Giga Connect Box

Sunrise_Team · 2019-11-14T15:14:29+00:00

Sunrise Community - Kunden helfen anderen Kunden rund um die Themen Fernsehen, Internet, Telefon und Mobile. Jetzt registrieren!

fastforward

Hallo fritzi07,
Ja das ist auch ein Bug der Box mit der IP Adresse.. Was für eine Firmware hast DU drauf ?

fritzi07

Update:

Seit dem 24.11.2019 funktioniert die VPN-Verbindung, obwohl ich nichts verändert habe. Speed kann ich nicht testen, da ich das VPN via Hotspot teste.

Bezüglich Giga-Box: Ich kann ohne Neustart der Box nicht auf sie zugreifen (Lan direkt an Giga-Box angeschlossen, doch die Eingabe der IP-Adressen 192.168.0.1 bzw. 192.168.100.1) führen zu einem Time-Out

fafa24

Ich habe dieses Thread erst jetzt bemerkt. Sehr interessante technische Hinweise.

@Sunrise_Team - Ich habe auch eine IPSEC (VPN) Verbindung. Mit der alten connect Box lief es sehr stabil. Seit der neuen Box leider nicht mehr. Ich bin aktiv in einem anderen Thread. Ich vermute auch die Connect Box geht nach einer Zeit in den “schluckauf” mode. Ich habe Phasen wo es für 7 Tage oder jetzt neu 10 Tage ohne Probleme lief. Nun wieder ständig Probleme.

Das äussert sich so: Internal LAN surfen, ich gebe eine Adresse ein. Das SSL-Schloss ändert sich sehr schnell auf die Zieladresse, aber die Seite baut sich nicht auf. Danach kommt der Timeout. Ich lasse mein Netzwerk von extern überwachen und erhalte Email, bei Fehler. Gerade seit Sonntag gibt es ein Alert alle 20-30 Minuten. Ich habe das Modem am Montag früh für 1 Minuten vom Strom genommen. Es ist irgendwie Zufall, wenn das Modem für eine Zeit stabil läuft..

Danke

millernet

@Pelle schrieb:

Per welches Datum folgt ein Update? Vor allem möchtee ich wissen, per wann der myStrom WiFi Switch wieder mit der Giga Box verbunden werden kann.

Deine myStrom Wifi Switches haben vermutlich gar nichts mit der hier geschilderten Problematik zu tun, sondenr haben einfach Mühe wenn du im Dual-Band-Betrieb mit 2.4 und 5 GHz die gleiche SSID resp. den gleichen WLAN-Netzwerknamen nutzt. Versuch mal zwei verschiedene SSID’s für dein WLAN zu vergeben, z.B MartinRouterKing_5G und MartinRouterKing_2G. Dann sollte es klappen. Auch iRobots machen gerne solche muken, auch mit teurem Equipment von Cisco, Meraki oder Unifi. Es hat nichts mit UPC zu tun, sondern das Problem liegt an deinem Gerät.

GrandDixence

Aus Sicherheitsgründen sollte das Heimnetzwerk mit einer SPI-fähigen Firewall (Stateful packet inspection) geschützt werden:

https://www.golem.de/news/it-sicherheit-auch-kleine-netze-brauchen-eine-firewall-1910-143624.html

https://www.lancom-systems.de/docs/LCOS/referenzhandbuch/#topics/aa1263023.html

https://en.wikipedia.org/wiki/Stateful_firewall

Ob die Connect Box und die Giga Connect Box eine SPI-fähige Firewall enthalten, ist mir nicht bekannt. Deshalb sollten aus Sicherheitsgründen die “Gute Performance Regel”-Nr. 1 bis Nr. 4 eingehalten werden:

https://community.sunrise.ch/t5/Internet-mit-Modem/Diagnose-Tool-der-Connect-Box-sagt-quot-Ihr-Heim/m-p/100045/highlight/true#M4573

Die SPI-fähige Firewall ist für fragmentierte IP-Pakete aus Sicherheitsgründen so zu konfigurieren, dass entweder fragmentierte IP-Pakete verworfen werden (DROP) oder fragmentierte IP-Pakete re-assembliert werden.

https://www.lancom-systems.de/docs/config/de/refmanual/#topics/aa1264294.html

Das Reassemblieren von fragmentierten IP-Pakete ist rechenintensiv und benötigt bei fehlender Hardwarebeschleunigung viel CPU-Rechenleistung. Hardwarebeschleunigte Reassemblierung von fragmentierten IP-Pakete ist bei Netzwerkkomponenten und Netzwerkkarten im Segment der Privatanwender selten.

