bewild
Goto Top

Netgear Router unterbricht und lähmt DSL-Verbindung

Servus,

seit einiger Zeit lahmt unser Internet im Büro. Zwar ist die Leitung mit nur 6 Mbit/s schon von Natur aus nicht die schnellste (es hängen 6 Arbeitsplätze dran), aber in der letzten Zeit wird selbst das normale Aufrufen einer simplen Website schon zum Geduldsspiel und die Verbindung bricht immer wieder ab um 10 Sekunden später wieder da zu sein (Web-Radio kann man also knicken, bricht ständig ab).

Nach einiger Recherche bin ich mir zu 99,9 % sicher, dass der Kern des Problems (und die Wurzel allen Übels) an unserem Uralt-Router hängt (Netgear FVS318v3). Der häufig genannte Tipp ihn täglich aus- und anzuschalten in Kombination mit der Absenkung des Idle-Timeouts auf 0 Minuten bringt jedenfalls deutliche Besserung. Man merkt dann erstmal nichts mehr und kann ganz normal arbeiten.

Aber nachdem das Problem in den letzten Jahren nicht vorhanden war und es ja auch keine Lösung sein kann, das Teil alle Nase lang neuzustarten, muss hier ja etwas sein was vorher nicht da war.
Verstellt wurde nichts (also bis ich vor Kurzem den Idle-Timeout runtergesetzt habe).

Ich habe mir natürlich auch die Logdatei angeschaut und dort stoße ich immer wieder auf Einträge wie diesen:

Wed, 2016-01-20 15:10:18 - TCP packet - Source: 216.58.198.130 - Destination: x.x.x.x - [Invalid sequence number received with Reset, dropping packet Src 443 Dst 58741 from WAN]

oder diesen:

Wed, 2016-01-20 15:11:36 - TCP packet - Source: 93.174.93.77 - Destination: x.x.x.x - [Access Policy not found, dropping packet Src 22730 Dst 22 from WAN]

Falls es von Interesse ist habe ich am Ende des Beitrags nochmal einen längeren Log gepostet. Die beiden genannten Auszüge (mit wechselnden IPs und verschiedenen Ports) sind allerdings auffallend häufig. Leider kann ich damit nicht allzuviel anfangen. Sie kommen mir einfach nur verdächtig vor und ich hab das Gefühl, dass sie der Schlüssel zum eigentlichen Problem sind. Angriffe von aussen, Angriffe innerhalb des Netzwerkes,... man kann ja nichts auschließen.

"Default DMZ Server" und "Respond to Ping on Internet WAN Port" waren und sind auch weiterhin deaktiviert (also ohne Haken).
Vor dem Router hängt ein ebenfalls etwas betagtes Modem (Teledat 331 Lan). Router WAN Port DHCP ist auf PPPoE eingestellt. In den Security Rules ist alles auf Default eingestellt (gab bislang keinen Grund hier was zu ändern). IP-Telefonie wird nicht betrieben.

Vielleicht kann jemand von euch etwas Licht ins Dunkel bringen.

Eins noch: In ca. 2-3 Monaten wird die Uralt-Hardware komplett ausgetauscht. So lange muss sie aber noch Dienst tun. Die an sich durchaus berechtigte Aufforderung, einfach einen neuen Router zu besorgen bringt mich in diesem Fall also leider nicht weiter.

