[Gelöst] PING Limit

[eYo]

Hallo Leute,

mir ist heute durch Zufall aufgefallen, dass die Fritz!Boxen offenbar eine Art ICMP Limit haben.
Habe die folgenden Fritz!Boxen testen können, alle hatten das gleiche Problem:

- Fritz!Box 7330 107.05.50 rev24690 (freetzd)
- Fritz!Box 7390 84.05.60 rev26731 RC (freetzd)
- Fritz!Box ? (nicht freetzd) [kann jetzt nicht genau sagen welche Box das ist, ist von nem Kollegen und der kann gerade nicht gucken]
- Fritz!Box 7270 Fritz!OS: 05.53 (nicht freetzd)


Ich starte 4 Pings von 4 verschiedenen physischen Servern aus, jeweils mit einem Limit von 100 Stk.
Ich weiß nicht, nach welchem "Prinzip" da favorisiert wird, aber es ist auffällig, dass maximal 2 Pings "gleichzeitig" funktionieren. Ich habe auf allen 4 Servern dann Packet Loss zu den Gegenstellen. Während des Packet Losses kann ich aber weiterhin per SSH darauf arbeiten, die Webinterfaces aufrufen, usw.
Also offenbar schafft eine einzelne Box von AVM nicht mehr als maximal 2 ICMPs zu verarbeiten.

Test mit einem Speedport an einer Telekom Leitung mit VDSL 25 (Speedport wird nur als Modem verwendet, möglicherweise geht es daher mit dem Ding - denn sonst ist das Teil ja wahrscheinlich auch nur eine Fritz!Box mit anderer Software?) war negativ, also da scheint es zu gehen. Alle 4 Pings hatten 0% Packet Loss.


Hat das schonmal jemand beobachtet? Woran könnte das liegen? Die Kisten sind ja jetzt Leistungstechnisch nicht unbedingt "schlecht"?


Edit: Natürlich sind die Fritz!Boxen an anderen Standorten, daher kann ich die DSL-Leitung ausschließen!


Weiter gehts hoffentlich hier: http://www.ip-phone-forum.de/showthread.php?t=265392&p=1970445

 

[eisbaerin]

Die Pings (und anderes) werden gefiltert, damit die FB nicht tot gepingt werden kann.

 

[eYo]

Gut, das macht Sinn, aber bereits nach 4 Pings? Ich habe halt Probleme beim Monitoring, wenn 2 Monitore einen Ping abfeuern, ist die Wahrscheinlichkeit groß, dass der eine Packet Loss hat und annimmt, die Fritz!Box wäre offline.
Ich nehme an, das Limit kann man nicht anheben?

Edit: Zumal es doch vermutlich mehr Ressourcen kostet, sowas zu filtern, als einfach ein echo zurück zu senden?

Edit2: Ich sehe auch gerade folgenden Thread, darauf wurde allerdings nie geantwortet: http://www.ip-phone-forum.de/showthread.php?t=235996

 

[eisbaerin]

Dann lass die Pings mal nur z.B. alle 60s laufen (und nicht im Sekundentakt), dann sollte das von 4 Stationen gehen.

 

[eYo]

Du wirst lachen, ich mache alle 10 Minuten 1 ICMP um zu prüfen ob der host up oder down ist. Das geht auch 24 Stunden gut, morgens um 5:18 Uhr jedoch schlägt das fehl, aus welchen Gründen auch immer. Jedenfalls ist mir im Zusammenhang damit halt aufgefallen, dass die Boxen da wohl ein Limit haben.

Allerdings ist das für mich so keine Lösung, da erhöhe ich das Limit lieber.
Habe dafür bisher folgendes erfolglos probiert:

echo 0 > /proc/sys/net/ipv4/icmp_ratemask # vorher 1000
echo 0 > /proc/sys/net/ipv4/icmp_ratelimit # vorher 6168

Von: http://www.dslreports.com/forum/r26398698-2.6.22-icmp-ratelimit-value-of-0-not-working-correctly-

Ich denke nicht, dass damit das wirksam wird, eine neue Verbindung mit dem Internet hergestellt werden muss. Dem Kernel ist es schließlich scheiß egal ob er im Internet ist oder nicht.

Jemand noch andere Ideen? iptables ist bei mir nicht aktiv, daher kann ich das ausschließen. Da muss doch irgendwas machbar sein.

 

[eisbaerin]

morgens um 5:18 Uhr jedoch schlägt das fehl

Jeden Tag zur selben Zeit? Machen da die FB's ihren reconnect und bekommen eine neue IP?
Und du pings noch auf die alte IP? Dann mußt du den DNS-Cash löschen.

 

[eYo]

IP Wechsel ist jede nacht um 3. Das Problem trat (habe vorhin die Box neugestartet) bis dahin nur bei einer Box auf. 2 Stunden DNS Cache bei einer TTL von 60 Sekunden würde ich daher ausschließen, zumal ich die Google Nameserver nutze und die sich TTL technisch da sogar nicht unbedingt an den Standard halten.

 

[sf3978]

.. um zu prüfen ob der host up oder down ist. ...

Jemand noch andere Ideen?

Wenn der host auf einem TCP-Port lauscht, dann könntest Du statt icmp auch tcp benutzen.

