Speedport Hybrid und Synlology Hyper Backup (MTU-Size)

@x4N70pHyLL ...welche Firmware ist auf dem SPH drauf?   4.0.7 wäre die aktuelle Release.  Damit sollten Pakete mit einem MTU von 1440 auf beiden Verbindungen durchgehen, alles drunter sollte auch funzen.  Bei Backups würde ich auch von der Fritz.Box auf andere Tunnelendpunkte switchen und  die Synology's direkt per VPN miteinander  verbinden.  Wenn Du nicht IPSec, sondern was anderes benutzt, kannst Du dich sogar zeitgleich noch per VPN (IPSec) in die Fritzboxen als Client einwählen.

Deine Fehlerbeschreibung klingt nach MTU-Sitze-Probleme, viel mehr kann ich da aber mit den aktuellen Info's nicht sagen.

Grüße

danXde

Okay, ich hatte bisher (habe das so über mehrere Jahre an meinem alten Anschluss genutzt) keinerlei Probleme damit. Das Backup habe ich allerdings direkt durchs Internet geroutet gehabt und dann über Portfreigabe. Das habe ich jetzt am neuen Anschluss geändert, VPN finde ich die schönere und sicherere Lösung, wenn dann performancetechnisch Grenzwertig über die FritzBox.

Die Performance passt allerdings, ich bekomme 1,3MB/s, das entspricht meinem Upload von 2,5+2,5 Mbit/s.

Bei meinem alten Anschluss war das bei 40Mbit/s Upload eine andere Geschichte.

Übrigens soll die aktuelle Labor-Firmware der FritzBox die VPN-Performance erheblich verbessern, habe sie bisher allerdings nur auf einer der beiden FritzBoxen und bin wie angesprochen gerade sowieso nicht am Limit.

Gibt es denn noch Vorschläge was ich tun kann?

Heute Nacht hatte das Backup einen Aussetzer, was eigentlich erst Mal kein Problem darstellt, sowas passiert schon Bla, wenn das initiale Backup ein paar Tage dauert. Problem ist, dass es ja nicht wieder anlaufen kann, erst, wenn ich entweder DSL oder LTE ausschalte, das Backup starte und dann das ausgeschaltete wieder zuschalte.

@danXde unsere Antworten hatten sich überschnitten, ich glaube die Firmware-Version fehlt noch, sonst hatte ich das meiste beschrieben: 050124.04.00.007

Nein, habe ich nicht eingerichtet. Ich halte es für sinnvoller weil sicherer, die FritzBoxen miteinander sprechen zu lassen, statt für die NASe "Löcher" zu bohren. Daher wäre mir wichtig, das möglichst so zu lösen...

Genau das meine ich - Löcher Bohren heißt Ports im Router weiterleiten. Dadurch entstehen ja potentielle Angriffsvektoren auf das NAS, so wie Du es beschrieben hast. Das möchte ich vermeiden, daher halte ich das VPN direkt über die FritzBoxen und deren Hauptaufgabe ist, "Böses" draußen zu halten, (die sowieso am Internet sind) für etwas sicherer

@x4N70pHyLL   wenn Du die beiden NAS aber ebenfalls über eine verschlüsselte alternative VPN-Verbindung (z.B OpenVPN, ...) koppelst, entsteht  nicht wirklich ein neuer Vektor. ...alllerding meist eine Verbindung mit deutlich mehr Durchsatz.

Grüße

danXde

@danXde 

Sobald Du die NAS aufs Internet rauslässt entsteht ein neuer Angrifssvektor.

Aber ein "wasch mich, mach mich aber nicht nass" geht halt nicht.

Wenn die Verbindung mit den Fritzboxen nicht klappt, dann erhöht das zumindest die Sicherheit

@x4N70pHyLL 

Die Hybridtechnik zwingt einen bisweilen zu Kompromissen. Probier es doch zuerst mal aus und wenn es Dir nicht taugt, dann kannst Du es immer noch verwerfen.

Da kann man sicherlich drüber streiten, ob bzw. wie schlimm und risikoreich das jetzt ist, aber es entsteht doch definitiv ein geöffneter Port an beiden FritzBoxen (und am Hybridanschluss zusätzlich am diavorgeschalteten Speedport Hybrid).