Mit freundlichen Grüßen
BeWild

Auszug aus dem Log (Einstellung Include in Log: Known DoS attacks and port scans ; Attempted access to blocked sites)
Wed, 2016-01-20 16:25:53 - TCP packet - Source: 173.194.40.248 - Destination: x.x.x.x - [Invalid sequence number received with Reset, dropping packet Src 443 Dst 3593 from WAN]
Wed, 2016-01-20 16:25:55 - TCP packet - Source: 173.194.40.248 - Destination: x.x.x.x - [Invalid sequence number received with Reset, dropping packet Src 443 Dst 3593 from WAN]
Wed, 2016-01-20 16:26:00 - TCP packet - Source: 173.194.40.248 - Destination: x.x.x.x - [Invalid sequence number received with Reset, dropping packet Src 443 Dst 3593 from WAN]
Wed, 2016-01-20 16:27:40 - TCP packet - Source: 216.58.209.132 - Destination: x.x.x.x - [Invalid sequence number received with Reset, dropping packet Src 443 Dst 3633 from WAN]
Wed, 2016-01-20 16:27:40 - TCP packet - Source: 216.58.209.132 - Destination: x.x.x.x - [Invalid sequence number received with Reset, dropping packet Src 443 Dst 3633 from WAN]
Wed, 2016-01-20 16:27:40 - TCP packet - Source: 216.58.209.132 - Destination: x.x.x.x - [Invalid sequence number received with Reset, dropping packet Src 443 Dst 3633 from WAN]
Wed, 2016-01-20 16:27:40 - TCP packet - Source: 216.58.209.132 - Destination: x.x.x.x - [Invalid sequence number received with Reset, dropping packet Src 443 Dst 3633 from WAN]
Wed, 2016-01-20 16:27:40 - TCP packet - Source: 216.58.209.132 - Destination: x.x.x.x - [Invalid sequence number received with Reset, dropping packet Src 443 Dst 3633 from WAN]
Wed, 2016-01-20 16:27:40 - TCP packet - Source: 216.58.209.132 - Destination: x.x.x.x - [Invalid sequence number received with Reset, dropping packet Src 443 Dst 3633 from WAN]
Wed, 2016-01-20 16:27:42 - TCP packet - Source: 216.58.209.132 - Destination: x.x.x.x - [Invalid sequence number received with Reset, dropping packet Src 443 Dst 3633 from WAN]
Wed, 2016-01-20 16:27:43 - TCP packet - Source: 216.58.209.132 - Destination: x.x.x.x - [Invalid sequence number received with Reset, dropping packet Src 443 Dst 3633 from WAN]
Wed, 2016-01-20 16:27:44 - TCP packet - Source: 216.58.209.132 - Destination: x.x.x.x - [Invalid sequence number received with Reset, dropping packet Src 443 Dst 3633 from WAN]
Wed, 2016-01-20 16:27:46 - TCP packet - Source: 216.58.209.132 - Destination: x.x.x.x - [Invalid sequence number received with Reset, dropping packet Src 443 Dst 3633 from WAN]
Wed, 2016-01-20 16:27:51 - TCP packet - Source: 216.58.209.132 - Destination: x.x.x.x - [Invalid sequence number received with Reset, dropping packet Src 443 Dst 3633 from WAN]
Wed, 2016-01-20 16:29:17 - UDP packet - Source: 68.67.14.226 - Destination: x.x.x.x - [Access Policy not found, dropping packet Src 53 Dst 12457 from WAN]
Wed, 2016-01-20 16:30:50 - UDP packet - Source: 185.130.5.224 - Destination: x.x.x.x - [Access Policy not found, dropping packet Src 35033 Dst 53413 from WAN]
Wed, 2016-01-20 16:33:18 - TCP packet - Source: 173.194.116.191 - Destination: x.x.x.x - [Invalid sequence number received with Reset, dropping packet Src 443 Dst 3793 from WAN]
Wed, 2016-01-20 16:33:18 - TCP packet - Source: 173.194.116.191 - Destination: x.x.x.x - [Invalid sequence number received with Reset, dropping packet Src 443 Dst 3793 from WAN]
Wed, 2016-01-20 16:33:18 - TCP packet - Source: 173.194.116.191 - Destination: x.x.x.x - [Invalid sequence number received with Reset, dropping packet Src 443 Dst 3793 from WAN]
Wed, 2016-01-20 16:33:18 - TCP packet - Source: 173.194.116.191 - Destination: x.x.x.x - [Invalid sequence number received with Reset, dropping packet Src 443 Dst 3793 from WAN]
Wed, 2016-01-20 16:33:18 - TCP packet - Source: 173.194.116.191 - Destination: x.x.x.x - [Invalid sequence number received with Reset, dropping packet Src 443 Dst 3793 from WAN]
Wed, 2016-01-20 16:33:19 - TCP packet - Source: 173.194.116.191 - Destination: x.x.x.x - [Invalid sequence number received with Reset, dropping packet Src 443 Dst 3793 from WAN]
Wed, 2016-01-20 16:33:20 - TCP packet - Source: 173.194.116.191 - Destination: x.x.x.x - [Invalid sequence number received with Reset, dropping packet Src 443 Dst 3793 from WAN]
Wed, 2016-01-20 16:33:21 - TCP packet - Source: 173.194.116.191 - Destination: x.x.x.x - [Invalid sequence number received with Reset, dropping packet Src 443 Dst 3793 from WAN]
Wed, 2016-01-20 16:33:22 - TCP packet - Source: 173.194.116.191 - Destination: x.x.x.x - [Invalid sequence number received with Reset, dropping packet Src 443 Dst 3793 from WAN]
Wed, 2016-01-20 16:33:23 - UDP packet - Source: 23.95.50.58 - Destination: x.x.x.x - [Access Policy not found, dropping packet Src 51542 Dst 123 from WAN]
(Vorführeffekt. In diesem Auszug ist die Vielfalt an Ports leider nicht ganz so ausgeprägt)

