@UPC-Bug schrieb:
Ich habe festgestellt, dass das DHCP-Lease auch 1h ist.
Das Problem ist nicht die zu kurze Mietdauer der vom DHCP-Server ausgeliehenen, öffentlichen IP-Adresse. Sondern dass die Mietdauer nicht erfolgreich vom DHCP-Client verlängert werden kann (DHCP-Refresh). Nach dem Ablauf der (nicht frühzeitig, verlängerbaren) Mietdauer muss der DHCP-Client eine Zwangstrennung der bestehenden Netzwerkverbindung durchführen. Siehe für mehr Informationen das Kapitel “DHCP-Refresh” im Wikipedia:
https://de.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol
Wenn das EuroDOCSIS-Kabelmodem (hier: Giga Connect Box) im Router-Modus betrieben wird und der DHCP-Refresh (Verlängerung der Mietdauer der ausgeliehenen IP-Adresse) nicht funktioniert, so muss man sich an den technischen Support von UPC Cablecom wenden (Tel. 0800 66 88 66) und die Mangelbehebung einfordern.
Hier ein Beispiel eines EuroDOCSIS-Kabelmodems im Router-Modus, bei welchem der DHCP-Refresh nicht funktioniert:
https://community.sunrise.ch/t5/Connect-Box/High-Package-loss/m-p/155052#M3964
Arbeitet das EuroDOCSIS-Kabelmodem im Bridge-/Modem-Modus und funktioniert der DHCP-Refresh nicht? Wenn ja, dann sollte als erstes die Einhaltung der “Gute Performance”-Regeln Nr 1 bis und mit Nr. 4 kontrolliert werden:
https://community.sunrise.ch/t5/Internet-mit-Modem/Diagnose-Tool-der-Connect-Box-sagt-quot-Ihr-Heim/m-p/100045/highlight/true#M4573
Die eigene Hardware-Firewall/Router muss aus Sicherheitsgründen eine SPI-fähige Firewall sein (Stateful Packet Inspection).
https://de.wikipedia.org/wiki/Stateful_Packet_Inspection
https://www.golem.de/news/it-sicherheit-auch-kleine-netze-brauchen-eine-firewall-1910-143624.html
Ist die eigene Hardware-Firewall/Router nicht SPI-fähig, sollte die eigene Hardware-Firewall/Router aus Sicherheitsgründen durch eine SPI-fähige Firewall ersetzt werden!
Auf der eigenen Hardware-Firewall/Router ist zu prüfen, ob die Firewall für alle Verbindungen den Zustand der Verbindung in einer Zustandstabelle nachführt (“keep state”) und somit die Firewall als SPI-Firewall arbeitet.
Eine korrekt konfigurierte SPI-Firewall lässt vom Internetanschluss eingehende Datenpakete nur durch, wenn zu vorgängig ausgehenden Datenpakete ein entsprechender Eintrag in der Zustandstabelle der SPI-Firewall erstellt wurde. Einträge zu “toten” Verbindungen werden automatisch aus der Zustandstabelle der SPI-Firewall entfernt.
Beim Einhalten der “Gute Performance-Regeln” Nr. 1 und mit Nr. 4 fordert der in der eigenen Hardware-Firewall/Router integrierte DHCP-Client eine IPv4-Adresse beim DHCP-Server an.
Auf der eigenen Hardware-Firewall/Router ist zu prüfen, ob die SPI-Firewall mit einer entsprechenden Firewallregel die als Broadcast UND Unicast mit Zielport UDP Port 67 (destination port) vom DHCP-Client über den Internetanschluss versendete Datenpakete durchlässt.
https://de.wikipedia.org/wiki/Broadcast
https://de.wikipedia.org/wiki/Unicast
https://de.wikipedia.org/wiki/Port_(Protokoll)
Der Einsatz einer Firewallregel für eingehende DHCP-Datenpakete (UDP Port 68) ODER neue Verbindungen ist aus Sicherheitsgründen nicht empfehlenswert. Siehe dazu:
https://community.sunrise.ch/t5/Internet-mit-Modem/DHCP-Lease-Problem/m-p/163929#M8895
Auf der eigenen Hardware-Firewall/Router ist zu prüfen, ob DHCP-Pakete von der Firewall verworfen werden (DROP). Verworfene DHCP-Pakete können nicht vom DHCP-Client, DHCP-Server oder “DHCP Relay Agent” empfangen werden!
Hier ein Beispiel einer eigenen Hardware-Firewall/Router, deren SPI-Firewall DHCP-Pakete verwirft (Fritzbox/FRITZ!box):
https://community.sunrise.ch/t5/Internet-mit-Modem/DHCP-Lease-Problem/m-p/163863#M8890