1781EF+ Probleme mit Portforwarding bei Hardware-Nat

[Woelki]

Guten Tag,

unser 1781EF macht Probleme mit Hardware-Nat. Wir haben es an der bisheringen Leitung nicht genutzt da die Bandbreite sehr limitiert war (100Mbit)

Nun haben wir eine 1000/60 Leitung (Business Cable) was der Router auch relativ problemlos packt... wenn Hardware-Nat an ist.


Allerdings gehen dann sämtliche weiterleitungen auf unseren Server nicht mehr

Also Hardware Nat wieder aus aber dann gibt es sehr komische Geschwindigkeitsschwankungen zwischen 80Mbit und 300Mbit/s

Mit Hardware-Nat waren es konstant 9xx


Wie kommt das zu Stande? LCos ist aktuell

Jemand eine Idee?

[otellodb]

Wir hatten ähnliche Probleme in genau der gleichen Situation.
Hardware NAT macht mit Port Forwarding und auch anderen Features Probleme, und ohne HW NAT ist der Router einfach nicht leistungsstark genug um diese Bandbreite abzudecken. Das ist natürlich noch abhängig von der Paketgröße, so dass diese Schwankungen ständig auftreten.

Wir sind auf das Nachfolge modell 1781EF+ gewechselt, das ohne HW NAT nun eine 600/40 MBit Leitung ohne Probleme bedient.
Wahrscheinlich gibt es jedoch inzwischen noch neuerere HW.

otellodb

[mqueens]

Stimmt, das aktuelle Modell (04/2020) ohne eingebautes Modem ist der Lancom 1790 EF.

mqueens

[Woelki]

Oh es handelt sich natürlich um den +

Der ohne + hat soweit mir bekannt kein HardwareNAT.

Der + ist mit den 600 aber maßlos überfordert.

Haben Sie evtl de 1790EF?

[otellodb]

Nein, wir haben den 1781EF+.

Die Überforderung hatten wir auch einmal, aber nach einer Durcharbeitung unserer Firewall Regeln mit HIlfe einiger User hier, passt das inzwischen.
Wir haben keine Probleme mehr. Allerdings ist das sicherlich abhängig von der Art der Last (insbesondere der Paketgröße) und vielleicht auch dem DOCSIS Modem dahinter.

Ist aber sicher abhängig von der Anwendung.

[Woelki]

Davor hängt Docsis 3.1 von Hitron.


Was für Werte bekommen Sie denn?

Mit Hardware Nat schafft er entspannt 660

ohne ist es eine Katastrophe.

Die Firewall ist nicht sonderlich umfangreich. Mehr oder minder Standard. Haben Sie da Tips?

Nutzen sie VPN? Wir haben noch 2 VPN Leitungen eingebunden.

[otellodb]

Auch bei uns hängt ein Hitron Modem davor.
Welches müsste ich heute Abend vor Ort nachschauem.

Wie testen Sie die Werte ?
Also wenn wir z.B. speedmonitor Programme wie OCLA verwenden bekommen wir locker 600 MBIT.
Bei realem Traffic ist es etwas von der Paketgröße abängig. Wir fahren Backups darüber, die sicher in diese Richtung kommen.

Wir haben auch 1 ständige VPN IPSEC2 Verbindung und mobile IPSEC2 Verbindungen die auf - und abgebaut werden daran hängen.
Ich suche noch einmal den Topic heraus, der uns damals bei unseren Problemen geholfen hat heraus.


viewtopic.php?f=15&t=17935&p=101869#p101869

Das ist der Link von damals.

otellodb

[Woelki]

Tatsächlich ohne Firewall schafft er 600. DAs sind allerdings immernoch 60 wenige als ohne den Lancom oder mit HardwareNAT. Also bremst er nachwievor

Aber das kann ja nicht Sinn und Zweck der Aktion sein.

Funfact: mit komplett leeren IPv4 Regeln sind es auch nur 130

[alf29]

Moin,

Tatsächlich ohne Firewall schafft er 600. DAs sind allerdings immernoch 60 wenige als ohne den Lancom oder mit HardwareNAT. Also bremst er nachwievor

Dann wirst Du einen Router mit einer schnelleren CPU brauchen. Am Hardware-NAT wird nichts mehr getan, das in dem Ethernet-Baustein realisierte Hardware-Routing ist nur auf "einfache Home-User-Szenarien" ausgelegt und auch mit Klimmzügen ließ sich der Funktionsumfang des LCOS darauf nicht sinnvoll abbilden, es hat in der Praxis deutlich mehr Ärger gemacht als genutzt. Die Nachfolger des 1781EF+ (so auch die 1790er) haben gar kein Hardware-NAT mehr.