Deshalb bricht üblicherweise bei der Übertragung von vielen fragmentierten IP-Pakete die Performance des Internetanschlusses zusammen (=> massiver Einbruch der Datenübertragungsrate). Dieser Sachverhalt wird gerne von böswilligen Menschen für DoS-Attacken ausgenutzt.
https://de.wikipedia.org/wiki/Denial_of_Service

https://www.link11.com/de/blog/bedrohungslage/ip-fragmentierungs-angriffe-was-verbirgt-sich-dahinter/

fritzi07

Vielen Dank und im Anhang die Messung

GrandDixence

Dieser Beitrag ist die Fortsetzung von Beitrag Nr. 9:

https://community.sunrise.ch/t5/Connect-Box/Giga-Connect-Box/m-p/151345#M3219

Anders sieht es bei UDP-“Verbindungen” aus: Grosse UDP-Pakete (> 1472 Byte Nutzdaten) müssen auch bei einem korrekt konfigurierten Internetanschluss (MTU 1500 Byte oder grösser) in mehrere IPv4-Pakete fragmentiert werden.

https://de.wikipedia.org/wiki/User_Datagram_Protocol

Auch schlechte oder falsch konfigurierte, direkt auf IPv4 basierende VPN-Dienste, wie zum Beispiel ein mit ESP realisierter VPN-Tunnel, können Quelle von fragmentierten IPv4-Paketen sein.

https://de.wikipedia.org/wiki/IPsec#Encapsulating_Security_Payload_(ESP)

Beim ISP (oder irgendwo im Internet) können Netzwerkkomponenten installiert sein, welche die Übertragung von fragmentierten IPv4-Pakete drosseln oder gar komplett blockieren.

Siehe dazu das Kapitel 1.1 “Problem Description” vom RFC 7383:

https://tools.ietf.org/html/rfc7383#section-1.1

und die Angaben im Kapitel “MTU Discovery” unter:

https://www.msxfaq.de/netzwerk/grundlagen/mtu.htm

Als Beispiel einer Drosselung der Übertragung von fragmentierten IPv4-Pakete sei die Connect Box von UPC/Cablecom zu erwähnen:

https://community.sunrise.ch/t5/Internet-mit-Modem/ConnectBox-Maximal-15Mbit-s-UDP-Durchsatz/m-p/119400#M6938

Fragmentierte IPv4-Pakete werden zum Beispiel von der Firewall der Connect Box und der Giga Connect Box komplett blockiert, wenn die Option “Blockierung von fragmentierten IP-Paketen” aktiviert ist.

https://community.sunrise.ch/t5/Connect-Box/Connect-Box-installiert-VPN-zur-Firma-funktioniert/td-p/123465

Deshalb sollte das Versenden von fragmentierten IPv4-Pakete möglichst vermieden werden:

- UDP nur für die Realisierung von VPN-Tunneln und zeitkritische Anwendungen wie Sprachtelefonie, Videokonferenz, Gaming, Zeitsynchronisation (NTP) einsetzen.

Sprachtelefonie und Zeitsynchronisation (NTP) nutzen generell kleine UDP-Datenpakete, sollten demnach nicht anfällig für fragmentierte IPv4-Pakete sein.

