Hallo Leute,
also ich habe jetzt das Problem identifiziert: Ein Mitarbeiter macht regelmäßig Updates von TOMTOM Navigationsgeräten via TOMTOM Software, diese Updates machen die Probleme. Jetzt stellt sich für mich nur die Frage nach dem Warum? Hier noch einmal das Phänomen:
Sobald ein Update via TOMTOM-Software gestartet wurde, fängt dieses an eine 2,2GB große Karte herunterzuladen. Dies geschieht lt. Windowsanzeige mit ca. 1,8 MB/sek (16.000er DSL). In der Zeit ist jeglicher anderer Traffic (z.B. Ping vom Server an Google) fast abgeschnitten, 2-3s Ping Zeit bei ca. 50-80% Verlust. Sobald ich das Update beende, ist wieder alles gut. Ich habe versucht das Verhalten mit "normalen" Downloads hinzubekommen, Fehlanzeige. Wenn ich via Webbrowser eine 3GB Datei herunterlade (bei ungefähr gleicher Downloadrate) habe ich zwar etwas verlangsamte Ping-Werte (60-200ms zzgl. Ausreißer), aber alles ist noch im Rahmen und alle anderen können im Internet arbeiten (so wie das auch sein soll).
Weiß jemand, was da vor sich geht? Warum wird dieser Traffic von der TOMTOM Software im Accounting als Lancom.Intern dargestellt, während normale Downloads unter der IP Adresse zu finden sind? Kann mir jemand sagen, auf was ich bei einem PCAP Trace achten sollte, um das Problem noch näher zu spezifizieren?
Danke für eure Einschätzung!
Gruß
Accounting mit 3TB Traffic
Moderator: Lancom-Systems Moderatoren
Re: Accounting mit 3TB Traffic
Hallo,
Es geht also um die Frage, warum im Accounting der LANCOM-Router steht und nicht die IP-Adressen (bzw. Namen) der eigentlichen Verursacher des Traffics. Übrigens x-mal und jeder Eintrag sieht wie der andere aus (bis auf natürlich bei den Datenmengen und der Zeit) und ich kann so nicht sagen, welcher Client tatsächlich welchen Traffic verursacht hat. Gegeben ist also ein LANCOM mit 9.24.0266, der im INTRANET kein DHCP-Server macht (im Gastnetz hingegen ja, diese Clients sehe ich auch im Accounting). Der DNS-Server ist aktviert, er wird aber nur von gewissen Geräten wie einem zweiten LANCOM-Router als Backup-DNS genutzt. Die Eigene Domäne ist hier local, es gibt eine DNS-Weiterleitung: *.local -> 192.168.10.10. Alle anderen Adressen, die er z. B. auch selber auflösen muss, löst der LANCOM-Router über die DNS-Server des Providers auf. Als Unterscheidungs-Kriterium (Discriminator) ist im Accounting die MAC-Adresse definiert. Der Kunde gibt an, dass es mit dem DNS durchaus Probleme gibt, der DNS/DHCP-Server (192.168.10.10, Windows) müsste mal überarbeitet werden.
Unternimmt der LANCOM-Router irgendwelche Versuche, die IP-Adresse dort in einen Namen zu wandeln, wenn ja, was passiert da genau? Wie kann der eigene Name des LANCOM-Routers da reinkommen?
P.S.: Es gibt auch ein paar wenige Portforwardings, die aber hier vermutlich nicht das Problem darstellen können.
Für Hinweise, was hier vor sich geht, wäre ich dankbar.
Vielen Dank und viele Grüße,
Jirka
aus aktuellem Anlass hätte ich diese Frage auch gerne beantwortet. Backslash, hast Du nicht eine Idee?png-Lancom hat geschrieben:Weiß jemand, was da vor sich geht? Warum wird dieser Traffic von der TOMTOM Software im Accounting als Lancom.Intern dargestellt, während normale Downloads unter der IP Adresse zu finden sind?
Es geht also um die Frage, warum im Accounting der LANCOM-Router steht und nicht die IP-Adressen (bzw. Namen) der eigentlichen Verursacher des Traffics. Übrigens x-mal und jeder Eintrag sieht wie der andere aus (bis auf natürlich bei den Datenmengen und der Zeit) und ich kann so nicht sagen, welcher Client tatsächlich welchen Traffic verursacht hat. Gegeben ist also ein LANCOM mit 9.24.0266, der im INTRANET kein DHCP-Server macht (im Gastnetz hingegen ja, diese Clients sehe ich auch im Accounting). Der DNS-Server ist aktviert, er wird aber nur von gewissen Geräten wie einem zweiten LANCOM-Router als Backup-DNS genutzt. Die Eigene Domäne ist hier local, es gibt eine DNS-Weiterleitung: *.local -> 192.168.10.10. Alle anderen Adressen, die er z. B. auch selber auflösen muss, löst der LANCOM-Router über die DNS-Server des Providers auf. Als Unterscheidungs-Kriterium (Discriminator) ist im Accounting die MAC-Adresse definiert. Der Kunde gibt an, dass es mit dem DNS durchaus Probleme gibt, der DNS/DHCP-Server (192.168.10.10, Windows) müsste mal überarbeitet werden.
