Maximale Anzahl Connections bei der Connect Box

pato · 2020-09-11T21:55:41+00:00

Sunrise Community - Kunden helfen anderen Kunden rund um die Themen Fernsehen, Internet, Telefon und Mobile. Jetzt registrieren!

pato

Hi Zusammen

Ich habe mal etwas bezüglich der Performance der Connect Box im Bridge Modus getestet. Bei etwa 4000 aktiven Connection scheint die CB in die Knie zu gehen. Mein eigener Router (Ubiquiti ER-X) hat dabei nicht mal 2% CPU Last und etwa 50% RAM Auslastung.

Was ich nicht ganz verstehe, wieso das überhaupt im Bridge Modus eine Rolle spielt.

In diesem Zustand lässt sich meistens auch das Webinterface der CB nichit mehr öffnen.

@millernet kennst du dieses Problem schon?

Könnte wohl auch bei Filesharing zum Problem werden, wobei dort wohl viel weniger Connections genutzt werden.

Hat eine Giga Box möglicherweise mehr Performance?

@Sunrise_Team kann ich eine GigaBox auch mit dem 300er Abo haben?

Ich habe einen Tor Relay (ohne Exit) und der produziert aktuell gut 4000 Connections (NAT Translations auf dem Router) parallel aufgrund der aktuellen Weltlage, ansonsten “nur” etwa 3000 und dann funktioniert die CB wunderbar.

pato

Heute hatte ich das Problem wieder und habe noch zwei weitere Tests gemacht, die auf die CB als Schuldigen deuten.
Zum einen passiert in diesem Zustand nichts mehr, wenn ich vorne den Knopf an der CB drücke, eigentlich sollten dann ja die anderen Symbole anfangen zu leuchten.
Zum anderen habe ich einen PC direkt via LAN an die CB angehängt, der bekam nicht mal mehr eine IP. Beim 300er Abo sollte ich ja eigentlich zwei Public IPs bekommen, oder wurde das mal geändert?

pato

Danke für die Tipps. Habe nun ein paar Einstellungen angepasst, mal schauen wie sich der Ram und die Verbindungen verhalten.
Infos dazu habe ich von hier:
https://www.reddit.com/r/HomeNetworking/comments/5thg2g/heavy_traffic_on_edgerouter_lite_causes_network/

Wobei ich folgende Einstellungen angepasst habe (waren alle auf Default):
set system offload ipv4 table-size 16384
set system conntrack table-size 524288
set system conntrack expect-table-size 16384

GrandDixence

@pato schrieb:
In die Knie gehen im Sinn von, keine weiteren Verbindungen mehr möglich. Kein DNS kein Nix (also auch kein Ping mehr auf IPs).

Typisches Fehlverhalten von “billigem Hardware Offloading”. Ubiquiti EdgeRouter-Produkte nutzen “billiges Hardware Offloading” um Datenübertragungsraten im Bereich von 1000 MBit/s zu erreichen.

https://help.ui.com/hc/en-us/articles/115006567467-EdgeRouter-Hardware-Offloading

“Billiges Hardware Offloading” geht neben dem Linux Kernel vorbei und birgt Sicherheitslücken.

https://forum.turris.cz/t/wan-to-lan-throughput/175

https://www.cron.dk/iptables-stats-from-edgerouter-via-snmp-part1/

https://de.wikipedia.org/wiki/Iptables

Wer meine Aussagen nicht glauben schenken mag, darf gerne mit Wireshark und zweien Port-Mirroring-fähigen Switches den Netzwerkverkehr auf WAN- und LAN-Seite des EdgeRouters gleichzeitig aufzeichnen und auswerten. Siehe dazu die “Allgemeine Fehlersuche und Fehlereingrenzung” gemäss Beitrag Nr. 3:

https://community.sunrise.ch/t5/Connect-Box/Gigaconnect-Aussetzer/m-p/152213#M3445

Mit dem Abschalten des “Hardware Offloading” auf dem EdgeRouter werden die Probleme (und die gute Performance) verschwinden.

Bei Routern auf Linux+IPtables-Basis ist für die Fehlersuche der Einsatz von conntrack sinnvoll. Siehe dazu:

https://forums.suse.com/discussion/comment/59615

https://www.lancom-forum.de/fragen-zum-thema-ipv6-f46/aussetzer-bei-der-ipv6-konnektivitaet-t18293.html#p104122

Als eigene Hardware-Firewall/Router für einen Internetanschluss bis 300 MBit/s sollte bereits ein Raspberry PI 4 genügen:

https://www.lancom-forum.de/fragen-zur-lancom-systems-routern-und-gateways-f41/vdsl-umzug-glasfaser-neuer-router-t17926.html#p101750

Der Raspberry Pi 4 mit Ubuntu 20.04 LTS ist meine aktuelle Empfehlung als Hardware-Firewall/Router von langsameren Internetanschlüssen. Beim Einsatz des Raspberry Pi 4 sollte die Firewall (iptables) korrekt gemäss dem oben stehenden Link (forums.suse.com) konfiguriert werden!

