Beiträge von alfalfa

    Die aktuellen DG-ONTs haben nur einen Ethernet-Port. Die Umstellung bezieht sich auf die "logische" Konfiguration des Internetzugangs. Die DG-Router verwenden je ein VLAN für Internetzugang und Telefonie. Im Prinzip kann man auch einen eigenen Router so konfigurieren, dass er an einem Anschluss funktioniert, der auf DG-Router eingestellt ist. Die technischen Details sind aber dann doch zu viel, um sie hier immer wieder neu zu erklären, zumal es keine Garantie gibt, dass die nötigen Einstellungen immer gleich sind und bleiben. Wenn man den Anschluss umstellen lässt, gibt es keine VLANs und dann ist die Konfiguration des Routers im Grunde sehr einfach und entspricht den Anleitungen. Die Umstellung wird bei der Deutschen Glasfaser automatisiert in der Nacht durchgeführt, i.d.R. zum nächsten Werktag.

    bleibt ja immer noch die Option das NAS einfach in einen anderen Raum umzuziehen

    Das wäre für die Performance auch besser, denn das NAS kann die Leitung zum Router sicher voll auslasten. Dann bleibt für die Internetverbindung nicht viel übrig. VLANs machen zwar aus einer Leitung mehrere virtuelle LANs, aber trotzdem geht alles durch die selbe Leitung.

    Die Verbindung zwischen Router und NT ist normales Gigabit-Ethernet. Du kannst also alle Arten von Verkabelung nutzen, die auch im LAN funktionieren würden, inkl. eines zwischengeschalteten Switches. ABER: Am Anschluss darf nur ein Gerät aktiv sein, i.d.R. ein Router. Wenn an dem Switch weitere Geräte außer dem Router angeschlossen werden sollen, dann müssen die entsprechenden Ethernetports am Switch durch VLANs abgetrennt werden, so dass die Geräte nur mit dem Router kommunizieren können. Wenn der NT diese Geräte "sieht", wird der Anschluss nicht reibungslos funktionieren. Auch der Switch selbst darf in Richtung NT nicht "sichtbar" sein, also mindestens keine DHCP-Anfragen schicken.

    Wenn der Anschluss mit Router von der DG bestellt worden ist, aber die Fritzbox 7490 ein eigener Router ist, dann muss der Anschluss auf "kundeneigenen Router" umgestellt werden. Das kann man über die Hotline beauftragen und dauert in der Regel bis zum nächsten Arbeitstag. Vorher wird die Verbindung nicht funktionieren. Den Router von der DG muss man dann zurückschicken. Ein Etikett für den Rückversand bekommt man auf der DG-Webseite.


    Für Mitleser: Wenn man plant, einen eigenen Router zu verwenden, sollte man den Anschluss direkt ohne Router bestellen. Das spart den Aufwand und die 10 Euro Versandkostenpauschale für die Zusendung des Routers, den man dann doch wieder zurückschicken muss.

    Dann sollten jetzt am NT die LEDs "Power" und "PON" leuchten. Wenn die Fritzbox angeschlossen ist, muss auch noch die "LAN" LED am NT leuchten. Die darf flackern, weil das Datenverkehr anzeigt, aber nicht dauernd aus sein, weil sonst keine Ethernetverbindung zur Fritzbox besteht.


    Nach welcher Anleitung bist du vorgegangen? Die Anleitung "Kundeneigener Router - Anschluss einer AVM FRITZ!Box", die die DG auf ihrer Downloadseite anbietet, ist für die Fritzbox 7590. Die 7490 hat noch keinen dedizierten WAN-Port und wird stattdessen über LAN1 mit dem NT verbunden. Dazu muss auch die Konfiguration angepasst werden. Es gibt eine Anleitung von AVM dafür: FRITZ!Box für Betrieb am Glasfaseranschluss einrichten

    Der erste Schritt der Fehlersuche sind die blinkenden Lichter: Ist am NT alles so, wie es sein soll? Der NT ist das Gerät, in das das Netzwerkkabel zur Fritzbox gesteckt wird. Da es ein neuer Anschluss ist, gehe ich von einem GPON-ONT aus. Das müsste also ein rechteckiges oder quadratisches schwarzes Kästchen mit vier LEDs sein. Die neueren sind die quadratischen Nokia G-010G-Q. Bei beiden GPON-ONT Typen müssen drei grüne LEDs leuchten und die vierte, rote, LED darf nicht leuchten. Welche LEDs leuchten an deinem NT? Wenn der Anschluss in einem alten Ausbaugebiet ist, könnte der NT auch weiß und von Genexis sein. Wenn am NT schon etwas nicht stimmt, muss das zuerst geklärt werden.

