[Problem] Zu viele Verbindungen?

mongole

Neuer User
Mitglied seit
28 Feb 2007
Beiträge
134
Punkte für Reaktionen
6
Punkte
18
Hallo,

Ich betreibe zu Hause ein Tor-Relay auf einem Raspberry Pi und irgendwie scheint das die Fritzbox zu überfordern. Telefonate sind abgehackt, das TV-Bild bleibt stehen, manchmal bekommt der Media Receiver überhaupt keine Verbindung und sagt, ich soll mich an den Telekom Service wenden.

Der Raspi baut so um die 5000 parallele Verbindungen auf und hält diese offen. Im Energiemonitor der Box sieht alles fein aus. Bandbreite ist auch mehr als genug vorhanden. Läuft da der TCP-Buffer voll? Mangels Telnet kann man ja nicht mehr raufschauen auf die Box. Schalte ich das Relay ab, funktioniert alles wieder.

Irgendeine Idee, wie ich rausfinden kann, was da schiefläuft?

EDIT:

Der Raspi hat das anmfangs auch nicht hinbekommen, da musste ich /proc/sys/net/ipv4/tcp_max_tw_buckets hochdrehen, damit er die Verbindungen halten kann. Doch wie mache ich das auf der Fritzbox?

EDIT:

Habe das hier in der KB gefunden:

FRITZ!Box does not limit the number of simultaneous IP connections.
https://en.avm.de/service/fritzbox/...aximum-number-of-simultaneous-IP-connections/

Also woran liegt es dann :(
 
Zuletzt bearbeitet:
Hatte bisher mit Relay noch keine Probleme, Verbindungen sind aber auch recht viele bei dir.

Limitiere diese doch mal, sowas wie "connection limit" habe ich nicht gefunden, sonst Testweise mal mit RelayBandwidthRate 1024 KB
 
Ja, RelayBandwidthRate runtersetzen würde das Relay weniger attraktiv für Clients machen. Aber das möchte ich ja eben nicht. Habe VDSL100 und möchte natürlich auch ordentlich Traffic machen. Nur die Box scheint damit ein Problem zu haben.
 
Da kommt aber dann auch seeeeehr viel Traffic über deinen Anschluss zusammen, allein bei 1024kb kommen schon locker 5 TB durch.

Probiere es doch aus für den Anfang, kannst später ja wieder raufdrehen.
 
Zuletzt bearbeitet von einem Moderator:
Ja, ich komme jeden Monat auf 3 - 4 TB. Wäre vermutlich weitaus mehr, wenn die Box sich am Vectoring Anschluss nicht dauernd resyncen würde.

Ich habs jetzt mal auf 1024 runtergedreht.
 
Die Behauptung aus der AVM-KB kann ich nicht so richtig glauben ... m.W. sind die reservierten Datenstrukturen (z.B. für den Packet-Accelerator) durchaus begrenzt.

Beispiel:
Code:
root@FB7490:~ $ cat /proc/net/avm_pa/brief
Version        : For Linux 3.10.73 ( #0 SMP Fri Oct 27 15:02:22 CEST 2017 )
State          : enabled
HW State       : enable
BSessions      : 0
Sessions       : 2
Max Sessions   : 35
Sessions (dead): 0
Sessions (free): 253
Queuelen       : 0
Rx pkts/secs   : 9
Fw pkts/sec    : 0
Ov pkts/sec    : 0
Rx pakets      : 2545758
Rx bypass      : 1401640
Rx ttl <= 1    : 0
Rx broadcast   : 0
Rx search      : 1144118
Rx match       : 70009
Rx modified    : 48456
Fw pakets      : 67557
Fw local       : 19300
VPID1 : RX          0 TX          8 eth0
VPID2 : RX     168857 TX     316706 eth1
VPID3 : RX          0 TX          0 eth2
VPID4 : RX          0 TX          0 eth3
VPID5 : RX     104477 TX    1098340 wasp
VPID6 : RX          0 TX          0 ptm_vr9
VPID7 : RX      37754 TX     129161 internet
root@FB7490:~ $
Ich weiß zwar auch nicht, ob nicht doch beim Erreichen von 255 Sessions (2 aktive + 253 freie sieht man oben) einfach ein neuer "Block" aufgemacht wird, aber die Kernel-Quellen für den PA sind ja durchaus verfügbar und da kann man nachlesen, was geschieht, wenn es keine freien Sessions für den PA mehr gibt.