Der Prime Mini 5 mit Ubuntu 20.04 LTS ist meine aktuelle Empfehlung als Hardware-Firewall/Router für schnelle Internetanschlüsse ab 300 MBit/s bis 940 MBit/s. Der Prime Mini 5 kann mit zwei Ethernet-Anschlüssen bestellt werden. Der Prime Mini 5 ist ein lüfterloser Intel NUC der 8. Generation. Der Prime Mini weist ein Kühlgehäuse auf, welches aus einem Stück Aluminium aus dem Vollen gefräst wurde.
https://klangkonzept.at/primemini_neu/

Dieses Aluminium-Kühlgehäuse ermöglicht eine hocheffiziente Kühlung wie aus dem Lehrbuch. Wegen diesem Aluminium-Kühlgehäuse ist der PrimeMini leider sehr teuer in der Anschaffung.

https://primecomputer.ch/

https://primecomputer.sharepoint.com/:b:/s/Channel_Support/EQNJ-gaUARxAt-KVceMeCA0Bbxsi8e97vkRZ0xRD_-fmlQ?e=P6T2TH

https://de.wikipedia.org/wiki/Next_Unit_of_Computing

Auch beim Einsatz des Prime Mini 5 sollte die Firewall (iptables) korrekt gemäss dem oben stehenden Link (forums.suse.com) konfiguriert werden!

Der Intel NUC der 11. Generation mit 2 Ethernet-Anschlüssen (2× 2.5 GBit/s) mit Ubuntu 20.04 LTS ist meine aktuelle Empfehlung als Hardware-Firewall/Router für schnelle Internetanschlüsse ab 940 MBit/s bis 2.5 GBit/s. Dabei ist der Einsatz eines stromsparenden Prozessors mit einer TDP < 16 W zu empfehlen. Zum Beispiel der Intel Core i3-1115G4. Der Intel NUC der 11. Generation kann als NUC11TNHi30L mit 2 Ethernet-Anschlüssen bestellt werden (Hohe Bauhöhe; Dual LAN). Leider ist der NUC11TNHi30L mit einem Lüfter ausgestattet. Also (noch) NICHT lüfterlos erhältlich.

Vielleicht wird der Intel NUC der 11. Generation eines Tages lüfterlos als Prime Mini 6 oder mit einem passenden, lüfterlosen Kühlergehäuse von Akasa erhältlich sein:
https://www.akasa.com.tw/update.php?tpl=product/product.list.tpl&type=Fanless%20Chassis&type_sub=Fanless%20NUC

Eine ausführliche Anleitung zur Konfiguration eines Linux-Rechners als eigene Hardware-Firewall/Router findet man im Beitrag unter:
https://www.lancom-forum.de/fragen-zum-thema-firewall-f15/bandbreite-zum-surfen-zur-ausenstelle-begrenzen-t17321.html#p106507

Kaufempfehlungen im Bereich > 2.5 GBit/s gibt es unter:
https://community.swisscom.ch/t5/Internet-Allgemein/Pfsense-XGS-PON-IPv6-Swisscom-TV-und-weiteres/td-p/644109/page/3
ab Beitrag Nr. 50. PfSense oder OPNsense ist heute für Anfänger offenbar erste Wahl…

pato

In die Knie gehen im Sinn von, keine weiteren Verbindungen mehr möglich. Kein DNS kein Nix (also auch kein Ping mehr auf IPs).
Der ER-X sollte 1 Gbit/s eigentlich gerade noch so schaffen, 300 Mbit/s (was ich jetzt habe) ist ganz locker.
Ich verstehe nur noch nicht ganz weshalb die CB im Bridgemodus überhaupt etwas zu arbeiten hat, ausser das Signal zu konvertieren.

millernet

Wie quantifizierst du “in die Knie gehen”? Ich habe damit keine Erfahrungen, da ich kein Tor Relay oder dergleichen beschtreibe. Ich müsste einen z.B Client-Server Test machen mit netcat (https://unix.stackexchange.com/questions/191118/how-to-artificially-open-many-tcp-connection-on-a-host-testing):

Server:

#!/bin/bash
for port in seq 50000 54000;
do
netcat -l $port &
done

Client:

#!/bin/bash
for port in seq 50000 54000;
do
netcat serverIP $port &
done

Dieser wäre aber nicht repräsentativ, da ich UPC Business Kunde bin und ein CITAH Modem von Hitron habe.

Was ich dir allerdings sagen kann, dass ich eher schlechte Erfahrungen mit einem EdgeRouter 12 gemacht habe. Das Gerät ware mehr schlecht als recht in der Lage, die von UPC gebotenen 1 Gigabit/s überhaupt zu NATen. Das Routing war auf Gigabit-Niveau möglich (daher “EdgeROUTER”), sobald aber die NAT dazwischen war, ging das Gerät in die Knie resp. hat mit vielen retries (“Retr” bei iperf3) https://community.sunrise.ch/t5/Connect-Box/Giga-Internet-weniger-Speed-als-vorher/m-p/151370#M3229