    Den Verlauf der Glasfasern auf dem eigenen Grundstück sollte man auf jeden Fall dokumentieren. Dabei ist wichtig, auf dauerhafte Referenzpunkte zu achten, die auch in vielen Jahren noch an der gleichen Stelle und gut erkennbar sein werden. Für Fotos legt man Maßstäbe ins Bild. Mindestens sollte ersichtlich sein, wo und in welcher Tiefe die Abzweigung vor dem Grundstück ist, wo und in welcher Tiefe die Leitung ins Haus kommt und, wenn der Leitungsverlauf keine gerade Linie ist, auch der Weg dazwischen.


    Eine Planauskunft auf dem Niveau, wie man sie für Gas-, Wasser- und Stromleitungen von den Stadtwerken bekommt, wäre schön, aber auch ich empfehle aus Erfahrung eigene Aufzeichnungen. Wenn nicht mal die vom selben Unternehmen beauftragten Bauarbeiter wissen, wo ihre Kollegen etwas verlegt haben, ist der eigene Plan sehr nützlich.

    Das Glasfaserinterface des 100 Mbit/s Switch ist für Multimode-Fasern. Wenn das Glasfaserkabel orange ist, ist es wahrscheinlich OM1 oder OM2. Die Farbe "aqua" (blau-grün, türkis) steht für OM3 oder OM4. Höhere Kategorien ermöglichen größere Reichweiten bei gleicher Geschwindigkeit oder höhere Geschwindigkeit bei gleicher Reichweite. Wie lang ist die Strecke? Es gibt ST-ST-Kupplungen, die man mit dem vorhandenen Glasfaserkabel und einem ST-LC-Patchkabel verwenden kann. Es gibt auch Adapter von ST-Buchse auf LC-Stecker. Ich würde aus mechanischen Gründen die erste Variante bevorzugen. Die Dämpfung der zwei zusätzlichen Steckverbindungen sollte kein Problem sein.

    Entschuldige bitte, das hatte ich falsch in Erinnerung. Ich habe das gerade mal nachgebaut und tatsächlich werden die Policy Rules vor der NAT-Umkehr ausgewertet, so dass die einfache Entscheidung auf Basis der Source-Adresse nicht funktioniert, wenn der Router Port-Forwarding macht. Anhand der Server-Adresse kann man nicht unterscheiden, welche Routing-Tabelle verwendet werden soll. In dem Fall ist dann doch die Entscheidung auf der Basis einer Firewall-Markierung nötig. Die einfachere Lösung funktioniert nur für Dienste auf dem Router selbst.

    Das ist kein SNAT sondern die Aufhebung des DNAT. Die Umkehr der Adressumsetzung geschieht nicht durch eine separate Regel sondern automatisch beim Connection Tracking, das vor der Routing Entscheidung stattfindet. Die Diagramme beschreiben nur den Weg vorwärts durch den Router.

    Der Router hat zwei "WAN"-Adressen, eine aus 100.64.0.0/10 direkt vom Anschluss und eine öffentliche auf dem Tunnelinterface. Damit Verbindungen, die über den Tunnel hereinkommen, den Server erreichen, muss der Router Destination-NAT (Port-Forwarding) machen. Die Antworten vom Server schreibt der Router auf dem Weg zurück wieder auf seine öffentliche Adresse als Source um. Das passiert in Folge der Portweiterleitung automatisch durch Connection-Tracking. Wenn ein solches Paket den Router verlässt, kann man mit Policy Based Routing für diese Source-Adresse eine andere Routing-Tabelle und darin den Tunnel als Interface auswählen. Ich kann hier wie gesagt nur das Konzept beschreiben, da ich nicht weiß, wie Ubiquiti diese Funktionen umsetzt.