Content-Key: 293684

Url: https://administrator.de/contentid/293684

Ausgedruckt am: 28.03.2024 um 10:03 Uhr

Mitglied: aqui
aqui 20.01.2016 aktualisiert um 17:22:42 Uhr
Goto Top
Die aktuellste Firmware hast du geflasht auf die Gurke ??
http://support.netgear.de/product/FVS318v3
Du kennst dich mit dem TCP Protokoll aus und weisst was mit einer "invalid sequence number" gemeint ist ? Dir jetzt die kompletten Mechanismen des TCP/IP Protokolls zu erklären sprengt den Rahmen dieses Forums für Administratoren die sowas gemeinhin schon wissen.
Nur so viel:
Auffällig sind ja die TCP 443 Zugriffe (HTTPS) auf deine WAN IP.
Du bist vermutlich Kunde der Telekom in Würzburg wie deine IP Adresse verrät die du hier öffentlich gemacht hast.
Der der dir da verzweifelt was senden will ist Google (216.58.209.132 und 173.194.116.191). (Siehe utrace.de)
Das die was falsch machen geht gegen Null. Entweder ist das also ein Bug in deiner Router Firmware oder der ist ist schlicht und einfach überfordert. Oder...

Allerdings muss man auch sagen das du uns hier nur die halbe Wahrheit geschildert hast face-sad
Seite 1-6 des Reference Manuals http://www.downloads.netgear.com/files/FVS318v3_RM_11Jan2012.pdf
zeigt ja ganz eindeutig das der WAN / Internet Port der NG Gurke ein Ethernet Breitband Port ist. Damit ist ein Betrieb OHNE ein entsprechendes Nur xDSL Modems davor oder eines kaskadierten Routers davor technisch gar nicht möglich.
Vermutlich ist eher dort also der böse Buhmann zu suchen.
Wenn, dann schilder in einem Administrator Forum deine Infrastruktur auch bitte technisch genau und umfassend, denn sonst raten wir hier alle sinnfrei im freien Fall !
Mitglied: bewild
bewild 20.01.2016 um 18:17:51 Uhr
Goto Top
1.: Nein. Noch ist die alte drauf da ich erst heute nachmittag, nachdem ich den Post erstellt habe, die Provider-Zugangsdaten bekommen habe (denen ich schon seit geraumer Zeit hinterher renne). Und ohne die Zugangsdaten wollte ich erstmal auf Nummer sicher gehen (es kann ja immer was schief gehen). Das Firmwareupdate kann ich aber erst einspielen wenn alle anderen Feierabend gemacht haben.

