ist.
Ist das so gewollt oder ein Bug?

Lange Schilderung:

Drei Bekannte beklagen ständig Packet-Loss. Die haben immer ein Teamspeek-Client am laufen und dieser zeigt dies an.

Als bin ich jetzt mal auf die Suche gegangen woran das liegen kann.
Die Jungs sagen natürlich das liegt am Provider.

Also habe ich von meinem Server irgendwo in Deutschland einen ping an eine von deren externen IP's der FritzBox gestartet.
Läuft sehr gut, sobald ich aber von einem anderen Server irgendwo anders aus Deutschland einen weiteren ping dorthin absetze,
hat einer von beiden PacketLoss. Die wechseln sich sogar ab. Mal habe ich auf Server A PacketLoss, dann nach ca. 150 pings auf
dem anderen Server B.

Ich habe das dann mit einer anderen IP des anderen Users getestet. Selbes Phänomen.

Dann habe ich mal die FritzBox meiner Ex geprüft. Anderes Modell, anderer Provider.
Selbes Phänomen. Also noch eine FritzBox vom Kumpel gepingt (auch anderer Provider)

Und noch eine FB bei einem anderen Provider.

Es bleibt dabei. Es ist immer nur ein ping möglich.

Getestete FritzBoxen: 7112, 7312, 7270, 7390, 7490
Getestete Provider: Bekannte und Unbekannte.

Ein (zwei) gleichzeitige Pings von Workstations im Heimnetzwerk auf die interne IP 192.168.178.1, sind gar kein Problem.
Läuft prima. Auch pings von der FritzBox zu anderen externen oder internen IP's sind kein Problem.
Läuft auch prima.

Dazu habe ich telnet auf der FB aktiviert und mich per telnet an der FB angemeldet.

Jetzt habe ich irgendwo im www gelesen, das die Firewall-Regeln der Fb in der Datei
/var/flash/ar7.cfg geregelt werden.

Die Datei habe ich erstmal ins /var/tmp/ Verzeichnis kopiert und mittels cat und vi angesehen.

Ich kenne mich ganz gut mit Linux-Distributionen aus, aber auf einer FB bin ich bis heute nicht per telnet.
Also jetzt ja. Von daher wusste ich natürlich wie ich da in diversen Dateien was prüfen kann.
Aber sowas wie iptables -L gibt es da nicht.

Wie kann ich mir die aktuellen Firewallregeln auf der Konsole der FB ansehen?

Das Ding ist halt, das die drei Jungs sagen, sie haben PacketLoss. Stimmt ja auch, so steht es ja im Teamspeek-Client.
Die machen ihren Provider dafür schuldig. Ich kenne nun leider auch ein Mitarbeiter dieses Providers
und der fragt mich ob ich da mal schauen kann bei denen.

Ein ping sendet ein icmp-Paket, aber auch andere Programme senden mal ein icmp-Paket und von daher
ist mir klar das es da mal zu Packet-Loss kommen kann. Aber das die FB jetzt permanent
einen zweiten ping blockt, ist mir neu.

Ich habe auch schon andere Router getestet. Denen ist das egal wieviel gleichzeitige pings ich dorthin sende.

Kann mir jemand helfen?

Gruß

 

[sf3978]

Ich habe heute festgestellt, das von extern nur ein ping auf die FritzBox möglich ist.

BTW: Zu diesem "Phänomen" gibt es schon einen Thread in diesem Forum. Evtl. kannst Du diesen Thread finden.

 

[informerex]

Firewall-Regeln über die normale WebGUI der Box wäre doch auch ein Möglichkeit oder nicht?

 

[sf3978]

Kann mir jemand helfen?

Siehe z. B. auch diesen Thread: http://www.ip-phone-forum.de/showthread.php?t=265295

 

[Joakim]

BTW: Zu diesem "Phänomen" gibt es schon einen Thread in diesem Forum. Evtl. kannst Du diesen Thread finden.

Danke. Werde ich mir gleich durchlesen.

 

[Joakim]

Hallo,

habe mir die Threads mal durchgelesen.

@informerex; wo in der Gui kann ich genau das einstellen. Als Testobjekt habe ich jetzt eine 7270 vor mir.

Die besagten Einstellungen in der icmp_ratelimit und icmp_ratemask habe ich bereits auf 0 gesetzt.
Das hat aber keine Auswirkungen.

 

[sf3978]

... wo in der Gui kann ich genau das einstellen.

M. W. geht das nicht mit der AVM-GUI. Siehe nur als Beispiel, den Abschnitt "Portweiterleitung" in: http://freetz.org/wiki/packages/openvpn

 

[Joakim]

Okay, habs verstanden. Ist also eine Sicherheitseinstellung in der von AVM gestellten Firmware.
Keine der FritzBoxen auf die ich gerade quasi zugreifen kann, hat natürlich eine freetz-Firmware drauf.
Ich werde mir aber mal eine damit installieren.