Bei Videokonferenzen und Gaming sollte mit Wireshark kontrolliert werden, ob die UDP-Datenpakete gross sind und deshalb die IPv4-Pakete fragmentiert werden müssen. Für den Wireshark-Einsatz siehe letzter Abschnitt von Beitrag Nr. 3 unter:

https://community.sunrise.ch/t5/Connect-Box/Gigaconnect-Aussetzer/m-p/152213#M3445

- VPN-Server und VPN-Client sollte die Fragmentierung der im VPN-Tunnel zu übertragenden Nutzdaten ermöglichen, so dass keine fragmentierten IP-Pakete wegen dem VPN-Tunnel versendet werden müssen. Zum Beispiel für einen mit IKEv2/IPSec realisierten VPN-Tunnel mit:

a) Automatische IKEv2-Fragmentierung gemäss RFC 7383

https://tools.ietf.org/html/rfc7383

b) Reduzierter MTU für den VPN-Tunnel => MTU-Reduktion der Nutzdaten in der VPN-Software.

Die MTU-Reduktion für den VPN-Tunnel ist erforderlich, da der MTU des VPN-Tunnels wegen dem Verschlüsselungsanteil deutlich kleiner als 1500 Byte ist. Siehe dazu Beitrag Nr. 59:

https://community.sunrise.ch/t5/Connect-Box/Giga-Connect-Box/m-p/153647#M3686

Der MTU des VPN-Tunnels sollte mit Ping-Messungen durch den VPN-Tunnel mit gesetztem "don’t fragment (DF) bit“ gemessen werden. Siehe dazu Beitrag Nr. 9.

https://community.sunrise.ch/t5/Connect-Box/Giga-Connect-Box/m-p/151345#M3219

- DNS-Server von UPC Cablecom nutzen. Diese DNS-Server gestatten über EDNS eine maximale DNS-Nachrichten-Länge von 512 Bytes. Somit werden bei der Nutzung dieser DNS-Server keine fragmentierten IP-Pakete für die Übertragung der DNS-Nachrichten versendet.

https://de.wikipedia.org/wiki/Extended_DNS

fastforward

Hallo,
Ich Stimme Dir bei allem zu - Vor allem das 1500 der Default ist. UPC scheint aber genau damit ein Problem zu haben. Ping (ICMP) ist hier nicht das Problem sondern UDP.

GrandDixence

Bevor “MSS Clamping” aktiviert wird oder die MTU “künstlich reduziert” wird, ist die MTU des Internetanschlusses mit Ping-Messungen (zum Beispiel mit tick.switch.ch) mit gesetztem "don’t fragment (DF) bit“ festzustellen:

https://de.wikipedia.org/wiki/Maximum_Transmission_Unit

https://en.wikipedia.org/wiki/Maximum_transmission_unit

https://de.wikipedia.org/wiki/Maximum_Segment_Size

https://en.wikipedia.org/wiki/Maximum_segment_size

Ein korrekt vom ISP konfigurierter Internetanschluss für Privatanwender hat ein MTU von 1500 Byte (oder grösser). Siehe auch:

https://community.sunrise.ch/t5/Connect-Box/Citrix-und-UPC-Verbindung-sehr-schlecht/m-p/171225#M7692

Bei einem MTU von 1500 Byte (oder grösser) werden die IPv4-Pakete einer TCP-Verbindung im Upstream (Upload-Richtung) vom EuroDOCSIS-Kabelmodem nicht fragmentiert.

Bei einem MTU von 1500 Byte (oder grösser) werden die IPv4-Pakete einer TCP-Verbindung im Downstream (Download-Richtung) vom CMTS (oder einer anderen Netzwerkkomponente des ISP) nicht fragmentiert.

https://de.wikipedia.org/wiki/Cable_Modem_Termination_System

Ist der Internetanschluss vom ISP korrekt konfiguriert, wird ein Ping mit gesetztem "don’t fragment (DF) bit“ und 1472 Byte Nutzdaten mit einem Pong beantwortet:

Windows: ping -l 1472 -f tick.switch.ch

Linux: ping -M do -s 1472 tick.switch.ch

Bitte die oben genannten Ping-Messungen an der Giga Connect Box im Bridge-/Modem-Modus durchführen und die Messresultate hier veröffentlichen.