Wobei die Anzahl der Einträge in den Hardware-Tabellen garantiert auch begrenzt ist und zwar nicht erst auf die 2 ** 16 Einträge, die theoretisch für Portnummern bei TCP/UDP möglich wären, für die man eine Zuordnung im Connection-Tracking verwalten will (bzw. eher muß).

Auch andere Stellen beim "kdsld" würde ich anders lesen, als es der KB-Artikel suggeriert:
Code:
root@FB7490:~ $ cat /proc/kdsld/dsliface/internet/ipmasq/global
Transparent: 0
LastMasqPort: 61000
FreePorts[TCP]: 4096
FreePorts[UDP]: 4096
FreePorts[UDPLITE]: 4096
FreePorts[ICMP]: 4096
FreePorts[GREPPTP]: 4096
FreePorts[DCCP]: 4096
FreePorts[SCTP]: 4096
# Mappings: 44
# Entries: 6
Portrange: 61000-65096 (4096)
root@FB7490:~ $
Wenn ich nur 4096 freie Portnummern fürs Mapping pro Protokoll habe, kann ich nicht 5000 Verbindungen gleichzeitig verwalten.

Ich denke eher, daß der KB-Artikel unglücklich formuliert ist und sich eher darauf bezieht, ob die Box Verbindungen pro Client limitiert bzw. noch aus der guten alten Zeit einfach mitkopiert wurde (für die 7170 gibt's diesen Eintrag hier auch in Deutsch) und da war dann vielleicht tatsächlich schon der Speicher, der für's CT zur Verfügung stand, ein limitierender Faktor ... außerdem hatte der AR7 m.W. noch keine Hardware-Beschleunigung.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: mongole
Wenn ich nur 4096 freie Portnummern fürs Mapping pro Protokoll habe, kann ich nicht 5000 Verbindungen gleichzeitig verwalten.
Klingt einleuchtend. Ich würde das gerne verdoppeln. Ist ohne Custom Firmware nicht möglich, nehme ich an?
 
Der "kdsld" ist "Closed Source", da geht auch mit eigener Firmware nicht wirklich etwas.

Wobei Du ja vielleicht bei 3072 bis 4000 noch auf der sicheren Seite bist, wenn für Deine anderen Zwecke die knapp 100 möglichen Portnummern noch ausreichen (bzw. die 25%, wenn Du max. 3K Verbindungen zuläßt) - soviele simultane Verbindungen wirst Du selbst ja dann nicht mehr nutzen, solange Du nicht ständig Downloads mit irgendwelchen Managern machst, die viele Verbindungen über längere Zeiten offenhalten. Ein paar eigene Internet-Browser bringen selbst auf mehreren Geräten ja nicht soviele Verbindungen zusammen bzw. bei HTTP/1.1 oder gar HTTP/2 sollte dann ja auch eine Verbindung pro Server für mehrere Requests ausreichen.
 
soviele simultane Verbindungen wirst Du selbst ja dann nicht mehr nutzen, solange Du nicht ständig Downloads mit irgendwelchen Managern machst, die viele Verbindungen über längere Zeiten offenhalten.
Naja wie gesagt, ich betreibe ein Tor-Relay. Das könnnen schon mal 6000 TCP-Verbindungen sein, die über einen längeren Zeitraum offengehalten werden.
Wenn das mit der Fritte nicht geht, brauche ich wohl einen neuen Router. Aber mit DECT gibt es da ja leider nicht viel Auswahl.
 
Das ist aber auch bekannt, daß einige Consumer-Router (und AVM-Geräte zeichnen sich jetzt nicht gerade dadurch aus, daß man da alles passend einstellen kann bis zur letzten Stellschraube) für den Betrieb eines Tor-Relay nicht geeignet sind.

