Fehler: Backup zwischen zwei Diskstations über Fritzbox LAN-LAN-VPN

[mimamuxx]

Hallo zusammen,

ich bin ziemlich ratlos, da ich seit 4 Wochen Probleme mit meinem Netzwerk, speziell mit der Sicherung zwischen zwei Diskstations habe.

Im Netzwerk nutze ich zwei Fritzboxen (jeweils FRITZ!Box 7390), die per LAN-LAN-VPN über Telekom Glasfaser (200Mbit/s down und 100Mbit/s up) seit rund 6 Wochen miteinander verbunden sind.
In beiden Netzten steht jeweils eine Synology NAS: Eine Diskstation 1513 in Netzwerk A und eine 1813 in Netzwerk B.

Der normale Betrieb funktioniert problemlos und sehr zügig auch per VPN, da ja Glasfaser genutzt wird.

Vom NAS im Netzwerk A werden automatisch Backups auf das NAS in Netzwerk B gespielt - und da beginnen die Probleme.

PROBLEM:
4 Wochen lief alles wunderbar. Seit rund 2 Wochen bleibt die Fritzbox in Netzwerk A regelrecht hängen, sobald die Sicherung vom NAS im Netzwerk A losgeht. Keine Telefonate, kein Internetzugriff geht mehr. Weder LAN-Port noch Webserver der Box ist erreichbar.
Ich habe herausgefunden, dass das Problem verschwindet, wenn die LAN-LAN-Verbindung dann über die Fritzbox im Netzwerk B manuell deaktiviert wird. Dann funktioniert die Fritzbox in Netzwerk A sofort wieder ohne Probleme. Damit ist natürlich das Backup fehlgeschlagen, da die Verbindung getrennt wurde.

AVM sagt, dass liegt an den Synology Diskstations. Die können das Problem aber auch nicht genau benennen und eine Datenlogging scheitert, weil sich die Box inklusive Datenlogging in die Knie geht.

Zudem ist mir aufgefallen, dass die ersten 15 Minuten nach dem Start des Backups das Netzwerk A noch funktioniert. Erst wenn die Daten von der Diskstation auf das NAS in Netzwerk B geschickt werden reagiert das System nicht mehr. Die Datenrate beträgt anfänglich solange bis kein Zugriff mehr auf das Netzwerk ist zwischen 0,25 und 1MB/s. Die Geschwindigkeit vom Glasfaser sollte locker das Zehnfache aushalten...

Wer kann helfen? Wer hat Tipps?

Vielen Dank schon mal, ich bin echt am verzweifeln....

Mimamuxx

 

[mimamuxx]

Hat denn niemand einen Tipp?

 

[dil88]

Nur eine Vermutung: Es könnte thermische Gründe haben. Die 7390 wird sowieso schon ganz schön heiß. Dann bekommt sie einige Last und ist höheren Außentemperaturen ausgesetzt. Leider kann man in den neueren FritzOS Versionen die Temperaturen nicht mehr sehen. Achte doch bitte einmal auf eine möglichst freie Aufstellung oder sogar (kühle) Belüftung, wenn sich das während des Backups einrichten lässt.

 

[mimamuxx]

danke dir! Ich werde mal testen was passiert, wenn ich die Box kühle!

 

[cyorps]

Wer ist für die VPN-Verbindungen zuständig? Die Fritzboxen oder die DSM's?

 

[TheGardner]

Die Fritzboxen! Hat er oben auch schon so erwähnt! Mit LAN-LAN-VPN ist explizit eine AVM Funktion gemeint, die jedes DS VPN Szenario in der Handlichkeit um längen schlägt und die so nur mit Fritzboxen umgesetzt werden kann!
Mich verblüfft, dass es 4 Wochen ging und jetzt auf einmal nicht mehr!

 

[jan_gagel]

(...)Mich verblüfft, dass es 4 Wochen ging und jetzt auf einmal nicht mehr!

Vielleicht hat sich ja während oder nach diesen 4 Wochen irgend etwas verändert? Hat eine beteiligte Komponente ein Software-Update gezogen? Hat sich bei den beteiligten Fritzboxen die Umgebungstemperatur geändert?