Aber zum einfachen Verständnis her, ist ein icmp-PacketLoss an eine FritzBox ganz normal.?

Ich würde den Jungs das nur gerne plausibel erklären können.
Kann von denen nicht erwarten das die Ihre FritzBox mit freetz aktualisieren.
Die wissen gar nicht was telnet ist, geschweige denn ssh oder kernel. (Zocker halt)

Aber dennoch die Frage zu Deinem Link: Was hat mein Problem mit den icmp-Packets mit VPN zu tun?

 

[sf3978]

Was hat mein Problem mit den icmp-Packets mit VPN zu tun?

Nichts. Es ging mit nur um einen Hinweis, wie man die ar7.cfg bearbeiten kann (statt mit einer GUI).
Ich denke, die FritzBox ist für diese Art der Internetnutzung nicht geeignet.

 

[Joakim]

Okay, habe mich nur gewundert. Habe irgendwo auch so ein Thread gefunden und die erste Antwort war
auch nur ein Hinweis auf VPN. Ich denke auch und so wird es auch sein, das die FB mit der von AVM bereitgestellten Firmware
einfach gegen ping-flood geschützt ist. Gut, Punkt aus. Thread schliessen. Danke

Wie ich die ar7.cfg bearbeiten kann, weiß ich. Aber da gibt es nichts zu bearbeiten. Nicht für mich.

 

[koyaanisqatsi]

:lamer:

Die wissen gar nicht was telnet ist, geschweige denn ssh oder kernel. (Zocker halt)

Immer diese Vorurteile.
Ich bin auch Zocker. In Militärsimulationen.
OFP --> ArmA --> ArmA II --> ArmA II OA CO
Und jetzt gerade aktuell: Gamespy wurde abgeschaltet, keine Serverliste mehr.
Jetzt müssen wir uns Gedanken machen wie wir an die gehosteten Server rankommen.
...ohne Steam.

Und: telnet, dropbear, tinyproxy, darkstat... Mein Steckenpferd. Yeah!

 

[Joakim]

Hallo koyaa,

sry, ich entschuldige mich auch bei allen anderen Zockern die wissen was telnet ist.

Die Jungs konnten auch nur drüber lachen, was ich geschrieben habe.

Aber glauben es mir nicht so recht.

Hat irgendwer eine FritzBox im Einsatz mit normaler aktueller Firmware?

Wenn ja, dann ping doch mal die externe IP-Adresse an. Und dann öffne eine zweite Konsole
und pinge die IP nochmal an. Nach 5-7 pings hat einer von beiden PacketLoss.

Ich habe jetzt soviel Fritzen getestet bei verschiedenen Providern. Überall das Gleiche.

 

[koyaanisqatsi]

Ich hab sowas, und kann das im Moment nicht bestätigen.
Mein Game läuft auch noch im Hintergund, werd die 5 Konsolen mit den Pings mal 45 Minuten laufen lassen.
Das sollte mein Game (durch einen BattleEye Kick) nicht beenden.

 

[Joakim]

Ich hab sowas, und kann das im Moment nicht bestätigen.
Mein Game läuft auch noch im Hintergund, werd die 5 Konsolen mit den Pings mal 45 Minuten laufen lassen.
Das sollte mein Game (durch einen BattleEye Kick) nicht beenden.

Du hast jetzt ein Ping von extern auf die externe IP-Adresse Deiner FritzBox am laufen?

Welche FritzBox mit welcher Firmware?

 

[koyaanisqatsi]

Auf die externe IP bzw. den DynDNS Hostnamen.
Allerdings von Konsolen im tmux auf der Fritz!Box.
Müssen die auch von Extern kommen, oder gilt das jetzt nicht?
Fritz!Box Basis wie in Signatur angegeben.

Die Pings laufen alle noch ohne Timeouts und das Game auch.

 

[Joakim]

Der ping muss von extern kommen auf die externe IP.
Haben wir ja gerade getestet. Danke dafür.

 

[sf3978]

Nach 5-7 pings hat einer von beiden PacketLoss.

Bei meinem Test haben beide (... zwar unterschiedlich) PacketLoss:

50 packets transmitted, 17 received, 66% packet loss, time 49273ms

50 packets transmitted, 43 received, 14% packet loss, time 49091ms

 

[Joakim]

Hallo sf, Danke auch für Deine Nachricht.

Die wechseln sich ab, mal wird der eine ping beantwortet, mal der andere. Also auch dasselbe Problem.

Mag ja nun an der Sicherheitseinstellung vom Hersteller liegen, aber das nur ein ping beantwortet wird, ist n bisschen übertrieben.
Zumal in der icmp_ratelimt 1000 steht. Und das besagt m.E. 10 Pakete pro Sekunde. und nicht nur zwei.

Berichtigt mich wenn ich falsch liege.