    Deine ganzen Beschreibungen lesen sich so, als hättest du mehrere Internetzugänge, die mehr oder weniger zufällig die Oberhand haben und bei jedem Wechsel die existierenden Verbindungen stören/beenden. (Du schreibst schon ganz am Anfang von einem zweiten Gateway/Hotspot). Wenn du deine Probleme in den Griff bekommen willst, solltest du dein Testsystem auf das Nötigste reduzieren, vielleicht wirklich einen PC direkt am ONT anschließen und eine "Einwahlverbindung (PPPoE)" mit deinen Zugangsdaten konfigurieren und testen. Erst wenn der einfache Aufbau funktioniert, solltest du Schritt für Schritt wieder Komponenten hinzufügen und jedesmal testen, dass noch alles wie erwartet läuft.

    Du möchtest über Interface B ankommende Verbindungen vollständig über Interface B abwickeln, während alle anderen Verbindungen Interface A nutzen sollen. Das ist möglich und es gibt mehrere Varianten.


    Einfach und eher "klassisch" ist Source-NAT, so dass diese Verbindungen alle vom VPS zu kommen scheinen. Mit einer Route, die alle Pakete zu dieser Adresse durch Interface B (den Tunnel) schickt, ist das Thema dann erledigt. Der Nachteil dieser Methode ist, dass der Server die echten Adressen der Clients nicht sieht.


    Die Variante für Fortgeschrittene hat diesen Nachteil nicht. Unter Linux ist das Stichwort Policy Routing. Damit kann die Routing Entscheidung von mehr Attributen abhängig gemacht werden, indem verschiedene Routing-Tabellen z.B. in Abhängigkeit von der Source-IP-Adresse verwendet werden. Wenn man dann eine zusätzliche Tabelle festlegt, die für Pakete mit der öffentlichen IP-Adresse als Source-Adresse verwendet werden, dann wird diese Tabelle ausgehend genau für die Verbindungen genutzt, die über diese IP Adresse ankommen.


    Wenn man das auf einem Server im LAN realisieren möchte, der mehrere Router zur Auswahl hat, aber für beide Arten von Verbindungen die gleiche (nicht-öffentliche) Adresse verwendet, kann man auch mit Connection-Tracking und Firewall-Markierungen (fwmark) arbeiten, aber für den beschriebenen Anwendungsfall ist das unnötig kompliziert.


    Welche Funktionalität Ubiquiti verfügbar macht und wie das da konfiguriert wird, kann ich dir aber nicht sagen.

    Fehlbedienung dürfte sich statistisch bei einer ausreichenden Zahl Menschen in etwa gleich auf alle Kohorten (Kunde von Provider X) verteilen.

    Für Fehlbedienung an sich kann man dem vielleicht noch zustimmen. Für Abweichungen vom Tarif durch Fehlbedienung wird das Ergebnis aber sicher zu Ungunsten der schnelleren Tarife verzerrt. Die Bandbreiten, die von Glasfaserkunden bemängelt werden, sind an den meisten anderen Anschlüssen schließlich gar nicht erreichbar. Die Geschwindigkeit eines VDSL50 Anschlusses wird nicht wesentlich durch normal funktionierendes WLAN und Powerline ausgebremst.


    Praktisch wird es oberhalb von 94 Mbit/s und dann nochmal ab ca. 500 Mbit/s schwierig, ein zuverlässiges Speedtestergebnis zu bekommen. 94 Mbit/s ist eine Grenze, weil AVM Ports teilweise vorkonfiguriert auf Fast-Ethernet begrenzt (Eco-Modus), und weil Router, Access Points, Powerline-Modems und Endgeräte teilweise nur Fast-Ethernet Ports haben. Fast-Ethernet ist auch die Rückfallgeschwindigkeit, wenn die Verkabelung nicht in Ordnung ist (fehlende Paare, falsche Paarigkeit, ungeeignetes Kabel, etc.). 94 Mbit/s ist die Nettoübertragungsrate von Fast Ethernet. Ab dem halben Gigabit machen oft Powerline und auch schnelles WLAN schlapp. Außerdem ist dann die CPU-Last von noch gar nicht so alten Routern eine Engstelle. Die wurden zwar schon lange mit Gigabit-Schnittstellen für LAN und WAN verkauft, aber auf der anderen Seite des Routers ist erst seit wenigen Jahren mehr als 100 Mbit/s verfügbar. Selbst von Endgeräten kann man nicht unbesehen erwarten, dass sie das Gigabit auch dann schaffen, wenn es verschlüsselt übertragen wird.