Der Einsatz von “MSS Clamping” (oder eine künstliche MTU-Reduktion) ist nur bei falsch konfigurierten oder schlechten Internetanschlüssen erforderlich.

Siehe für mehr Informationen zu MTU, “MSS Clamping” und den Ping-Messungen:

https://www.msxfaq.de/netzwerk/grundlagen/mtu.htm

Erfahrungsgemäss ist in der Schweiz bei Internetanschlüssen von den ISP UPC/Cablecom und Swisscom kein “MSS Clamping” (oder eine künstliche MTU-Reduktion) erforderlich, da der MTU des Internetanschlusses mindestens 1500 Byte beträgt!

Fortsetzung in Beitrag Nr. 11:

https://community.sunrise.ch/t5/Connect-Box/Giga-Connect-Box/m-p/151351#M3221

fastforward

Hallöchen Zusammen,
Hallo @Sunrise_Team

Hallo @Daniele_Sunrise

Da UPC augenscheinlich nicht in der Lage das Problem zu lösen, werde ich es hier nochmals kurz für euch zusammenfassen:

Das Problem tritt auf, wenn folgende zwei Bedingungen erfüllt sind:

1. GigaBox muss im Bridge Modus sein.
2. UDP Traffic muss stattfinden(zb. Gaming, und oder IPSEC VPN)

Wie ein Vorredner richtig erkannt hat dürfte im Bridge Modus rein gar nichts passieren, da dass Gerät in einen “dummen” Zustand fallen sollte, bei welchem er nichts mehr machen muss.

Auch schon ältere Router von UPC (Das weisse stehende Ding) hat mit UDP Traffic ein Problem, dort äusserte sich aber das Problem nur soweit, dass einfach nur 10 Mbits - 15Mbits UDP Traffic duchging und nicht mehr.. Das Surfen war aber nicht beeinträchtigt. Dieses Problem hat UPC NIE gelöst und war augenscheinlich auch noch nicht genug für UPC. Diesmal haben Sie es hingebracht, dass wenn UDP Traffic daherkommt, das die Box in “schluckauf” Modus wechselt und nur noch vereinzelte TCP durchlässt. 🙁

So ein Fataler Fehler und es nicht zu merken ist aus meiner Sicht eine absolute Glanzleistung und benötigt höheres technisches Fachwissen.

Liebes @Sunrise_Team
Ich bin nicht auf der Payroll von UPC, obwohl es euch wohl gut tun würde technsiches Fachwissen zu haben im Bereich Netzwerk.

Geht doch nun bitte zu eurem Hersteller von den billig Modem/Router (Giga Box) - ich hoffe echt ihr habt nicht viel bezahlt für die Dinger - und kommuniziert, dass ein erster Workaround wäre die MTU Size auf 1350 runter zu nehmen im Bridge Modus - Dann sollte das Kätzchen wieder schnurren. Ich hoffe das dies der CPU vom Router mitspielt 🙂

Für Alle Anderen,
Der Workaround für euch:

2019-11-22 19_09_18-Untitled Diagram - VP Online.png

Nachtrag: Bitte beachtet das Ihr dies auch wieder zurückstellen müsst, ansonsten fragmentiert euer Router/Firewall alles und es kann zu Problemen führen bei höheren Durchsätze. Mein Speedtest kommt aktuell noch cirka auf 850-900Mbits, aber besser als immer die Unterbrüche. Ich habe aber zur Sicherheit noch ein Abo von der Konkurenz gekauft 😉

Ich gehe davon aus, wenn dies die Lösung all eurer Probleme ist, dass ich dies auf meiner Jahresrechnung auch so wieder finden kann. Seit dem 28.9.2019 habe ich ein Case offen bei euch und rede schons eit Monaten von den Problemen und Lösungsansätze.

LG Alex

Pelle

Per welches Datum folgt ein Update? Vor allem möchtee ich wissen, per wann der myStrom WiFi Switch wieder mit der Giga Box verbunden werden kann.

fritzi07

Wie gesagt, ich habe ausser der “neuen” Giga Connect Box nichts geändert und bei der alten hat alles problemlos funktioniert, auch im Modem-Mode mit demselben ASUS-Router (und höherem Speed)

- Welcher Client (Hersteller, Modell) und Softwareversion benutzt du?