Zitat aus dem Tor-Wiki:
If you run it behind a consumer-level router at home you will have to try and see if your home router can handle it or if it starts failing.
Ich würde mal sagen, daß bei Dir das "or if it starts failing" zu den denkbaren Interpretationen des beschriebenen Fehlerbildes zählt.

Da wirst Du Dich vielleicht tatsächlich nach einem anderen Gerät als Edge-Router umsehen müssen - am besten einem, das auch auf der WAN-Seite "normale Linux-Komponenten" (wie "iptables", auch fürs CT) verwendet und nicht wie AVM einen komplett eigenen WAN-Stack. Da dann die FRITZ!Box als "exposed host" drangehangen und parallel dazu den RasPi für das Tor-Relay und die FRITZ!Box wäre nicht mehr im Weg, verliert aber natürlich einige ihrer Fähigkeiten, die auf einem kaskadierten Router nicht funktionieren (z.B. Failover bei Ausfall von DSL, DynDNS-Aktualisierungen, usw.).
 
So, ich werde mir nun mal den Bintec be.IP plus anschauen. Der Händler wird beim Hersteller die technischen Spezifikationen erfragen und mir ggfs. sogar eine Testumgebung zur Verfügung stellen. Schauen wir mal.

EDIT

Antwort bzgl. der maximalen Verbindungen:

die Anzahl der TCP/IP-Sessions wird bei Bintec durch die Anzahl der NAT-Sessions limitiert.

Der Tabellen-Wert "NatMaxSessions" ist im Standard mit 4000 definiert.

Mögliche Werte dieses Feldes sind von 1-65535.

Die Maximalgrenze - ab der der Router an den Rande seiner Funktion kommt - wird dabei
"lediglich" durch die CPU und den RAM des jeweiligen Modells limitiert.

Laut telefonische Auskunft des Bintec Support ist diese Grenze bei einer be.ip+
ab circa 12.000 bis 14.000 Sessions erreicht.

Das klingt doch schon mal gut :)
 
Zuletzt bearbeitet:
Zuletzt bearbeitet:
So, sehr lange hats gedauert, einen neuen Router habe ich immer noch nicht :)

Geplant ist der Turris Omnia II, der aber wohl erst irgendwann in 2023 verfügbar sein wird.

Ich habe es nun aber mal geschafft, meine FritzBox zu flashen:

Firmware: 113.07.29 rev92201
Freetz: ng-19969-dbee5ecb7

Nun habe ich also Zugriff auf die Box.

Was kann ich nun tun, um den dsld mit eigenen Settings starten zu lassen? Eine Option gibt es:

usage: dsld dsld [options]
options:
[...]
-r INTEGER - Portrange for IPMASQ. (0)

Und wie müsste das genau aussehen?
 
So. Omnia gekauft und frisch in Betrieb genommen. LuCi meldet: Active Connections: 413 / 262144 (0%)

Damit werde ich zurechtkommen, denke ich :p
 

Anhänge

  • waterfox_N14v1Q1U4B.png
    waterfox_N14v1Q1U4B.png
    69.5 KB · Aufrufe: 47
So. Omnia gekauft und frisch in Betrieb genommen. LuCi meldet: Active Connections: 413 / 262144 (0%)
OpenWrt ist einfach das beste Router OS. AVM ist Amateur Hour dagegen.

Und wenn man mal einen richtig funktionierenden Router gehabt hat, will man auch nicht mehr zum Consumer-Spielzeug zurück.
 
Und wenn man mal einen richtig funktionierenden Router gehabt hat, will man auch nicht mehr zum Consumer-Spielzeug zurück.

Bei mir war es umgekehrt. Bin 2012 von einem Router mit OpenWRT zu einer Fritzbox gewechselt (als "Edge-Router"). Der OpenWRT-Router ist nun nur noch mein "Reise-Router".
 
  • Like
Reaktionen: KunterBunter
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.