Skip to main content

Ik heb onlangs mijn firewall vervangen door een ander model.

Deze heeft extreem veel monitoring-opties en net als de andere een failover via 5G.

Na de ombouw bleek 5G ontzettend vaak gebruikt te worden.

Wat blijkt, met regelmaat lijkt de verbinding via glasvezel weg te vallen volgens de nieuwe firewall.

Vreemd, want de oude firewall had daar geen last van, het T50 modem geeft geen enkele drop aan en de kabels waren nieuw.

Het lijkt er echter op dat het T50 modem na elke reset terug valt naar zo'n 2000 NAT sessies per host.

Omdat de firewall alle sessies voor zijn rekening neemt, gaan alle clients via het IP adres van de firewall naar het T50 modem.

Die knijpt na 2000 sessies de volgende sessies af en de firewall denkt dat er geen verbinding meer is, en doet een failover naar de 5G modem.

Nu heb ik gezien dat het aantal sessies aan te passen is, maar elke firmware upgrade of factory reset zal deze instelling weer verdwijnen en mijn geheugen dat dit aangepast is ooit, ook.

kan deze setting niet default aangepast worden?

Dit kan ook een probleem worden bij gebruik van een wifi-router met nat, een firewall, of een eigen router na de glasvezel unit.

Zeker gezien een gemiddelde website al snel 1000 sessies kan veroorzaken (tweakers.net, nos.nl en andere mult-resource pagina's als kranten, nieuwssites en tech-sites).

Hallo @Sictc,

Even voor wat meer duidelijkheid, welke firewall hebben we het over en hoe is deze in je netwerk opgenomen.

Dus hoe is de routing precies, want is deze firewall op zichzelf ook een router?

Is het geen optie om  het T50 modem/router er tussenuit te halen?

Zelf maak ik gebruik van pfsense, die is rechtstreeks aangesloten op de converter.

“Modem” had ik graag vervangen, maar ik heb geen ervaring met IPoE omdat het zakelijk op een paar telco’s na niet echt breed gebruikt en slecht gesupport wordt door hardware, bovendien heb ik nog telefonie die ik nog niet heb omgezet naar VOIP. Ik werk beroepsmatig veel met linux en wil dat thuis eigenlijk niet ook nog eens doen, gewoon lekker makkelijk met een appliance, support via een telefoon ipv een forum enz ipv eventueel gezeik met freebsd libraries enz.

 

Wellicht dat ik binnenkort de stap ga wagen om die T50 er tussenuit te wurmen… Maar gezien er de laatste tijd veel CVE’s zijn voor zowel Checkpoint, Fortigate, Cisco en Ubiquiti is de keuze voor een hardware doos rechtstreeks aan internet nog niet zo makkelijk. Ik heb de keuze uit een 1895, een FG60F, een 4331 en een SE, maar alle vier vertrouw ik niet om deze aan het grote boze internet te hangen. FreeBSD met PF zou nog kunnen op een micro-pc maar al mijn micro pc’s hebben maar 1 NIC, en usb rommel is niet bevordelijk voor throughput en stabiliteit. 1 NIC met VLANs is weer niet handig, omdat je dan max 500mbps kan halen op een 1gbps NIC en ik heb 1gbps odido.

Reageer


ForumvoorwaardenCookie instellingen