Ich denke, ein Backup was via VPN über zwei Fritzboxen geht, lastet beide ziemlich aus. Gerade bei diesen schnellen Zugängen. Könnte mir gut vorstellen, daß da die erste Fritzbox, die die Daten ja alle fleißig verschlüsseln muß, da ziemlich ausgelastet ist und regelrecht gegen die Wand fährt. Klar, daß dann die zweite noch funktioniert.

Ich würde die Fritzbox etwas erhöht aufstellen und mit einem Ventilator mal kühlen. Hauptsache, die Wärme wird von der Box abgeführt. So handhabe ich das bei meiner 7390 auch, wenngleich ich keine derartige Situation habe und sich die Box oft nur langweilt.

Typisch AVM ist es jedenfalls, die Schuld den beteiligten DSsen in die Schuhe zu schieben.

Man könnte, um letzteres auszuschließen, auch mal eine ähnliche Datenmenge von einem PC in Netz A zu Netz B transferieren. Bleibt da die Fritzbox wieder hängen, liegts an den Fritzboxen.

 

[maDDin_1338]

also bei meinem bruder ist die 7390 auch regelmäßig ausgestiegen.. sogar ohne solch einer last..

Laptop aktiv kühlpad drunter und seitdem ist es wesentlich besser..

 

[schmadde]

Warum um himmels Willen nimmst Du denn für VPN über so schnelle Verbindungen Fritzboxen? Verschlüsselung kostet CPU Zeit, für 100MBit ist so eine Fritzbox hoffnungslos unterdimensioniert. Das ist wie wenn Du mit einem Trabbi Formel1-Rennen fahren willst. Ich schätze, die FB7390 schafft max 10MBit/sec Verschlüsselung (also die 1Mbyte/sec die Du angibts klingen für mich plausibel) und ist damit so ausgelastet, dass da nichts anderes mehr gehen dürfte, schon gar kein VoIP. Für einen "normalen" DSL-Anschluss reicht das ja auch aus. Für 100Mbit brauchst Du richtige Hardware (oder einen PC mit Linux o.ä.).

Alternative: beim Backup mit rsync kann man die Bandbreite begrenzen, ich würde nicht höher als 5Mbit/sec gehen. Überhitzung ist sicher ein weiteres Thema, aber mit FB an diesen Leitungen wirst Du auf Dauer nich glücklich, auch ohne Überhitzung.

 

[TheGardner]

also bei meinem bruder ist die 7390 auch regelmäßig ausgestiegen.. sogar ohne solch einer last..

Laptop aktiv kühlpad...

wasn das??? Zuerst hab ich gedacht nen Kühlpad aus der Tiefkühle, aber Du meinst da sicher was anderes!

 

[jan_gagel]

es gibt da so Teile zum Unterlegen. Da sind dann ein oder zwei Ventilatoren drin und saugen die warme Luft vom Notebook weg. Noch nie gesehen?

 

[TheGardner]

Alles klar! Danke!

 

[mimamuxx]

Danke euch für die Antworten,

Die ersten 4 Wochen ging's wirklich ohne Probleme. Es hat sich seit dem weder an der Konfiguration noch an der Art der Synology Sicherung etwas verändert.

Angenommen, es liegt daran, dass die Fritzbox zu heiß wird: Wie kann ich ein vernüftige Lösung dann aufbauen?
Gibt es Router, die ebenfalls Lan-Lan-VPN können, die auch mit diesen Geschwindigkeiten von Glasfaser zurecht kommen?
Oder kein Lan-Lan-VPN? Was empfehlt ihr?

 

[Wile E Coyote]

Hättest Du die Möglichkeit mal 2 andere, neuere FritzBoxen zu testen? Ich nutze FritzBoxen schon seit 14 Jahren und die 7390 war nicht lange mein Freund, mit der 7490 bin ich deutlich zufriedener. Mittlerweile gibt es ja schon die 7590, da habe ich aber keine Erfahrungswerte da meine 3 7490 noch super laufen.

Ich selber nutze auch das Fritz-VPN um tägliche Backups quer durch Deutschland zu machen. Bisher ohne Probleme und mit einem monatlichen Datenvolumen von ca. 1,5 TB.