 

[Novize]

Du wirst lachen, ich mache alle 10 Minuten 1 ICMP um zu prüfen ob der host up oder down ist. Das geht auch 24 Stunden gut, morgens um 5:18 Uhr jedoch schlägt das fehl

Stumpf die Zeiten einfach zu erhöhen ist auch nicht das Mittel der Wahl. Du fährst ja auch nicht statt jede Minute ohne zu schauen über eine Kreuzung nur noch alle 10 Minuten, um einen Unfall zu vermeiden sondern sorgst lieber mit anderen Mitteln (übergeordnete Koordination aller Teilnehmer, wie z.B. eine Ampel) für einen kollisionsfreien Verkehrsfluss:
Du musst auch bei der Fritzbox für eine sinnvolle Zeiteinteilung sorgen, denn auch bei wenigen Pings können diese - wie es der Zufall so will - zeitgleich an der Fritz eintreffen. Also sorge per Script dafür, dass
Server 1 um xx:y0 Uhr den Ping startet,
Server 2 um xx:y2 Uhr den Ping startet,
Server 3 um xx:y4 Uhr den Ping startet,
Server 4 um xx:y6 Uhr den Ping startet,
Server 5 um xx:y8 Uhr den Ping startet,

mit
xx => 0..23
y => 0..5

Dann sind immer von Ping zu Ping (zumindest von Deinen Servern aus) eine maximale Zeit Pause dazwischen und die Wahrscheinlichkeit des ICMP-Blockens wird minimiert.
Btw: Das Blocken ist zwar Rechenaufwand, dies geschieht aber im Rahmen einer umfangreicheren DOS-Abwehr und daher spielt nur dieses IMCP-Blocken rechnerisch und vom benötigten Zeitaufwand her keine wirkliche Rolle. Versuche mal, die Box von außen auf offene Ports zu scannen. Auch da ist schnell Schluss mit positiven Rückmeldungen, obwohl irgendwelche Ports trotz allem noch offen sind, werden diese bei dem Scan nicht mehr erkannt, weil eben die Box alles erst einmal blockt.

 

[eYo]

Wenn der host auf einem TCP-Port lauscht, dann könntest Du statt icmp auch tcp benutzen.

Sicher, aber ich rede hier von Nagios-Checks.
Ich will ja wissen ob der Host up ist. Wenn der Service hinter dem TCP down ist, dann ist der Server aber noch da. Da zu selektieren, welcher Service passend wäre um zu prüfen, ob der Host up oder down ist, ist nicht unbedingt die beste Lösung.


===
@Novize:
Das Problem ist, die Check Abstände vom Nagios variieren ja. Wenn ich einen Hostcheck für alle 10 Minuten definiere, ein Service auf CRITICAL wechselt, wird meistens ein Host-Check gemacht um zu sehen ob jetzt wirklich der Service down ist oder der Host. Zu diesem Zeitpunkt würde der "10 Minuten" Interval geändert. Denn ab dem Zeitpunkt des Host-Checks aufgrund des CRITICAL Status des Services, würden neue 10 Minuten fällig. Irgendwann kann also durch gewisse Umstände dieser Interval bei allen Servern gleich sein. Also das beste wäre halt, dieses Limit aufzuheben um dem Problem aus dem Weg zu gehen.


Es ist halt interessant zu sehen, dass die Box nur ein ICMP Paket pro Sekunde durch lässt. Da muss irgendwo ein Limit gesetzt sein, welches man auch wieder entfernen kann, wenn man, wie ich, freetz nutzt und den Kernel bspw. modifiziert. Und genau darauf möchte ich am liebsten hinaus. Wir reden hier von einem Router in einem Haushalt, da mache ich mir keine Gedanken um ICMP DDoS...

 

[Novize]

Also das beste wäre halt, dieses Limit aufzuheben um dem Problem aus dem Weg zu gehen.
...
Wir reden hier von einem Router in einem Haushalt, da mache ich mir keine Gedanken um ICMP DDoS...

Genau deshalb sollte er auch von "Werk aus" geschützt sein. Otto Normalo wird mit Sicherheit nicht wissen, wie er seinen Router schützen kann, nur weil irgendein durchgeknallter Script-Kiddy meint den Router beim Kumpel durch Ping-Floods kollabieren zu lassen.
Daher sollte man auf keinen Fall wegen einer Spezial-Situation einer einzelner Person diesen Schutz von hunderttausenden von normalen Usern aufheben. Wer nagios einsetzt, sollte bei den Routern nicht auf SoHo zurück greifen sondern auch dort Profilösungen bevorzugen.

 

[eYo]

Wie du sicher gelesen hast, redete ich ja auch von mir. Ich möchte bei meinen Routern (Zuhause) das Ping-Limit heraufsetzen. Ich erwarte ja nicht von AVM dass sie diese "Protection" ausbauen.

Ich weiß gar nicht, wieso du mir jetzt eine Grundsatzlehre erteilen möchtest. Ich möchte von meinen Routern, welche sich in meinen 4 Wänden befinden) das Ping-Limit heraufsetzen. Weder AVM noch sonst jemand soll irgendwas ändern, nur ICH. Daher fragte ich, ob jemandem eine Lösung bekannt ist, wie ich mein Ziel erreichen kann.

Du erwartest also jetzt von mir, das ich mir für Zuhause eine Profilösung (a.k.a. Speedport :lach kaufe, weil dieser mehr Pings zulässt als die Fritz!Box - und das nur, weil Nagios eine Profilösung ist?


Ich werde mich mal im Freetz-Forum herumtreiben, da es ja nun geklärt ist, dass es mit AVM zu tun hat und um weitere Hilfe zu erhalten, ich auf die "Kernel modifizieren" option von Freetz angewiesen bin. Vielen Dank.

Bitte schließen.