TwoCom Online-Forum

[MrMAG]

Hallo zusammen.

seit heute bin ich glücklicher? Besitzer eines Vigor 2900, mit welchem ich insgesamt 3 Rechner ans Internet (T-DSL 1000, T-Online flat) ans Internet anbinden will. Auf allen Rechnern laufen P2P-Programme bittorrent oder mldonkey. Die Wahl fiel auf den DrayTek, weil er:

a) traffic shaping beherrt (beherrschen soll) -- es müssen trotz voll ausgenutzertem Upstream (nur 128kbps) noch ein paar SSH sessions laufen können, ohne daß man auf das Echo jedes getippten Zeichens ca. 2 Stunden warten muß und

b) eine relativ ansprechende Zahl von NAT sessions verwalten kann (können sollte).

Erhalten habe ich ihn mit Firmware 2.5.4.1 (deutsch), welche aber nach der Einwahl immer nach ein paar Minuten (max. fünf) gecrashed ist. Also die aktuelle Firmware besorgt 2.5.4.3 (english), das rst-file installiert und alles nochmal neu eingerichtet.

Nun habe ich die folgenden Probleme:

Da die Filesharing-Programme je nur ca. 150 Verbindungen aufbauen ('gezählt' mit "netstat -an|grep -i established|wc -l" -- eingestellt sind jeweils 300, testweise auch 500) vermutete ich, daß der Router ein Problem mit der Verwaltung der NAT-Verbindungen hat. Also im Web-Interface 'Diagnostic Tools/View NAT Active Sessions Table' aufgerufen und da werden mit tatsächlich nur genau 128! Verbindungen angezeigt. Evtl. ist das ja ein Limit der Oberfläche, also habe ich nochmal das telnet-Interface bemüht, zu welchem ich leider keine Doku finden konnte. Per Kommando 'show session' konnte ich dann folgendes zu Tage fördern:

> show session
% Maximum Session Number: 2500
% Maximum Session Usage: 2500
% Current Session Usage: 2499

irgendwie scheinen da die Verbindungen entweder nicht abgebaut zu werden oder ein Timeout ist einfach zu groß (oder ich habe keine Ahnung wie die NAT eigentlich funktioniert). Wie gesagt, die Summe! der hergestellten Verbindungen aller angeschlossenen Rechner ist immer weit unter 1000!

Ich hoffe irgendjemand hier hat eine Lösung für dieses Problem; noch sind ja knapp 2 Wochen Zeit in denen ich Zeit habe, den Vigor zur Zusammenarbeit zu überreden.

-Udo

PS: noch zwei andere Sachen (will da keinen neuen Thread starten, weil ich vorher das Forum nicht gründlich genug durchsucht habe -- eine kurze Suche hat aber noch keine Lösung ergeben)

1. gab es in der alten Firmware die Möglichkeit, Pakete von der Firewall an eine Netzwerkkarte duplizieren zu lassen (d.h. zu Diagnosezwecken dahin zu spiegeln, diese Option wäre später zum Debuggen recht sinnvoll, leider finde ich sie in der neuen und leider noch genauso unübersichtlichen Firmware nicht wieder -- falls jemand weiß wo sie sich versteckt hat... Ich habe allerdings alle Menüpunkte schon mehrfach durchgeklickt und trotz recht vernünftiger Englischkenntnisse nichts entdecken können

Mein Router startet neu, wenn ich in einem Rechner im LAN eine traceroute zu einem Rechner im WAN mache (allerdings nicht bei jeder Ziel-IP). Das war reproduzierbar -- kein Scherz!!! -- die Test-IP habe ich aber leider vergessen. Hat da jemand einen work-around?

[MrMAG]

noch ein Nachtrag...


Ich habe noch etwas herumexperimentiert und noch einen Bug? gefunden. Unter 'View NAT Active Sessions Table' stehen Einträge zu NAT-Sessions eines Rechners, auf dem schon seit gut zwei Stunden kein P2P-Programm mehr läuft. Irgendwie scheinen die Einträge der NAT Tabelle nur bei korrekt beendeten Verbindungen gelöscht zu werden und nicht, wenn einfach auf einer TCP-Verbindung 60? Sekunden lang keine Pakete ausgetauscht werden...

Kann dies jemand mit einem ähnlichen Setup bestätigen?


-Udo

[nobody]

Das mit den 128 Einträgen kann ich bestätigen.
Wann jedoch die Einträge wirklich aus der Tabelle gelöscht werden, kann ich auch nicht sagen.
Bei meinem 2900 sind im Moment ca. 40 Verbindungen offen,
show session sagt derzeit sind 622 sessions verwendet.
Mich hat das bisher nicht gestört, da in meinem Netz nur 2 PC mit P2P software laufen, und das hat immer gereicht.

Schade, dass man die angeblichen 622 Verbindungen nicht listen kann, sonst wäre ja ein vergleich möglich.

Das mit dem Absturz/neustart bei Traceroute ist auch mir bekannt.
viewtopic.php?t=3085&highlight=
Da der router nicht abstürzt sonder "nur" neustartet, und es ja auch nicht immer auftritt und auch nur bei traceroute zu manchen Adressen, ist dieser Fehler im Prinzip nicht so tragisch. Jedoch läßt es vermuten, dass irgendwo ein böser Fehler im betriebssystem ist, der auch unter anderen Bedingungen einen Crash verursachen kann.

