Raspberry PI verursacht Netzwerkabbrüche im gesamten Heim-Netzwerk

Heute ist Stammtischzeit:
Jeden Donnerstag 20:30 Uhr hier im Chat.
Wer Lust hat, kann sich gerne beteiligen. ;)
  • Hallo zusammen,

    habe seit Montag endlich meinen Raspberry und musste ihn heute leider vom Netz nehmen, da er massive Schwierigkeiten im Heim-Netzwerk verursacht (zumindest meine Vermutung, da die Fehler davor noch nicht auftraten).

    Ich habe den Raspberry über ein Cat5e-Kabel direkt in eine LAN-Buchse des Routers angeschlossen (Speedport 723v).

    Nun zu den Symptomen. In unregelmäßigen Zeitabständen bricht das WLAN / Internet ein. Ich habe auch das Gefühl das die Geschwindigkeit sobald er angeschlossen ist beim Surfen geringer ist. Ich habe über den Router NO-IP sowie Portweiterleitungen aktiviert. Hat jemand von euch schon einmal ein ähnliches Problem gehabt und kann mir vielleicht helfen?

    Grüße
    h4lifax

  • Raspberry PI verursacht Netzwerkabbrüche im gesamten Heim-Netzwerk? Schau mal ob du hier fündig wirst!

  • Ich kann dir nur raten, wenn du das Raspi über einen Router ans Netz, also auch Internet hängst dich zuvor ausgiebig mit den Sicherheitseinstellung von Linux vertraut zu machen.

    Standard Zugang, also pi:raspberry sind hierbei schon eine riesige Sicherheitslücke. Sollte das noch der Fall sein, kann es durch Portweiterleitung usw. natürlich relativ schnell passieren, das dein Raspi von außen in Angriff genommen worden ist.

    Oder für irgendwas anderes benutzt wird ...

    Schau doch einfach mal was dein Login Log sagt
    Unter Linux gibt es das "w" command, damit bekommt man eine sehr gut Übersicht. ( weiß gar nicht ob das Command aufm raspi funktioniert O_o )
    Ansonsten gibt da noch "last user", damit bekommt man eine komplette Login Übersicht.

    Ich freue mich auch über ein Danke :thumbs1: :D

    Einmal editiert, zuletzt von Donn!e DarKo (26. September 2013 um 07:52)

  • Frage:

    - Wenn der RaspberryPI über Netzwerkkabel angeschlossen ist, wieso sollte dass das WLAN stören?

    - Was für ne Portweiterleitung hast du eingerichtet und wieso/wofür?

    - Was machst du mit dem RaspberryPI? Vielleicht sowas wie pyLoad?

  • Guten Morgen,

    also Benutzerlogins hatte ich schon abgeändert auf etwas eigenes, hatte den Standard-Benutzer direkt rausgenommen. Unter den letzten Logins hatte ich zuletzt nur vertraute Geräte gefunden die ich auch eindeutig identifizieren konnte. Ich probiere das mit der login-übersicht mal aus heute abend.

    Ich hatte über den Speedport eine Portforwarding für SSH (22) und Port 80 eingerichtet, um den Raspi auch von außen über Web/Putty zu erreichen. Warum er das WLAN stören soll ist für mich auch nicht nachvollziehbar, es trat halt dann auf, wenn er am Router angeschlossen war.

  • Gabs die Probleme denn auch vorher, bevor du die Portweiterleitung eingerichtet hast?
    Wenn das WLAN ausfällt, der Raspberry aber kein WLAN nutzt, würde ich ein Problem beim Speedport suchen - ggf gibts da eine neue Firmware?

    Und was passiert wenn du einer der beiden Portweiterleitungen aus machst?


    PS: Ich würde auch unbedingt darauf achten keine Standard-Ports für die externen Ports zu verwenden - also die, die übers Internet angesprochen werden

  • Also nen Portforwording auf Port 80 erklärt eigentlich schon einiges.

    Alle eingehenden Internet Paket gehen über Port 80, das heißt dein Router erkennt das und leitet diese standardmäßig an dein Raspi weiter. Dein Raspi weiß nix damit anzufangen und verwirft sie. Das erklärt natürlich auch, warum dein Internet sehr langsam wird.

    Du solltest dein Raspi auf z.B. Port 8080 einrichten oder so. Sowie natürlich "DRINGENDST" den SSH Standart Port von 22 auf irgendwas anderes ändern z.B. 4321 oder so ... damit es nicht sofort ersichtlich ist, das es ein SSH Port ist ...

    Ich freue mich auch über ein Danke :thumbs1: :D

    Einmal editiert, zuletzt von Donn!e DarKo (26. September 2013 um 10:27)


  • Alle eingehenden Internet Paket gehen über Port 80, das heißt dein Router erkennt das und leitet diese standardmäßig an dein Raspi weiter. Dein Raspi weiß nix damit anzufangen und verwirft sie. Das erklärt natürlich auch, warum dein Internet sehr langsam wird.

    Ich glaub da verpeilst du was :-/

    NAT sorgt dafür das wenn du zB hier im Forum surfst, dass die Datenpakete die du empängst auch an deinen PC geleitet werden - da dein PC derjenige ist der ins Internet zu diesem Forum eine Verbindung hergestellt hat...
    Beim klicken auf irgendeine Schaltfläche hier im Forum stellt dein PC eine Verbdinung zu dem Webserver dieses Forums her und sagt "schick mir was", und dann weiss dein Router natürlich dass die Antwortpakete an deinen PC geschickt werden soll...