Unternimmt der LANCOM-Router irgendwelche Versuche, die IP-Adresse dort in einen Namen zu wandeln, wenn ja, was passiert da genau? Wie kann der eigene Name des LANCOM-Routers da reinkommen?
P.S.: Es gibt auch ein paar wenige Portforwardings, die aber hier vermutlich nicht das Problem darstellen können.
Für Hinweise, was hier vor sich geht, wäre ich dankbar.
Vielen Dank und viele Grüße,
Jirka
-
png-Lancom
- Beiträge: 10
- Registriert: 29 Dez 2016, 14:59
Re: Accounting mit 3TB Traffic
Also, die Fa. Lancom hat sich der Sache angenommen. Wir haben einfach eine Bandbreiten-Reservierung definiert, so dass jeder Client eine Mindestbandbreite zur Verfügung hat. Vermutung seitens Lancom war, dass die TomTom-Software sehr viele Sessions zu Ihrem Server eröffnet. Dem sind wir aber nicht näher nachgegangen, sprich ich kann nicht sagen ob dem wirklich so ist. Das Problem, dass das Netzwerk down ist, ist seit dem vom Tisch. Warum aber der Traffic als Lancom.Intern definiert wurde, konnte man mir jetzt auch nicht sagen. Evtl. gibt es da auch soetwas wie ein Passiv-Modus, bei dem wiederum der Server den Clienten kontaktiert -> keine IP Zuordnung, da Traffic von außen.
Gruß
Gruß
Re: Accounting mit 3TB Traffic
Hi Jirka,
Ich könnte mir höchstens vorstellen, daß aufgrund eines Fehlers in einem Accounting-Eintrag die (WAN-) IP-Adresse des LANCOMs der MAC-Adresse des Hosts zugeordnet wurde und dadurch in dem Eintrag der MAC-Adresse der Name des LANCOMs zugeordnet wurde - und somit dauerhaft zugeordnet wird. Damit sich solche Fehler nicht dauerhaft einnisten, sollte als Discrimitator für die Acounting-Einträge die IP-Adresse verwendet werden...
Gruß
Backslash
Das LANCOM schaut in seiner DNS-Konfiguration nach, ob es die IP-Adresse direkt, also ohne DNS-Anfrage, in einen Namen auflösen kann. Dazu schaut e in die DHCP-Tabell, die NetBIOS-Tabelle und natürlich in die DNS-Tabellen (DNS-List, dyn..DNS-List). Wenn das nicht funktioniert, schaut es in die bisherigen Accounting-Einträge, ob dort der IP-Adresse (oder MAC-Adresse, je nach Discriminator) ein Name zugeordnet ist und nimmt diesen.Unternimmt der LANCOM-Router irgendwelche Versuche, die IP-Adresse dort in einen Namen zu wandeln, wenn ja, was passiert da genau?
sollte eigentlich nicht passieren - aber wenn er einmal drin ist, dann bleibt er auch (wegen der oben genannten "zweiten Runde" über die alten Accounting-Daten)...Wie kann der eigene Name des LANCOM-Routers da reinkommen?
Ich könnte mir höchstens vorstellen, daß aufgrund eines Fehlers in einem Accounting-Eintrag die (WAN-) IP-Adresse des LANCOMs der MAC-Adresse des Hosts zugeordnet wurde und dadurch in dem Eintrag der MAC-Adresse der Name des LANCOMs zugeordnet wurde - und somit dauerhaft zugeordnet wird. Damit sich solche Fehler nicht dauerhaft einnisten, sollte als Discrimitator für die Acounting-Einträge die IP-Adresse verwendet werden...
Gruß
Backslash
Re: Accounting mit 3TB Traffic
Hallo Backslash,
ganz vielen Dank erstmal für die detaillierte Beschreibung der 4-stufigen Namenssuche des LANCOMs im Accounting.
Ich hatte nach Deinem Posting sämtliche Accounting-Daten gelöscht. DHCP, NetBIOS und DNS-Namen liegen nicht vor.
Es ist auch eine Besserung eingetreten. Der Accounting-Snapshot findet wöchentlich statt (im Normalfall mache ich eher monatlich).
Ich habe in der Zwischenzeit also Daten der letzten Woche und die aktuellen Accounting-Daten. In beiden Fällen habe ich 8 Einträge mit Namen vom Router, die über die Internetleitung Traffic erzeugt haben (und 3 Einträge mit Traffic über eine VPN-Verbindung). Wie kommen jetzt die 8 Einträge zu Stande? Es gibt 6 Portforwardings.