    Es sind also nicht nur häufige Fehlbedienungen, wie Messungen über WLAN oder Powerline, die an schnellen Anschlüssen zu einer erhöhten Zahl an Falschmessungen führen, sondern oft wird auch die unzureichende Ausstattung im LAN gemessen, obwohl die Messung an sich korrekt durchgeführt wird. Diese Engstellen würden an langsameren Anschlüssen einfach keine Rolle spielen.


    Das heißt nicht, dass man Glasfaseranschluss-Providern irgendwas durchgehen lassen sollte. Die Deutsche Glasfaser verspricht ihre Tarifbandbreiten zu 100%. Der Gigabittarif ist mit 90% im Download die einzige Ausnahme davon, was nachvollziehbare technische Gründe hat. Die Übertragungsgeschwindigkeit darf und sollte man also erwarten. Die Fehlersuche fängt man trotzdem in dem Bereich an, den man selbst kontrolliert.

    Ja, allerdings bedeutet ein Wechsel des Endgeräts am ONT, dass man eine Stunde warten muss, bevor man eine IP-Adresse bekommt.

    Das ist bei der Deutschen Glasfaser so, aber hier geht es um die Stadtwerke Neumünster. Die verwenden außerdem PPPoE. Man kann also einen PC auch direkt am ONT betreiben und muss dafür wahrscheinlich nicht warten, aber der PC muss dann entsprechend für eine PPPoE Verbindung mit Zugangsdaten konfiguriert werden.

    Die günstigste Möglichkeit für einen Anschluss an einen 1000BASE-BX10 HÜP ist ein Medienkonverter mit einem entsprechenden SFP-Modul. Die gibt es z.B. bei fs.com:


    Unmanaged Mini Gigabit Ethernet Medienkonverter, 1x 10/100/1000Base-T RJ45 auf 1x 1000Base-X SFP, Eurostecker

    SFP Transceiver Modul mit DOM - 1000BASE-BX BiDi SFP 1310nm-TX/1490nm-RX 10km LC SMF für FS Switches


    Ansonsten ist auch der TP-Link MC220L Medienkonverter mit dem TP-Link SM321B SFP-Modul beliebt, wobei die Empfangswellenlänge etwas vom Standard abweicht, aber i.d.R. wegen des breiten Eingangsbereichs trotzdem funktioniert.


    Zu beiden braucht man dann noch ein passendes Glasfaserkabel. Das ist ein Simplex Single-Mode Kabel. Am Ende des Kabels, das in das SFP-Modul gesteckt wird, ist für beide genannten SFPs ein (blauer) LC-UPC-Stecker richtig. Der Stecker an der anderen Seite muss zur Buchse am Hausübergabepunkt passen. Das ist wahrscheinlich eine (grüne) LC-APC-Buchse, aber das kann einem der Provider sagen.


    Wenn man etwas mehr Kontrolle über die Funktion des Glasfaserinterfaces haben möchte, kann man statt des Medienkonverters auch einen managed Switch mit SFP-Port verwenden, aber das kostet auch mehr.

    Lass mal eine Weile lang ping -t 8.8.8.8 laufen, mindestens so lange, bis dir anderweitig eine Störung der Verbindung auffällt. Dabei sollten praktisch keine Paketverluste auftreten. Wenn doch, dann wiederhole das, aber mit der IP-Adresse der Fritzbox (die, die du im Ereignislog geschwärzt hast).

    Im Ereignislog sind eigentlich nur Unterbrechungen zu sehen, die durch die Fritzbox selbst veranlasst werden, weil eine tägliche Verbindungstrennung gegen 2 Uhr morgens konfiguriert ist. Die Traceroutes sind unauffällig, bis vielleicht auf das IPv6-Trace zu google.de. Sind die Traces zu einer Zeit gemacht worden, wenn der PC Verbindungsprobleme hat?

