Hallo,
wir haben ein Problem mit unserem Kabelmodem, eine Hitron CGNV 4 von vodafone. Es kommt häufig zu Verbingungsabbrüchen, der Grund dafür ist wohl, dass die Hitron nur 150 NAT Verbindungen kann. Laut vodafone ist die einzige Möglichkeit, mehrere Router zu betreiben, und diese zu bündeln.
Wie würde ich das Bündeln mit der virtualisierten Firewall hinbekommen?
Hat jemand das selbe Problem und ggf. eine andere Lösung gefunden?
Vielen Dank
Hallo,
wir haben ein Problem mit unserem Kabelmodem, eine Hitron CGNV 4 von
vodafone. Es kommt häufig zu Verbingungsabbrüchen, der Grund dafür ist
wohl, dass die Hitron nur 150 NAT Verbindungen kann. Laut vodafone ist
die einzige Möglichkeit, mehrere Router zu betreiben, und diese zu bündeln.Wie würde ich das Bündeln mit der virtualisierten Firewall hinbekommen?
Hat jemand das selbe Problem und ggf. eine andere Lösung gefunden?
… oder ihr macht ein Upgrade der Leitung.
Das hat mehrer Vorteile:
Wir haben unseren Anschluss im Mai von 150Mbit auf 1000MBit bei Vodafon
(Kabel) aufgebohrt: dabei wurde der Anschluss günstiger und das HiTron
wurde rausgeschmissen und durch eine FritzBox 6591 ersetzt … nice 
Günstiger wurde es aber, weil sie ein Angebot im Mai hatten.
Wir haben aber auch einen Business Anschluss: das würde ich sowiso
empfehlen.
Business ist bei gleicher Bandbreite immer teurer: dann lieber weniger
Bandbreite nehmen.
LG
Holger
Hallo,
mit der virtualisierten Firewall macht ja die Firewall NAT. Das Kabelmodem sieht dann nur die Firewall und nicht die Clients dahinter. Sollte also nicht das Problem sein.
Viele Grüße
Klaus
Hallo,
ob das Kabelmodem NAT macht hängt davon ab, wie es betrieben wird. Normalerweise wird es als Router betrieben, dann macht es auch NAT - halt nur für die Firewall, aber trotzdem für jede Verbindung. Die externe IP hat dann das „Modem“, die Firewall hat eine private IP.
Wenn das Modem als echtes Modem betrieben wird, dann gibt es dort kein NAT, denn die externe IP wird an die Firewall durchgereicht. Eventuell wäre es also eine Option, das umzustellen.
Wobei ich mir kaum vorstellen kann, dass ein halbwegs modernes Gerät nur 150 NAT-Verbindungen verwalten kann. Aber da kenne ich mich nicht aus.
Beste Grüße
Jörg
Hallo Jörg,
Richtig nur für die Firewall.
Das ist ein Widerspruch zu dem was Du oben schreibst. Was Du vielleicht meinst ist die Anzahl der gleichzeitig geöffneten Verbindungen und nicht NAT.
Ja, ich glaube das nennt sich bei den Kabelmodems Bridge-Mode.
Das kann ich mir ebenso wie Du auch nicht vorstellen
Viele Grüße
Klaus
Hallo Klaus,
ich dachte, dass es bei NAT völlig egal ist, ob zwei Verbindungen (damit meine ich jetzt etwas unpräzise auch UDP) vom selben lokalen Rechner kommen oder von unterschiedlichen, der Aufwand ist für den Router derselbe. Für jede Kombination aus Absender-IP und -Port gibt es einen Eintrag in der NAT-Tabelle.
Wenn die Firewall NAT für das Schulnetz macht, dann wird für jede Verbindung ein anderer Quellport benutzt. Wenn nun ein vorgelagerter Router ebenfalls NAT macht, dann muss auch er jede dieser Verbindungen neu „natten“.
Entscheidend ist also, wie viele Einträge in der NAT-Tabelle ein Router verwalten kann. Das sind bei gängigen Fritzboxen und ähnlichen Routen auf jeden Fall mehrere Tausend, 150 würde auch für ein kleines Heimnetz kaum reichen. Ein paar Tausend könnte aber auch in der Schule mal erreicht werden.
Hauptproblem sind hier oft UDP-Verbindungen, weil es da anders als bei TCP-Verbindungen kein Ende gibt. Der Router muss also auf einen Timeout warten, bevor er den Eintrag in der NAT-Zabelle löschen kann.
Trotz allem höre ich zum ersten Mal, dass das NAT ein limitierender Faktor ist. Wenn das wirklich der Fall ist, sollte man den Router tauschen oder eben versuchen, ob man ihn nicht doch als Modem betreiben kann, da gibt es das Problem nicht.
Beste Grüße
Jörg
Hallo Jörg,
ja, Du hast da vollkommen Recht und ich hatte einen Denkfehler. Danke für die Aufklärung!
Sieht man auf einem Linux Router auch recht schön mit:
cat /proc/net/nf_conntrack
Viele Grüße
Klaus
Danke für die Antworten: Es arbeitet als Kabelmodem. Ich schaue gerade mal mit ping und cron, wann die hitron nicht zu erreichen ist, vielleicht ergibt sich daraus etwas