2.: Wie es auch in meinem Profil steht bin ich Enduser und kein Administrator. Ich bin nur der einzige hier im Büro der sich mit dem Zeug überhaupt auseinandersetzt und damit innerhalb der Belegschaft einem Administrator noch am nähsten kommt. Ich habe keine Ausbildung oder ähnliches in dem Bereich und kenne mich nur sehr rudimentär mit den Protokollen aus. Auf die Idee mit Utrace bin ich allerdings auch schon gekommen. Aber nachdem Utrace mich in Würzburg vermutet (was nur um etwa 80 km daneben liegt) und ich selbst auch nicht die Telekom bin, traue ich der Angabe, dass Google selbst dahinter steckt eher weniger. Zumal ich in älteren Logs auch IPs von anderen drin hatte.

3. Ich kann gerne auch noch ein Foto der Hardware machen, wenn du es mir nicht glaubst. Es ist Fakt, dass die Kombi Teledat 331 & NG FVS318 jahrelang tadellos funktioniert hat. Für umfangreichere Angaben stehe ich gerne jederzeit zur Verfügung. Mir erschien hier einfach erstmal nichts anderes als wirklich wichtig.

MfG
Mitglied: orcape
orcape 20.01.2016 um 19:45:56 Uhr
Goto Top
Hi,
um es mal kurz zu machen.
@aqui spricht nicht umsonst von "Netgear Gurke"!
Der FVS318 ist so ziemlich "das Letzte", was man einem Kunden anbieten kann. Ich musste da leider auch schon meine Erfahrungen machen, die mich letztendlich ganz von dieser "Marke" Abstand nehmen ließ.
Wenn Du, weder die Zeit, noch die Erfahrung hast, Dich mit anderen Netzwerklösungen zu beschäftigen, dann besorge Dir eine Fritbox7490.
Das ist zwar nicht das Non-Plus-Ultra, aber für ein kleine Büro allemal ausreichend, wenn die Sicherheitsanforderungen nicht extrem hoch sein müssen.
Mit dem FVS318 kann die Fritte das allemal aufnehmen und Otto-Normal-Nicht-Netzwerktechniker braucht da auch keine große Fehlkonfiguration befürchten.
Gruß orcape
Mitglied: bewild
bewild 21.01.2016 um 11:31:28 Uhr
Goto Top
Danke orcape,
Mir ist schon klar, dass das Ding nicht gerade das Gelbe vom Ei ist.
Er wird ja auch bald ausgewechselt (siehe Eingangspost). Ich hatte aber eben das Gefühl, dass da noch was anderes ist.

MfG
Mitglied: orcape
orcape 21.01.2016 um 13:49:23 Uhr
Goto Top
Router WAN Port DHCP ist auf PPPoE eingestellt.
Das soll heißen, das Dein Telekom Uralt Router als Modem arbeitet. Also sollten in den Logs des FVS318 auch gedropte Pakete normal sein.
Der FVS318 "glänzte" während der Zeit in der ich ihn verwendete, mit ständigen Verbindungs-Abbrüchen und ließ sich teils nur mit einer Unterbindung der Stromzufuhr wieder aus dem "Winterschlaf" wecken.
Wenn die Firmware aktuell ist, kannst Du da wenig dran ändern.
Mal einfach einen anderen Router dort testweise verwenden, wird Dir Klarheit bringen.
Gruß orcape
Mitglied: aqui
aqui 22.01.2016 um 12:54:25 Uhr
Goto Top
Eben NetGear halt.... Die Leidensthreads hier sprechen ja ne deutlich Sprache face-wink