Keine Software sondern Windows 10 Home Version 1909 und IOS 13.1.3

- Läuft der VPN Service auf deiner Synology als Server?

VPN Server läuft auf Synology

- Was für ein Modell des Synology’s hast du im Einsatz?

DS916+

- Welche UDP und andere Ports hast du auf der Synology (Firewall) und auf deinem Router weitergeleitet?

UDP, Ports 500, 1701, 4500

Ich hatte in dieser Woche immer wieder folgende Fehlermeldungen:

DHCP renew warning - Field invalid in response v4 option

No range response received - T3 time-out

Daniele_Sunrise

@fritzi07, kannst du uns zu deiner Konstellation der Anschlüsse detaillierte Angaben machen.

L2TP-VPN zur Synology Diskstation über UDP nicht mehr:

- Welcher Client (Hersteller, Modell) und Softwareversion benutzt du?

- Läuft der VPN Service auf deiner Synology als Server?

- Was für ein Modell des Synology’s hast du im Einsatz?

- Welche UDP und andere Ports hast du auf der Synology (Firewall) und auf deinem Router weitergeleitet?

Liebe Grüsse
Daniele

fritzi07

Leider sind es nicht nur Speed-Probleme

Seit der Giga Connect box (Bridge Mode mit ASUD RT-AX88U) funktioniert auch L2TP-VPN zur Synology Diskstation über UDP nicht mehr. Ich könnte noch verstehen, wenn es im Router-Mode Probleme gäbe, aber im Bridge-Mode müsste die Box nur als Modem funktionieren.

Ich habe die alte connect Box noch nicht zurückgesendet und hoffe ich kann mein funktionierendes “Happy” Home 600 mit der alten Box wieder aufschalten lassen.

Ein sehr enttäuschter früherer sehr zufriedener Cablecom/UPC - Kunde.

Ahmet_sunrise

Hi @Diamond1337,

Danke für dein Feedback und deine Zusammenarbeit.

Liebe Grüsse,

Ahmet

Diamond1337

Hallo zusammen. Habe heute eine UPC Umfrage du den Problemen der Connect Box in Verbindung mit Gaming bekommen und ausgefüllt. ich hoffe dass die Probleme bald behoben sind.

HB9GFX

Ich bin durch die Suche nach UDP Problemen hier auf diesesn Treat gestossen. Ich hab genau diese Probleme und auch von Anfang an seit 2016. Auch nach Umstellung in 2018 auf UPC Business 1000 sind die Probleme die Gleichen. Erst mit Hitron cng V3 dann Hitron CHita und DOCSIS 3.1 und später wieder Downgrade auf Hitron cgn V4 . Alles bringt nix. Ich habe aber mitlerweil herausgfunden, dass alle von UPC eingesetzten Modems einen Puma 6/ Puma 7 Prozessor verwenden. Dieser scheint die Probleme zu machen. Aber da UPC ja keine eigenen Modems akzeptiert, lässt sich das Problem nicht lösen. Bei Unitimedia in Deutschland setzt man keine Puma6/7 Hardware mehr ein, da gibt es auch keine UDP Probleme mehr. Also dieses Problem lasst sich auch seitens UPC nur bedingt lösen, da die Modems das Problem sind. Solang da von UPC keine Änderung passiert, wird sich das nicht ändern. Software Updates nützen da nichts, es geht nur über die Firmware des Prozessors und der kann aus der Ferne und ohne Zerlegen des Modems nicht upgegraded werden, da der Prozessor dafür in einen Flashmodus versetzt werden muss und direkt mit einem bestimmten Gerät ähnlich eines JTAG Modems geflasht werden müsste.
Aber das garantiert noch immer nicht dass es danach geht.

tomtheone

Hi Daniele

Weisst du warum mein Beitrag “gelöscht” wurde? Ich denke der Betrag ist hilfreich für viele mit dem Problem.

