Bei einem ordentlichen Netzwerkaufbau wird hinter dem Kabelmodem eine eigene Hardware-Firewall betrieben. Echte BSD-Fans nutzen dazu Vanilla-FreeBSD, OPNsense oder PFsense. Netzwerkdatenverkehr mit dumpcap am entsprechenden LAN- oder WAN-Port dieser Hardware-Firewall aufzeichnen und in Wireshark auswerten. Alternativ kann der Netzwerkdatenverkehr auch per "Port Mirroring" an einem Switch aufgezeichnet werden. Siehe dazu:
Sunrise Community - Kunden helfen anderen Kunden rund um die Themen Fernsehen, Internet, Telefon und Mobile. Jetzt registrieren!
community.sunrise.ch
Der 1906VA-4G entwickelt sich bei mir zum echten Problemfall. Gerade habe ich ein neues Austauschgerät erhalten, jetzt spinnt das neue Gerät. Mein Verdacht geht auf den Content-Filter. Folgendes Vorgehen, seit der 1906VA-4G da ist: 1. Aktuelle Firmwa..
www.lancom-forum.de
Alles andere ist Kaffeesatzlesen...
Nebst den Hinweis auf die üblichen "Verdächtigen" wie:
- zu hohe Paketverlustrate
- Path-MTU < 1500 Byte
- ICMP-blockierender Router oder Firewall
- Drosselung oder Blockierung von fragmentierten IP-Pakete
- Fehlkonfiguration der VPN-MTU bei Internetanschlüssen mit einer Path-MTU < 1500 Byte
- Für Glasfaser-Internetanschlüsse zu langsame Hardware-Firewall
- Auf UDP-Datenpakete basierende VPN-Lösung ohne Path MTU Discovery”-Verfahren (PMTUD)
möchte ich nachfolgend auf das Thema "ECN" eingehen. Hier mal "eine Ladung" Links zu den üblichen "Verdächtigen". Vielleicht hilft dieser Lesestoff weiter:
schrieb: Meine Internet Box 3 erreicht nur 2.4 gbit down/up. Das Fiber kabel und SFP für 10gbit ist in der Box installiert und am Stromkasten angeschlossen. Was kann man da machen? Vielleicht die Swisscom Internet Box durch Hardware ersetzen, welche auch 10 GBit/s-Ethernet-Ports im Heimnetzwerk...
community.swisscom.ch
Hallo zusammen, ich habe ein Problem mit Igel-Clients an allen unserer Außenstandorte. Wir haben ein paar neue Clients UMS6 im Einsatz. Alle diese Clients haben Probleme bei der Kommunikation mit HTTPS-Servern, welche an unserem Hauptstandort stehen...
www.lancom-forum.de
Sunrise Community - Kunden helfen anderen Kunden rund um die Themen Fernsehen, Internet, Telefon und Mobile. Jetzt registrieren!
community.sunrise.ch
Sunrise Community - Kunden helfen anderen Kunden rund um die Themen Fernsehen, Internet, Telefon und Mobile. Jetzt registrieren!
community.sunrise.ch
Eine Eigenart von Apple-Betriebssystemen (MacOS, iOS, tvOS) ist die standardmässig aktive Unterstützung von ECN. Siehe dazu:
Sunrise Community - Kunden helfen anderen Kunden rund um die Themen Fernsehen, Internet, Telefon und Mobile. Jetzt registrieren!
community.sunrise.ch
Sunrise Community - Kunden helfen anderen Kunden rund um die Themen Fernsehen, Internet, Telefon und Mobile. Jetzt registrieren!
community.sunrise.ch
Frank's Microsoft Exchange FAQ
www.msxfaq.de
Tritt ein Apple-Produkt auf einen nicht-ECN-fähigen Internetanschluss, kann dies zu "bizarren" Problemen führen. Gegen Bufferbloat verwende ich den Raspberry Pi als "Traffic Shaper", wie es unter:
Hallo zusammen, ich dachte, ich wäre der Lancom Firewall mächtig, aber ich komme an dieser Stelle gerade nicht weiter bzw. sehe ich den Wald vor lauter Bäumen nicht mehr... Involviert sind zwei Router Lancom 1781EF , 10.12.0612RU11. Einer ist das zen..
www.lancom-forum.de
beschrieben ist. Da die Internetanschlüsse über das Fernsehkabelnetzwerk (EuroDOCSIS) generell nicht ECN-fähig sind, verwende ich die iptables-Firewallregel:
-A POSTROUTING -o eth0.14 -p tcp -m conntrack --ctstate NEW -j ECN --ecn-tcp-remove
zum Ausfiltern der "ECN capable"-Flags in den TCP SYN-Datenpakete (von Apple-Produkten). Die genaue Wirkungsweise dieser iptables-Firewallregel kann man in # man iptables-extensions nachlesen. Die Verwendung eines "Traffic Shaper" ist generell an jedem stationären Internetanschluss zu empfehlen. Der zur Zeit beste unter FreeBSD erhältliche und im Produktiveinsatz einsetzbare "Traffic Shaper" ist der fq_codel. Siehe dazu:
Guten Tag, gibt es unter FreeBSD die Moeglichkeit, ein Programm oder einen Prozess beim Netzwerkzugriff einzuschraenken (bis dahin, ihn komplett zu untersagen)? Mit rctl kann man ja viele Resourcen limitieren, aber Netzwerk ist nicht darunter. Ein jail oder eine VM waeren natuerlich moeglich...
www.bsdforen.de
Beim Einsatz eines "Traffic Shaper" ist in der entsprechenden man-page nachzuschlagen, ob dieser "Traffic Shaper" standardmässig ECN verwendet oder nicht. Muss der "Traffic Shaper" eine TCP- oder UDP-Netzwerkverbindung drosseln, so signalisiert er dies bei aktivem ECN mit der Meldung “Congestion experienced” (CE) im IP-Paket oder bei inaktivem ECN mit dem Verwerfen des IP-Pakets (DROP). Verworfene oder verfälschte IP-Datenpakete haben bei TCP-Verbindungen die gleiche Auswirkung wie eine zu hohe Paketverlustrate. Es kommt zu einer Sendewiederholung (TCP-Retransmission) und im Nachgang zu einer Drosselung der Datenübertragungsrate.