Ich danke für Eure Hinweise, ich hoffe, dass wir uns nicht an dieser Option festbeißen, denn meine Lösung hat ja aus meiner Sicht keinen gravierenden Designfehler oder sowas, sondern es ist eine VPN-Verbindung, die ich schon immer nutze und die auch funktioniert und für meinen Internetanschluss auch Leistungsfähig genug ist.

Geht ihr denn wirklich davon aus, dass ich damit weiterkomme, wenn ich die eine VPN-Verbindung durch eine andere ersetze? Außer dass man die eine oder andere Lösung für "schöner, eleganter, sicherer oder performanter" halten kann?

Es geht ja hier anscheinend darum, dass - sobald Nutzdaten übertragen werden sollen - offensichtlich aus irgendwelchen Gründen der Start und damit die Aushandlung der Verbindungsparameter NUR über DSL ODER LTE sein darf, danach kann ich die jeweils zweite Strecke wieder zuschalten.

VPN und Hybrid ist ein kitzeliges Thema - soll Dich aber nicht davon abhalten, das ans Laufen zu bekommen über die Fritzbox site-to-site Verbindung.

Bitte keep us updated... we stay tuned...

@muc80337_2   naja, wenn ich den/die Ports für eine weitere VPN-Technologie öffne, sehe ich das  nicht so Mega-Kritisch und aus Performancegründen für ein gute Option. 

@x4N70pHyLL  ich habe  hier ebenfalls ein L2L zwischen zwei Fritz.Boxen am Laufen -eine hinter dem SPP/SPH und die andere ist eine Kabel-Fritz.Box.  Das funktioniert soweitstabil. Allerdings transferiere ich eher selten größere Datenbestände, sondern nutze die Verbindung eher administrativ. Als Empfehlung würde ich in den beiden Fritz.Boxen als MTU-Size 1440 einstellen (in der Internetzugang (IPv6), dadurch verlierst Du am DSL  zwar ein wenig Durchsatz, weil nur noch kleinere Pakete als 1492 versendet werden, aber dafür kommen diese dann auf jeden Fall unfragmentiert über den SPH drüber.

Grüße

danXde

Hallo danXde,

die 1440 habe ich jetzt mal eingestellt, komischerweise sagt AVM hier, dass MTU einstellen durch die FritzBox nicht unterstützt wird, oder ich habe was falsch verstanden.

Was mich noch irritiert hat ist, dass in dem Feld der beiden FritzBoxen mit der MTU als Standardwert 1280 drinstand (ohne Häkchen gesetzt).

Hier ein Auszug aus dem für mich überraschend kompetenten und hartnäckigen Synology Support (das war ich bisher leider anders gewohnt, bin langjähriger Kunde dort):

Das MTU Problem scheint noch zu bestehen.

Die Pakete die von einer Fritzbox zur anderen Übertragen werden haben eine maximale größe von 1500 byte.

Alle Pakete größer als 1500 byte werden Fragmentiert, also in mehrere Pakete aufgeteilt.

Die Fragmentierung erfolgt nicht durch Hyperbackup und kann zu Problemen bei der Interpretation auf dem Ziel-NAS führen.

Je nach Art und Weise wie die MTU durchgesetzt wird, kann es auch zu größeren Paketverlusten kommen, was der wahrscheinlichste Grund für die abbrechenden Backups ist.

Bei einer VPN Verbindung werden Meta-Daten jedem Paket hinzugefügt. Diese haben eine größe von, je nach Protokoll, ca 80 Byte und ca 180 Byte.

Der NAS sendet bereits in der Standardeinstellung ein Paket 1500 byte Pakete. Wenn diese durch den VPN Tunnel übertragen werden, kommen die Meta Daten hinzu,

wodurch die Pakete größer als 1500 byte werden und Fragmentiert werden müssen.

Wenn der VPN Tunnel direkt am NAS anliegt, werden die Pakete direkt mit den VPN Meta Daten erzeugt, sodass die 1500 Byte nicht überschritten werden. 

Es bleibt spannend...

Grüße

---

@x4N70pHyLL  schrieb:

die 1440 habe ich jetzt mal eingestellt, komischerweise sagt AVM hier, dass MTU einstellen durch die FritzBox nicht unterstützt wird,

---

Wo in der GUI genau hast Du die eingestellt?

Was AVM im verlinkten Beitrag sagt ist, dass das bei einer von der Fritzbox aufgebauten DSL Verbindung nicht geht. Bei Dir baut die Fritzbox keine DSL-Verbindung auf, das macht der Speedport.