    Ich beobachte in letzter Zeit auch häufiger, dass Suchmaschinen irgendwas "verifizieren" wollen oder Captchas präsentieren. Die IP-Adresse ist z.Z. aber nur bei "uceprotect" gelistet, was eine sehr fragwürdige DNS-BL ist, da die Betreiber eine schnellere Löschung aus ihrer Liste gegen Geld anbieten und bewusst ganze Netzbetreiber listen, um deren Nutzer in Sippenhaft zu nehmen. Natürlich kann man als Nutzer nicht verhindern, dass Email-Admins solche Listen trotzdem verwenden. Gleiches gilt für den äußerst zweifelhaften Einsatz von DNS-BLs, die eigentlich nur die Vertrauenswürdigkeit von Email-Servern abbilden sollen, um stattdessen Webseitenbesucher mehr oder weniger argwöhnisch zu beäugen.


    Die Frage, ob von CGNAT-Adressen Spam verschickt wird, sollte sich eigentlich gar nicht stellen, denn diese Adressen sind als dynamische Kundenadressen gelistet, von denen überhaupt keine Mail ohne Authentifizierung versendet werden sollte. Einen Mailserver an einer solchen Adresse zu betreiben, ist aus mehreren Gründen sinnlos. Eingehende Emails sind wegen CGNAT ohnehin nicht möglich. Ausgehende Emails scheitern nicht nur am fehlenden Reverse-DNS Eintrag sondern eben auch an besagter Policy-Kennzeichnung, die jedem Mailserver, der es wissen will, unmissverständlich nahelegt, keine Emails von diesen Adressen anzunehmen. Das hindert aber selbstverständlich Malware nicht daran, es trotzdem zu versuchen. Wenn die dann Spamfallen beschickt, landen die Adressen auf DNS-BL. Wenn die nur für ihren eigentlichen Zweck eingesetzt würden, wäre das kein Problem. Die würden nur verhindern, was sowieso praktisch unmöglich ist.


    Außer Email gibt es noch viele andere Möglichkeiten, wie eine IP-Adresse eine schlechte Reputation bekommen kann. Es gibt z.B. kostenlose "VPN"-Apps, die die Verbindungen durch die Internetanschlüsse anderer Nutzer der selben App schleusen. Es ist sehr wahrscheinlich, dass solche Systeme dazu genutzt werden, um illegitime Verbindungen mit dem normalen Traffic von ISP-Kunden zu vermischen, um so einer Sperrung zu entgehen. Wer Server betreibt, kennt den Müll, der ununterbrochen auf alles einprasselt, was einen Domainnamen hat. Eine sichere Methode, um sich bei Serverbetreibern unbeliebt zu machen, ist auch, einen TOR Exit Node zu betreiben. Ob das jemand mit der IP-Adresse tut, der man gerade auch selbst zugewiesen ist, kann man beim TOR Projekt nachschauen.


    Serverbetreiber verwenden häufig "Fail2Ban". Damit werden wiederholte Verbindungen, die irgendwie als bösartig erkannt werden (z.B. SSH-Login-Versuche mit Listen von Passwörtern), in eine (i.d.R. temporäre) Sperrung überführt, die weitere Verbindungsversuche zu diesem Server blockiert. Die Idee dahinter ist, systematische Scans im Keim zu ersticken. Die Angreifer haben sich darauf eingestellt, indem sie Scans nach Logins oder Sicherheitslücken ausgehend von vielen verschiedenen Adressen durchführen, wodurch das Wiederholungskriterium von Fail2Ban nicht greift. Deshalb setzen nun auch Serverbetreiber auf verteilte Verteidigung. Wenn IP-Adressen mit einer fragwürdigen Anfrage auffallen, wird dies an eine Sammelstelle gemeldet, und wenn dort noch weitere Server verdächtige Anfragen gemeldet haben, wird die anfragende IP-Adresse blockiert. In solchen Sammelstellen sind auch IP-Adressen von Deutsche Glasfaser CGNAT gelistet, für Dinge wie "email spam", "PHP scan" und vieles mehr.


    Wer diesen Dingen entgehen will, kann IPv6 verwenden. Mit IPv4 ist die geteilte Nutzung von Adressen zunehmend unausweichliche Realität. Es hilft oft auch, sich zu deanonymisieren, wenn man dazu bereit ist. Den Versuch, IP-Adressen, die von Dutzenden oder Hunderten Kunden gleichzeitig genutzt werden, "sauber" zu halten, finde ich aussichtslos. Dazu ist es für technisch unbedarfte Nutzer viel zu leicht, unwissend den eigenen Anschluss zur Quelle von nicht erwünschten Verbindungen werden zu lassen.