Edit: IP Adresse zum testen: 204.9.117.1

[MrMAG]

Vielen Dank für die Info. Leider habe ich keine statische IP, so daß nach einem Neustart eine neue IP dynamisch zugewiesen wird und alle TCP-Verbindungen (und in Zukunft wohl auch alle VPN Tunnel -- die habe ich aber noch nicht eingerichtet) abbrechen. ;( Allerdings scheint die Firmware wirklich SEHR buggy zu sein, dabei ist das Gerät schon eine ganze Weile auf dem Markt. Vielleicht wäre es besser mal alles zum Laufen zu bringen als ständig neue Features hinzuzufügen (und die NAT halte ich für einen Router dieser Art doch schon für mehr oder weniger essentiell ;/ )

Bei mir laufen derzeit 2 PCs, die Betriebssysteme zeigen jeweils 142 bzw. 227 hergestellte TCP Verbindungen an, 'show sessions' sagt aber:


> show session
% Maximum Session Number: 2500
% Maximum Session Usage: 2500
% Current Session Usage: 2274


Das sieht doch sehr nach einem Bug aus. Mit welcher Firmwareversion läuft Dein Router (und wo kann man die downloaden)? Aus dem australischen Forum habe ich einen Link zur neuesten Beta (v2.5.5 RC2), diese allerdings nur als *.all-Datei und hier wurde ja eindringlich hingewiesen, UNBEDINGT die rst-Datei zu verwenden. Bei der Vorgehensweise bin ich doch recht froh, daß ich das VPN noch nicht schon eingerichtet habe ;)

-Udo

[nobody]

Meine FW ist 2.5.4.3 ( genauso wie deine ).
Meiner Meinung nach läuft der Router stabil - mal abgesehen von dem traceroute Bug der wohl auch 2600 und eventuell auch andere vigors betrifft ( der Fehler wurde ja auch erst vor ein paar wochen entdeckt ).

Wenn du eine andere FW ausprobieren willst, kannst Du ja auch mal die 2.5.4.2 probieren - ftp, taiwan. Auch diese läuft stabil.
Meine Vigor erfahrungen sind allerdings eher im (small)-Business-Bereich, dort werden niemals eine derartige menge an Verbindungen benötigt. Ein Linux basierter Router als alternative ( Alter PII/PIII-450 aus der Restekiste + Linux + 256M Ram ) sollte aber auf jeden fall etwa 32768 Verbindungen können. Damit ist aber das VPN nicht so schön einzurichten.

Wenn Du die 2.5.5 Beta probieren möchstest:
Du kannst ruhig die .all datei flashen. Falls Du den Router resetten möchstest, kannst Du das ja immer noch nach dem Flash der Firmware.
Vorher jedoch eine Sicherung der Konfiguration machen, denn falls Du zur 2.5.4.2 zurückmöchtest, musst Du vermutlich wirklich ein reset des routers machen und dann deine Konfiguration zurücksichern.

[cs]

Hi,

Ich habe noch etwas herumexperimentiert und noch einen Bug?
gefunden. Unter 'View NAT Active Sessions Table' stehen Einträge zu NAT-Sessions eines Rechners, auf dem schon seit gut zwei Stunden kein P2P-Programm mehr läuft.

Hast du zusätzlich noch für's P2P-Programm ein Port forwarding eingerichtet? Wenn ja kann ich dir die Ursche erklären... eine richtige Lösung präsentieren... und es kann auch gut sein, dass da ein Fehler in der Firmware beim Löschen der Nat Session's...

Das Problem ist das diverse P2P Programme / Protokolle unklüglicherweise so Programmiert sind, das sie auch noch Stunden nachdem der Client deaktiviert wurde, Anfragen an die entsprechende ip + entsprechender porst stellen... Wenn da jetzt der Client noch laufen würde, würden die entsprechenden "überflüssigen" verbindungen schnell beendet werden werden würden...

Jetzt kommt das große Problem: der Client antwortet nicht. Damit müssten die Verbindungen eigentlich erst nach den jeweiligen Timeout rausfallen.

Ob dies tatsächlich der Fall ist oder nur die Gegenstelle noch vor dem Timeout ein neues Paket schickt und so den Timeout zurücksetzt oder ob hier ein Bug in der Firmware liegt, der verhindert das die Verbindungen nicht gelöscht werden, kann ich leider nicht sagen

Letztendlich fängt die Anzahl deiner Nat Sessions langsam aber doch (leider) recht kontinuierlich an zu steigen... [im worst case bis zum Maximum]

Solange du keinen Standardport benutzt dürfte schon ein wechsel deiner IP die Anzahl der Verbindungen reduzieren... Dein Nachfoger darf sich dann, wenn er pech hat, mit dein gleichen Problemen rumschlagen, da natürlich dann alle weiteren Anfragen bei ihm landen...

Wenn du pech hast kann dir natürlich auch das gleiche passieren...

[cs]

Moin,

So ich hab jetzt mal Antwort von Draytek Support erhalten. Das Verbindungen, die Port forwaring an nicht oder nicht mehr zugeiwesene lokale IP's inititiert wurden, nicht geschlossen wurden ist in det tat ein Bug...

Soll dann in der nächsten Firmware behoben sein... mal abwarten wann die kommt