An der FritzBox ist bei "Internet -> Zugangsdaten" die Option "Vorhandener Zugang über WAN" eingestellt.

Auf dem Tab IPv6 ganz unten bei "weitere Einstellungen" habe ich die Option "MTU manuell einstellen" ausgewählt.

Dazu musste ich allerdings oben IPv6 aktivieren, und dann ist "Native IPv4-Anbindung verwenden" ausgewält. Habe ein Bild angehängt.

Ich bekomme allerdings alle paar Minuten den Fehler "IPv6-Präfix konnte nicht bezogen werden, Fehlergrund: 6 ()" im Protokoll angezeigt.

Grüße

@x4N70pHyLL   sorry für die späte antwort, aber ich habe  den Thread aus den Augen verloren. 

IPv6 PD funktioniert leider nur mit dem aufgebohren SPH.   Ein Wechsel zum SPP wird  aus meiner Sicht keine Verbesserung bringen.  

Eventuell könnte es helfen, wenn Du  die Netzwerkschnittstellen der Synology auf 1440 statt 1500 konfigurierst. Dann verlierst Du im LAN zwar ein wenig Maximaldurchsatz aber verhinderst für den Tunnel fragmentiert werden muss.

Grüße

danXde

Danke für den Hinweis, das hatte ich ja als eine der ersten Maßnahmen getestet, scheint leider nichts gebracht zu haben.

Ich werde das nochmal mit testen, verspreche mir da aber keinen Erfolg.

Was heißt Deine Aussage mit "aufebohren SPH" genau? Ich muss am SPH was einstellen, dass die FritzBox ihre IPv6 Pakete durchrouten kann?

Grüße

Hallo zusammen,

inzwischen sind einige Backups gelaufen und das erste davon wieder fehlgeschlagen bzw. hat eben ein Fehlerhaftes Backup-Ziel hinterlassen, so dass die Synology nicht mehr weiter sichert. Es hilft dann immer nur es durch den Synology Support reparieren zu lassen oder eben löschen und komplett neu anlegen und laufen lassen.

Diesmal habe ich mit dem MTU von 1440 auf BEIDEN LAN-Ports der Synology sichergestellt, dass der Test auch Sinn ergibt. Ich wollte noch den SPH als Gateway einstellen, aber das funktioniert (logischerweise) ja nicht, weil die Synology ja hinter der FritzBox hängt und somit in einem andern Subnetz ist (sein muss).

@danXde : Was hast Du noch für Ideen bzw. was meintest Du mit SPH "aufbohren"? Dachte halt schon daran, nur über LTE das Backup laufen zu lassen, aber das kann man ja nicht einstellen/automatisieren, das heißt ich müsste einmal die Woche Abends von Hand das trennen, dann laufen nachts die Backups und verbinde es wieder.

Grüße

x4N70pHyLL

@x4N70pHyLL  ...naja, es  geht halt noch etwas  mehr, allerdings nur mit Lötkolben + seriellen Adapter. Siehe hier.    Ansonsten müsste man mal schauen, was für Logmeldungen im SPH, Fritz.Box und Synology auflaufen und inwieweit sich da der Impact erkennen läst. Daten scheinen ja  übertragen zu werden.

Viele Grüße

danXde

Hallo nochmal,

es lief jetzt mit der MTU 1440-Einstellung einen Monat sauber, jetzt sind wieder zwei Backups als defekt markiert worden.

Zu den Logs: Was genau würdest Du anschauen @danXde ? Sonntags laufen bei mir immer alle Backups, Donnerstags der Integritätscheck. Dort markiert die Synology laut Log das Backup als "broken" und damit kann ich es nur für die Wiederherstellung nutzen. "Lösung": Komplett löschen, neu anlegen und neu initial durchlaufen lassen (läuft bei der Datenmenge und meinem Anschluss ca. 7 Tage durch). Wenn Du einen Tipp hast, wo Du genauer reinschauen würdest, gerne. Ich habe wie gesagt aufgrund der verschiedenen getesteten Konstellationen den Hybridtunnel in Verdacht.

Eine Frage zum SPH: Dass ich ein Skript oder ähnliches habe, dass ich auf meinem raspberry/ioBroker laufen lassen, das den SPH aufruft und das DSL oder LTE zu einer gegebenen Zeit trennt und wieder herstellt, geht nicht? Da bin ich leider nicht der Experte, aber ein ioBroker/Pi hätte ich zur Verfügung.