Es ist sehr schade, dass man die ausgeblendete Spalte in der Accounting-Tabelle nicht sieht. Ich weiß, dass diese, ich sage mal kompliziert verwendet wird, also für MAC-Adresse bzw. IP-Adresse, deswegen könnte man sie aber trotzdem anzeigen. Der Tabellenindex wird mit den Spalten Username, Peer und Conn.-Type angegeben. Ich habe jetzt aber z. B. diese 8 besagten Einträge, wo alle diese Daten exakt gleich sind. Es ist somit kein Index. Auch kann man so den Traffic von zwei Clients nicht unterscheiden, die zwar mit unterschiedlicher MAC-Adresse, aber gleicher IP-Adresse unterwegs waren, was ja zu unterschiedlichen Zeitpunkten (z. B. nach Ablauf der Lease-Time) nicht verboten ist. Ich kann dann aber nicht sagen, welche MAC welchen Traffic verursacht hat. Das war auch schon immer das Problem, wenn es mal Nachfragen von öffentlicher Seite gab (Hot-Spot), dass man gar nicht angeben kann, wer eigentlich den Traffic verursacht hat. Mein Fazit ist, das Accounting ist nett, aber inzwischen verbesserungswürdig. Wie verhält es sich denn mit IPv6-Adressen? Können die in der für mich nicht sichtbaren Spalte abgespeichert werden? Habe ich dann für jeden Client 2 Einträge? Was ist, wenn die IPv6-Adressen wechseln? Kurzum: Ich weiß nicht, so aus dem Bauch raus würde ich schon gerne bei der MAC-Adresse als Diskriminator bleiben.
Vielen Dank und viele Grüße,
Jirka
ganz vielen Dank erstmal für die detaillierte Beschreibung der 4-stufigen Namenssuche des LANCOMs im Accounting.
Ich hatte nach Deinem Posting sämtliche Accounting-Daten gelöscht. DHCP, NetBIOS und DNS-Namen liegen nicht vor.
Es ist auch eine Besserung eingetreten. Der Accounting-Snapshot findet wöchentlich statt (im Normalfall mache ich eher monatlich).
Ich habe in der Zwischenzeit also Daten der letzten Woche und die aktuellen Accounting-Daten. In beiden Fällen habe ich 8 Einträge mit Namen vom Router, die über die Internetleitung Traffic erzeugt haben (und 3 Einträge mit Traffic über eine VPN-Verbindung). Wie kommen jetzt die 8 Einträge zu Stande? Es gibt 6 Portforwardings.
Hmm. IP-Adresse ist aber nicht eindeutig. Der LANCOM macht nicht DHCP-Server, d. h. ein Client könnte nach Ablaufen der Lease-Time eine andere IP-Adresse erhalten. Ebenso könnte ein anderer Client die gleiche IP-Adresse erhalten.backslash hat geschrieben:Damit sich solche Fehler nicht dauerhaft einnisten, sollte als Discrimitator für die Acounting-Einträge die IP-Adresse verwendet werden...
Es ist sehr schade, dass man die ausgeblendete Spalte in der Accounting-Tabelle nicht sieht. Ich weiß, dass diese, ich sage mal kompliziert verwendet wird, also für MAC-Adresse bzw. IP-Adresse, deswegen könnte man sie aber trotzdem anzeigen. Der Tabellenindex wird mit den Spalten Username, Peer und Conn.-Type angegeben. Ich habe jetzt aber z. B. diese 8 besagten Einträge, wo alle diese Daten exakt gleich sind. Es ist somit kein Index. Auch kann man so den Traffic von zwei Clients nicht unterscheiden, die zwar mit unterschiedlicher MAC-Adresse, aber gleicher IP-Adresse unterwegs waren, was ja zu unterschiedlichen Zeitpunkten (z. B. nach Ablauf der Lease-Time) nicht verboten ist. Ich kann dann aber nicht sagen, welche MAC welchen Traffic verursacht hat. Das war auch schon immer das Problem, wenn es mal Nachfragen von öffentlicher Seite gab (Hot-Spot), dass man gar nicht angeben kann, wer eigentlich den Traffic verursacht hat. Mein Fazit ist, das Accounting ist nett, aber inzwischen verbesserungswürdig. Wie verhält es sich denn mit IPv6-Adressen? Können die in der für mich nicht sichtbaren Spalte abgespeichert werden? Habe ich dann für jeden Client 2 Einträge? Was ist, wenn die IPv6-Adressen wechseln? Kurzum: Ich weiß nicht, so aus dem Bauch raus würde ich schon gerne bei der MAC-Adresse als Diskriminator bleiben.
Vielen Dank und viele Grüße,
Jirka