Ich beschreibe kurz, wie ich das geschilderte “Schluckauf” Problem evtl. lösen konnte.

Mein Setup

Datacenter

UPC Business Internet 1′000
1Gbit/s - 100Mbit/s
Subnet mit 16 IP-Adressen
Firewall auf Basis von pfSense

Office

UPC 1Gbit/s
1Gbit/s - 100Mbit/s
DHCP IP Adresse
Firewall auf Basis von pfSense

Beide Standorte via ipsec VPN verbunden.

Wichtig: Die nachfolgenden Informationen gelten nur für Giga ConnectBoxen im Bridge-Mode und auf ipv4 provisioniert. Ich schreibe nur über die Office-Seite.

Details
Ich hatte soeben eine längere T-Conf mit Remote Session mit einem ehemaligen Netzwerktechniker von UPC. Ich habe die Lösung und die technischen Hintergründe dazu im Detail erfahren.

Die Ursache ist wohl da zu suchen, dass UPC die ipv4 Pakete irgendwo in ipv6 enkapsuliert und die mögliche Standardgrösse eines Datenpakets dadurch reduziert wird - ich hoffe ich habe dies so korrekt wiedergegeben.

Die Lösung ist auf der Firewall MSS auf 1380 zu setzen. Damit werden alle TCP Pakete,welche durch die Firewall geforwardet werden, auf eine Grösse von 1340 bytes + 40 bytes header getrimmt und fliessen damit sauber durch die Netze von UPC. Die Einstellung MTU gilt hier in diesem Beispiel nur für Traffic welcher die Firewall selber generiert - war in unseren Tests also weder hilfreich noch notwendig. Die Setting wird aber ggf. notwendig sein, wenn die Firewall irgendwie downloads aus dem Internet machen möchte um sich selber upzudaten oder ähnliches. Im Zweifel jeweils beide Settings auf 1380 setzen.

Alternativ, wenn Ihr keine Firewall habt oder dies an der Firewall nicht einstellen könnt, dann kann an den Endgeräten (zb. Windows 10) die MTU-Size heruntergefahren werden, dann müsst Ihr dies aber an allen Endgeräten machen, welche bei euch im Netz sind. Dies scheint bei Personen welche mit einem Notebook in vielen verschiedenen Netzwerken unterwegs sind ggf. so oder so notwendig zu sein. In Zukunft ist davon auszugehen, dass mit weiteren IP Anwendungen (ipv4overipv6, VPN, etc) diese Problematik weiter zunehmen wird.,

Damit scheint alles bisher sehr stabil zu laufen.

Update

Die Setting MSS 1380 auf der Firewall gesetzt, kostet mich ca. 100Mbit/s Download performance.
Die Setting MSS 1380 auf der Firewall + dem PC gesetzt, kostet mich ca. 60Mbit/s Download performance

Die Upload Performance ist nicht sichbar schlechter.

Die Firewall Hardware

Intel® Celeron® CPU J1900 @ 1.99GHz
Current: 1992 MHz, Max: 1993 MHz4 CPUs: 1 package(s) x 4 core(s)
AES-NI CPU Crypto: No
8GB DDRIII 1600MHz
4x Intel I211-AT- 10/100/1000 Controller |

Gruss

millernet

tomtheone Ich finde die Erklärung der encapsulation in IPv6 ziemlich eigenartig. Wie kann dies sein? Dann müssten die Pakete grundsätzlich fragmentiert werden, was sich mit

einfach herausfinden lässt. Ist die MTU auf 1500 eingestellt resp. die TCP MSS auf 1460, dann habe ich an meinem eigenen UPC Business Anschluss sicher keine Fragmentierung.
Was genau war bei dir eigentlich das Problem zwischen dem “Datacenter” und deinem “Haus”? Ein “Datacenter” über einen HFC-Anschluss zu betreiben, finde ich ziemlich mutig von dir 😂. Nur Glasfaser ist Glasfaser.

tomtheone

millernet
Wir hatten die Fragmentierung für uns nachweisen können. Es betrifft nur das Pivatkundenabo. Gruss

Nächste Seite »