Erfahrungsbericht Umstellung von AVM FB 6360 auf AVM FB 6490
Nachdem uns UM dazu überredet hatte, den Tarif zu aktualisieren (jetzt "Office Internet & Phone 150", vorher "Office Internet & Phone 100"), haben wir unlösbare Probleme im Zusammenhang mit der neuen Fritz!Box und unserer nachgeschalteten Technik. Zunächst wurde uns beim Verkaufsgespräch versichert, dass sich Vor-Ort nichts ändern wird und dass wir unsere 5 statischen IPs behalten, so wie sie sind. Dies war wichtig, damit wir nicht alle nachgeschalteten Komponenten und die Gegenstellen (RZ, IPSEC, Firewalls, DNS, rDNS etc.) angepassen müssen. Dies und ein bischen mehr Upload-Rate, da war dann die Entscheidung zur Umstellung gefallen.
Der Sub-Sub-Techniker (beauftragter "Partner" von Mediacom) kam und wollte zu unserem Erstaunen die Fritz!Box tauschen. Wir ließen dies über uns ergehen, aber die Sorge größerer Veränderung bahnte sich an. Der Techniker fragte, ob wir die alten IP-Adressen behalten würden, wir sagten 'ja'. Nachdem die Box anscheinend erfolgreich provisioniert wurde verschwand er, mit dem Hinweis, wir sollten noch etwas warten, bis alles wieder funktioniert. Zum Glück ließ er eine Visitenkarte da. Die Box war auch nach Stunden nicht über die gewohnte IP-Adresse erreichbar. Nach einem Anruf beim Techniker glichen wir die IP-Adressen ab und siehe da, neue IP-Adressen! Die erste Welle des Grolls kam nun hoch. Unzählige Anpassungsarbeiten stehen ja nun an..
Nachdem die IP-Adressen an den wichtigsten Stellen angepasst waren folgten erste Durchsatztests zwischen dieser Site und dem RZ in Düsseldorf. Der reguläre Download-Traffic blieb weit unter 100mbit und der IPSEC-Download-Traffic war praktisch nicht nutzbar. Letzterer war begleitet von regelmäßigen vollständigen Tunnelzusammenbrüchen und Reconnects.
Der direkte Betrieb mittels Notebook an der neuen Fritz!Box ("Consumer"-Rolle) war dagegen in Ordnung.
Nach einiger Zeit kamen wir auf die Idee den WAN-Port des IPSEC-Routers (LANCOM 1631E) nicht mehr mit 1.000Mbit/s, sondern nur noch mit 100Mbit/s an die Fritz!Box zu verbinden. Siehe da, eine wesentlich stabilere Verbindung, keine Abbrüche mehr bei IPSEC!
Leider herrscht immernoch eine schlechte Performance. Regulärer Download-Traffic bei etwa 80Mbit/s, IPSEC-Download-Traffic bei etwa 20Mbit/s. Gerade Letzteres ist nicht akzeptabel. Die Kappung auf 100Mbit am LAN-Anschluß macht zudem bei einem 150er Tarif nachvollziehbar keinen Sinn.
Nach vielen Tests (z.B. MTU-Analyse, RX-Drops-Fehlerstatistik am Switch, Wireshark etc.) liegt nun die Vermutung nahe, das die CPU der neuen Fritz!Box die Paketrate - insbesondere bei IPSEC - nicht bewältigen kann, schon garnicht im Gigabit-Modus. Bei einer Leerlauf-Last von ca. 72% (Was macht die Box da eigentlich die ganze Zeit? WLAN/NAS/Media ist aus..) scheint da auch nachvollziehbar nicht mehr viel Reserve für den IP-Stack zu sein. Beim IPSEC-Durchsatztest läuft die FB-CPU auf 99%. Die höhere Anzahl der verwendeten Kabelkanäle (jetzt 12x3, früher 4x4) trägt vermutlich zusätzlich zur CPU-Last bei. Wir glauben zudem, dass hier möglicherweise auch eine grundsätzliche Unverträglichkeit zwischen AVM Fritz!Box 6490 und LANCOM 1631E im Gigabit-Modus der LAN-Ports vorliegt. Wir haben natürlich verschiedene Patch-Kabel getestet, ohne Erfolg.
Wir haben dann den LANCOM-Router in der gleichen Konfiguration (Außnahme IP-Adressen) zum Testen an einem anderen Standort (ebenfalls UM) ausprobiert und etwa 45Mbit/s IPSEC-Traffic an einem 70er Anschluß (v-max bei Normal-Traffic) erreichen können. Dort werkelt noch eine "alte" AVM Fritz!Box 6360.
In der ersten Woche haben wir zunächst auf den Techniker verzichtet, um interne Fehler ausschließen zu können. Am Montag wird er nochmal kommen und dann werden wir einem Sub-Sub Radio- u. Fernsehtechniker etwas von ICMP, MTU, RX-Drops, TCP-Retrans, CPU-Load etc. erzählen, mal schauen wie das wird.
Man kann nur noch hoffen, dass der Endgerätezwang hoffentlich bald vom Gesetzgeber verboten werden wird und gerade Business-Kunden hochwertige Endgerätetechnik, z.B. reine Modems ohne NAT/VoIP/WLAN, einsetzen dürfen. Dieser Trend zur "Eierlegendenwollmilchsau" im Routerbereich erhöht Fehlerquellen und Angriffsfläche zugleich. Dies ist unverantwortlich, insbesondere wenn dem Kunden dabei gleichzeitig die Kontroll- und Einflußmöglichkeit genommen wird (UM-Anpassungen/Abschottungen regulärer FritzOS-Firmware).
Wir werden insbesondere aus diesen Gründen auf unseren nachgeschalteten LANCOM-Router nicht verzichten.
An UM:
1.) Bei Tarif-Umstellungen ist der Kunde ehrlich über die zu erwartenden technischen Veränderungen zu informieren!
2.) Wir wollen es gerne nochmal mit einem reinen Kabelmodem testen (ohne VoIP, WLAN und NAT), oder eben zurück zur vorherigen Konfiguration (lieber stabile 100Mbit, als Probleme mit 150Mbit).
LSD1
|