Doppelter Ping auf öffentliche IP von Fritzboxen nicht möglich

[konga]

Hallo,

Ich weiss nicht ob es schon mal jemand bemerkt hat, aber bei vielen Fritzboxen (z.b. w501v, w503, 7170, 7240, 6360) antworten nicht mehr auf Ping der Internetadresse so bald dieses häufiger als 1x pro Sekunde vorkommt. z.B. 2 Leute pingen gleichzeitig die Box aus dem Internet.

Das ist ein Problem wenn man einen Dauerping laufen lässt und irgend jemand in der großen weiten Welt zufällig die IP auch anpingt.
Es kommt zum Timeout, Bei mir waren das zwischen 2% und 23%. Das stellt die Überwachung mit Nagios etc. in Frage.

Das Problem besteht nur auf der WAN Seite, LAN seitig antwortet die Box immer.
Dies wird vermutlich ein Security Feature sein.

Weiss jemand wie man diese Beschränkung lockern kann?


Mfg,
Konga

[konga]

ginge vielleicht ein freetz patch?

[Sebsaa]

Das Problem ist sogar wenn man man im LAN die dyndns Adresse der Box anpingt, der erste Ping läuft noch, alle folgenden nicht mehr und brechen mit Timeout ab. Bis zur irgendeiner Firmware ging das noch, danach nicht mehr.

Problematisch wird das auch manchmal wenn man dann intern über die dyndns auf den http Server im LAN zugreifen will. Manchmal gehts, manchmal kommt es zu timeouts. Ist mir bisher nicht möglich gewesen dies zu reproduzieren. Von außen ist alles ok.

[sf3978]

Das stellt die Überwachung mit Nagios etc. in Frage.

Wenn Du auf deiner Box eine Firmware hast, die mit iptables (Freetz) funktioniert, kannst Du evtl. nur pings für Nagios zulassen.

[sf3978]

Manchmal gehts, manchmal kommt es zu timeouts.

Das geht immer, wenn man im LAN, die dyndns auf die _interne_ IP-Adresse des Servers umleitet.

[Sebsaa]

das ist portabhängig, nicht alle dyndns dienste laufen unter der gleichen internen ip, daher mach ich mir die arbeit nicht, sondern gebe intern gleich die interne Ip ein. Komisch ist eben, es ging bis vor einigen monaten ohne probleme, erst mit irgendeinem update ging es dann nicht mehr.

[sf3978]

das ist portabhängig, nicht alle dyndns dienste laufen unter der gleichen internen ip, ...

Verstehe ich nicht. In welchem Zusammenhang willst Du was, hiermit sagen/mitteilen?

daher mach ich mir die arbeit nicht, sondern gebe intern gleich die interne Ip ein.

Das Umleiten des "dyndns" im LAN auf die interne IP-Adresse, ist gleichwertig mit dem direkten Benutzen der internen IP-Adresse im LAN. Es gibt User die wollen/müssen ein Gerät (i. d. R. ein Client) im LAN und im Internet benutzen und können aber nur eine IP-Adresse oder nur eine "dyndns" im Gerät eingeben/konfigurieren. Für die ist es sinvoll, im LAN, die "dyndns" auf die intene IP-Adresse umzuleiten und die "dyndns" zu benutzen, denn diese funktioniert auch im Internet (und im LAN).

..., es ging bis vor einigen monaten ohne probleme, ...

Ja, damals hat die FB, noch "hairpin nat" (oder gleichwertig) gekonnt.

[Sebsaa]

bedeutet, dass nicht alles bei mir was extern erreichbar ist und erreichbar sein soll intern unter der gleichen internen IP erreichbar ist. Zwingt einen ja keiner den ftp und http server auf der gleichen internen IP laufen zu lassen, als Beispiel. Kommt noch ein bisschen was hinzu. Also wenn ich jetzt die dyndns adresse auf die interne IP leite, kann ich auf eins zugreifen, auf den rest jedoch nicht, dann kann ich auch alles so lassen wie es ist, und erstmal mit dem Bug der FritzBox leben.

[sf3978]

bedeutet, dass nicht alles bei mir was extern erreichbar ist und erreichbar sein soll intern unter der gleichen internen IP erreichbar ist.

Das ist eine Frage der Konfiguration. Möglich wäre das schon. Wenn Du von _extern_, Dienste direkt auf der Box erreichen willst, musst Du evtl. noch ein Portforwarding mit der ar7.cfg einrichten/konfigurieren. Mit der "dyndns" von intern, wäre das nicht erforderlich.

Also wenn ich jetzt die dyndns adresse auf die interne IP leite, kann ich auf eins zugreifen, auf den rest jedoch nicht, ...

Wenn Du die "dyndns" auf die interne IP-Adresse umleitest, dann kannst Du auf all das zugreifen, auf das Du auch mit der internen IP-Adresse zugreifen kannst. Was bei dir "eins" und "rest" ist, weiß ich nicht.

... und erstmal mit dem Bug der FritzBox leben.

Das ist kein Bug in der FritzBox, das ist Absicht. Denn warum sollte man im (W)LAN über die externe (öffentliche) IP-Adresse auf die FritzBox zugreifen wollen/müssen, außer aus Bequemlichkeit/Unwissen/Unfähigkeit von Softwareentwickler und/oder Gerätehersteller/etc., etc. ?

[Sebsaa]

Glaub wir reden aneinander vorbei.

Wenn ich intern den http Server unter der 1. IP am Laufen hab, und den ftp Server unter der 2. IP, forwarde ich Port 80 auf die 1. IP und Port 21 auf die 2. IP.

Nun greif ich extern über beispiel.dyndns.org über den browser auf den http server zu, alles ok, oder extern über beispiel.dyndns.org und ftp Programm auf den FTP Server, auch alles ok.

Wenn ich das intern mache bekomme ich timeouts und muss jeweils die interne ip eingeben. Aber auch nicht immer, manchmal geht es auch so. Nun leite ich beispiel.dyndns.org auf die interne IP um, aber welche? Die vom http server, vom ftp server, SCP Zugang vom gateway,...........?
Was ist mir dann wichtiger, genau alles gleich wichtig. Also schenken und so lassen wie es ist, manchmal geht es ja

Meiner Meinung nach ist das sehr wohl ein Bug, weil 1. ging es mal, und 2. konnte das sogar mein fli4l Linux Router damals ohne weiteres.

[sf3978]

Nun leite ich beispiel.dyndns.org auf die interne IP um, aber welche?

Man leitet beispiel.dyndns.org im (W)LAN auf die interne IP-Adresse des Gerätes um, das auch die externe (öffentliche) IP-Adresse hat. Zu anderen (einzelnen) Servern im (W)LAN, muss man dann von diesem Gerät (intern) weiterleiten. Diese interne Weiterleitung, wird aber auch für den Zugriff aus dem Internet (d. h. von extern über beispiel.dyndns.org) benötigt.