 

[blurrrr]

Bei solchen Geschwindigkeiten würde ich sowieso vernünftige Hardware nehmen und keine SOHO-Router. Such Dir was "gekühltes" raus mit ordentlicher CPU, 4GB RAM, 2+ LAN-Ports, pack ein entsprechendes OS drauf zwecks VPN und ab dafür. Dann gibt es auch die volle Performance. Habe noch nie eine FB gesehen die 100MBit via VPN macht (die Du aber theoretisch haben könntest)....

Vor einigen Tagen bin ich über diesen Link hier gestolpert: https://blog.webernetz.net/fritzbox-vpn-speedtests/
Bringt vielleicht auch ein wenig Erkenntnis... Fritzboxen sind halt auch "nur" SOHO-Router... Wenn die ständig unter Dauerlast stehen, werden die früher oder später eben auch gebraten.

 

[Great Jay]

Hallo zusammen,

bei der Suche nach einer Problemlösung bin ich auf diesen Beitrag gestoßen... vielleicht kann mir ja hier jemand weiterhelfen.

Ich habe die LAN LAN Kopplung zwischen zwei Fritzboxen eingerichtet und schaffe es jetzt nicht, dass der andere Rechner bei mir unter "Netzwerk" erscheint :-(

Es ist ein Laptop, der per WLAN an der anderen Fritzbox hängt. Müsste ich den nicht trotzdem sehen, oder geht das nur für per LAN angeschlossenen Geräte?

Habe dann versucht einen Ordner auf dem Laptop freizugeben und dann vom anderen Rechner über die IP, also \\192.168.**.**\freigabe, zuzugreifen. Das hat leider auch nicht geklappt.

Hat hier vielleicht jemand einen Tipp?

 

[blurrrr]

Das was Du unter "sehen" verstehst, sollte nur im LAN/WLAN funktionieren und läuft via Broadcast. Beim Router ist dann quasi Schicht im Schacht: siehe Broadcast-Domäne. Sicherlich gibt es Möglichkeiten für eine Erweiterung, aber braucht man dann schon entsprechendes Know-How.

Was die Freigabe angeht, so gibt es da einige Fehlerquellen. Versuche am besten erstmal ein Gerät im anderen Netz zu pingen (via Eingabeaufforderung: "ping <IP des Zielgerätes"). Wenn das funktioniert, können die Geräte auf jeden Fall miteinander kommunizieren. Die Netzwerk-Kategorie der Verbindung des Zielgerätes im LAN/WLAN sollte unter Windows auf "privat"/"privates Netzwerk" oder "Arbeitsplatz" stehen. Ferner kannst Du testweise die Berechtigungen noch einmal prüfen, denn: NTFS- und Freigaberechte sind komulativ. Eins davon einstellen reicht nicht. Am besten legst Du einen neuen Testordner an, gibst diesen für "jeder" frei und setzt auch unter dem Reiter "Sicherheit" die Berechtigungen mal für "jeder" auf Vollzugriff (ist ja nur ein Testordner). Mitunter musst Du noch in Netzwerk- und Freigabecenter auf der rechten Seite auf "Erweiterte Freigabeeinstellungen" klicken und dort mal a) "Kennwortgeschützes Freigeben" testweise ausschalten. Danach sollte theoretisch der Zugriff auf den (oben angelegten) Testordner möglich sein. Natürlich sollte hier auch der Punkt "Datei- und Druckerfreigabe" aktiviert sein. Viel Erfolg

 

[Great Jay]

Tausend Dank. Das sind doch mal sachdienliche Hinweise

Also: Ping zum anderen Router klappt, zum Laptop aber nicht (immer Zeitüberschreitung).

Habe die Firewall geprüft wegen Ping-Antworten zulassen und der Netzwerktyp steht auf privat. Trotzdem klappt es nicht.

Des Weiteren habe ich die eigene IP mit Freigabe beim Laptop im Explorer eingegeben. Das ging. Die IP stimmt also. Ist keine feste IP... aber das sollte ja auch egal sein, oder?

Kann das vielleicht am schlechten WLAN-Empfang liegen? Der ist da nämlich nicht so doll...

Und sollte das mit einer DS direkt am Router auf jeden Fall klappen, da der ja per Ping erreichbar ist, oder sollte ich vor der Investition noch anderweitig testen?