Eine grob anderthalb mal so schnelle CPU haben die 1900er, darüber gibt es nur noch die ISG-1000/4000. Oder den VRouter auf passender Host-Hardware

Viele Grüße

Alfred

[Jirka]

Hallo Alfred,

darüber gibt es nur noch die ISG-1000/4000

beim ISG-1000 würde ich eher daneben als darüber sagen...

Viele Grüße,
Jirka

[Woelki]

Moin,

Tatsächlich ohne Firewall schafft er 600. DAs sind allerdings immernoch 60 wenige als ohne den Lancom oder mit HardwareNAT. Also bremst er nachwievor

Dann wirst Du einen Router mit einer schnelleren CPU brauchen. Am Hardware-NAT wird nichts mehr getan, das in dem Ethernet-Baustein realisierte Hardware-Routing ist nur auf "einfache Home-User-Szenarien" ausgelegt und auch mit Klimmzügen ließ sich der Funktionsumfang des LCOS darauf nicht sinnvoll abbilden, es hat in der Praxis deutlich mehr Ärger gemacht als genutzt. Die Nachfolger des 1781EF+ (so auch die 1790er) haben gar kein Hardware-NAT mehr.

Eine grob anderthalb mal so schnelle CPU haben die 1900er, darüber gibt es nur noch die ISG-1000/4000. Oder den VRouter auf passender Host-Hardware

Viele Grüße

Alfred

Warum wird er dann als Gigabit Router verkauft wenn sein Limit eigentlich bei 600 liegt außer man verzichtet auf etliche Funktionalität?

Wann kommt eine 1900 mit Supervectoring?

[alf29]

Warum wird er dann als Gigabit Router verkauft wenn sein Limit eigentlich bei 600 liegt außer man verzichtet auf etliche Funktionalität?

Ich denke, man wird Szenarien finden (LAN-LAN-Routing, IPv6 statt IPv4), wo das Gerät an die GBit-Marke herankommt. Da für jeden Kunden ein anderes Szenario "typisch" ist, sucht sich eine Marketing-Abteilung natürlich die schönsten Zahlen heraus. Wird woanders auch nicht anders sein. Du wirst andersherum auch Szenarien/Funktionalitäten finden, wo auch mit einer zehnmal so schnellen CPU das GBit nicht erreicht wird. Ich meine, es gibt ein Tech-Paper von LANCOM, wo die effektiven Durchsätze für verschiedene Szenarien aufgeführt sind.

Wann kommt eine 1900 mit Supervectoring?

Sorry, an dieser Stelle keine Aussagen über die Roadmap. Dafür sind andere zuständig...

Viele Grüße

Alfred

[Woelki]

Das ist ja im Endeffekt LAN 2 LAN.

Hitron Gateway der 12 Ips (eine futtert er selbst als gateway) bereitstellt. Man spricht ihn mit seiner Gateway IP an und leitet es dann ins Firmenlan.

Den Übergang zu WAN übernimmt der Hitron.

Es sind ipv4 standardregeln gesetzt und ipv6 muss abgeschaltet werden (lustigerweise bietet der Hitron zu intern nichtmal ipv6 aber die deaktivierung erhöht den speed)

We simpel soll man es dem EF noch machen? Ich wüsste kein optimalers Szenario.

Im Techpaper bzw den Benchmarks von Lancom wird nicht erwähnt ob die mit oder ohne Hardware NAT erstellt werden.

Klar wenn man null forwards hat und das hardware Nat nutzen kann mag er es erreichen. Aber es kann doch nicht sein das die halbe funktionalität abgeschaltet werden muss.

[Woelki]

So, nachdem ich eine Menge gemeckert habe:

Auch wenn in der 10.50Rel nichts von Performanceverbesserungen für den 1781ef steht:

Er knallt jetzt problemlos über 700mbit down ohne HardwareNAT durch.

Die Firmware scheint generell einiges flotter zu machen.