 

[blurrrr]

Ob die IP statisch ist oder dynamisch spielt soweit erstmal überhaupt keine Rolle. Wenn das mit dem Site2Site-VPN steht (und auch wirklich "richtig" steht), sollte alles andere kein Problem sein. Du wirst bei der Konfiguration der "Remote"-Netze aber auch schön die 192.168.x."0" eingegeben haben und keine "1" oder? Subnetzmaske dann entsprechend auch "normal" auf 255.255.255.0? Sicherlich kann sowas auch am schlechteren Empfang liegen, allerdings könnte man den Laptop "testweise" auch mal kurz via LAN verbinden und neben den Router stellen (nur zum testen).

Grundsätzlich wären folgende Tests ratsam (alles via Eingabeaufforderung) :

1) Remote-Route erreichbar? -> "ping <interne IP des Remote-Routers>" (hattest Du schon erfolgreich getestet)
2) Remote-Client erreichbar? -> "ping <interne IP eines pingbaren Remote-Clients> (hattest Du schon getesten, nicht erfolgreich)
3) Routing korrekt? -> "tracert <interne IP im Remote-Netz>" (Hop-Liste der Pakete - kurzum: wo gehen die Pakete lang?)

Als kleines Beispiel zu "3)" schau Dir mal das Ergebnis von z.B. "tracert www.google.de" an. Dann weisst Du wie sowas korrekterweise aussehen sollte.
Bei Dir sollte dann als erster "Hop" (erster Wegpunkt des Paketes) Dein lokaler Router auftauchen, da dieser das Paket nimmt und in den VPN-Tunnel wirft (sollte), danach sollte schon das Endgerät im Remote-Netz auftauchen. Was aber auf "gar keinen" Fall passieren sollte: es geht ins "Internet" (erkennbar an: keine "192.168.x.x"-IP mehr), denn im Internet werden diese Adressen nicht geroutet (privates Netzwerk halt). Kurzum:

1 <1 ms <1 ms <1 ms FRITZBOX [192.168.1.1]
2 34 ms 33 ms 33 ms test.domain.local [192.168.2.20] < Client im Remote-Netz

.1.x = lokales Netz
.2.x = Remote-Netz

So sollte es dann normalerweise aussehen. Wenn das Routing nicht stimmt, wäre es wie folgt:

1 <1 ms <1 ms <1 ms FRITZBOX [192.168.1.1]
2 6 ms 6 ms 6 ms dslb-.x.x.pools.vodafone-ip.de [88.x.x.x]

Hier sieht man sehr schön, dass es in Richtung Internet geht (öffentliche IP @ Hop "2") und das ist natürlich völlig falsch, weil die Pakete ja in den VPN-Tunnel sollen und nicht direkt ins Internet. Von daher teste das mit dem "tracert" ruhig mal a) auf die Router-IP des Remote-Netzes (sollte funktionieren), dann aber auch nochmal auf "irgendeine" andere IP (falls Du bei der VPN-Config das Remote-Netz falsch eingegeben hast (z.B. 1 statt 0) sollte z.B. 192.168.x.66 auch direkt ins Internet wandern, dann wäre die Config einfach nur falsch). Also ruhig Traceroute testen mit Remote-Router-IP und Remote-Client-IP. Falls vorhanden, könntest Du natürlich noch versachen andere Gerätschaften im Remote-Netz zu pingen oder via traceroute den Ablauf zu verfolgen.

Hoffe das hilft ein wenig weiter, viel Erfolg!

 

[Wile E Coyote]

Bei solchen Geschwindigkeiten würde ich sowieso vernünftige Hardware nehmen und keine SOHO-Router. Such Dir was "gekühltes" raus mit ordentlicher CPU, 4GB RAM, 2+ LAN-Ports, pack ein entsprechendes OS drauf zwecks VPN und ab dafür. Dann gibt es auch die volle Performance. Habe noch nie eine FB gesehen die 100MBit via VPN macht (die Du aber theoretisch haben könntest).....

Servus,

was genau würdest Du denn empfehlen damit man den vollen Speed hat und was vom konfigurieren her kein IT-Studium braucht.

Gruss