    Eine Portweiterleitung ist dazu dar das übers Internet eine Verbindung ("erster kontakt") zu dir hergestellt werden kann, die initialisierung also genau andersherum abläuft

    Port 80 ist der Standard-Port für http
    Port 443 ist der Standard-Port für https


    Dein letzter Satz stimmt aber natürlich, hat mit dem ersten aber nix zu tun ;)

  • Ich glaub da verpeilst du was :-/

    NAT sorgt dafür das wenn du zB hier im Forum surfst, dass die Datenpakete die du empängst auch an deinen PC geleitet werden - da dein PC derjenige ist der ins Internet zu diesem Forum eine Verbindung hergestellt hat...
    Beim klicken auf irgendeine Schaltfläche hier im Forum stellt dein PC eine Verbdinung zu dem Webserver dieses Forums her und sagt "schick mir was", und dann weiss dein Router natürlich dass die Antwortpakete an deinen PC geschickt werden soll...

    Gab es da nicht Funktionelle unterschied zwischen NAT und Portweiterleitung?

    Irgendwie hab ich das anders in Erinnerung. Weil das ausgehende Paket hat ja nur die IP Adresse des Router. Da die Anfrage zurück auch auf Port 80 kommt, war ich immer der Meinung das die Anfragen dann dort hin geleitet werden.

    Ich lass mich gerne verbessern :) Aber es ist so früh morgens, da darf man natürlich auch mal was verpeilen ;)
    Ist auch einfach vllt, etwas lange her XD

    Ich freue mich auch über ein Danke :thumbs1: :D

    Einmal editiert, zuletzt von Donn!e DarKo (26. September 2013 um 10:27)

  • Wie gesagt - Du bist derjenige der eine Verbindung ins Internet herstellt also weiss der Router (dank NAT oder PAT) auch wohin er zurückkommende Pakete leiten muss und das hat nichts mit irgendeiner Portweiterleitung zu tun, die is davon völlig unabhänig....
    Drückst du hier im Forum oder auf irgendeinem anderen Webserver auf einen Knopf, wird eine Verbindung von deinem PC zu diesem Server hergestellt, Daten angefordert, Daten über die Verbindung zu dir zurück geschickt und anschliesend die Verbindung geschlossen
    Für die Dauer der Verbindung weiss dein Router natürlich an wen im LAN die Datenpakete geschickt werden müssen, da du quasi Bildlich gesprochen die membran durchstichst. Wenn die Verbindung geschlossen wird, schliest der Router die Membran wieder

    Ansonsten müsste ja jeder, der Surfen will erstmal ne Portweiterleitung einrichten - aber das ist wie gesagt schwachsinn


    Eine Portweiterleitung wird nur benötigt und genutzt wenn jemand übers Internet zu dir eine Verbindung aufbauen möchte - das der Router dann weiss wohin er diese Anfrage in dein LAN schicken soll - insbesondere da man Private IP Adressen von LANs nicht übers Internet ansprechen kann


    Wenn das weiterhin unklar ist dann bitte im Internet über PAT ( http://de.wikipedia.org/wiki/Port_Address_Translation ) oder NAT ( http://de.wikipedia.org/wiki/Network_Address_Translation ) schlau lesen - das führt hier sonst noch für weitere Verwirrungen :(


  • Also wird quasi mit der Portweiterleitung auf 80 der gesamte Traffic im Netzwerk auf meinen Raspberry geschickt?

    Da hab ich wohl zuviel Verwirrung gestiftet. Sry!

    Versuch doch bitte einfach mal, den Port zu ändern und schau mal ob sich etwas ändert.
    Die sollte man aus Sicherheitsgründen so oder so tuen, genau wie auch bei Port 22 ... ( erst recht bei Port 22 )

    Ich könnte relativ schnell, von hier aus deine IP raus bekommen und dann dein Netzwerk von außen mit soviel Traffic belasten, das dein Router die ganzen Pakete nicht verarbeitet bekommt. Woraus sich übrigens viele auch nen Spaß erlauben.

    Wichtig: "Für Internet Freigaben niemals Standart Ports nutzen"!

    Ich freue mich auch über ein Danke :thumbs1: :D

  • Ich hab das Gefühl, dass es am neusten Image liegt (2013-09-10). Mit dem alten (2013-07-26) hatte ich vorher keine Probleme, mit dem neusten genau die gleichen wie du. Ich bin jetzt auf die 2013-07-26 umgestiegen und seitdem funktioniert's wunderbar.

  • Ich teste das heute abend mal mit dem anderen Image und richte mal das Portforwarding über andere Ports ein. Melde mich heute abend nocheinmal. Aber danke schonmal für die Hilfe ! :danke_ATDE:

    Einmal editiert, zuletzt von halifax (26. September 2013 um 13:21)

    • Offizieller Beitrag

    Quatsch ...

    Standardscripts suchen genau nach solchen offenen Ports. Wieso sollte sich ein "Angreifer"
    die mühe machen und nach völlig Sinnfrei gewählten Ports suchen?

    Ich Stimme I.R.Gendwer zu. Was hat den das mit Mühe machen zu tun? die Anzahhl der Ports ist arg beschränkt, der Software sag was sie tun soll. am ende hab ich ne Liste mit offenen Ports. Das ist genau so unsinnig wie das Umbiegen des http ports auf 8080 wenn nur ein Webserver läuft.

  • Ich Stimme I.R.Gendwer zu. Was hat den das mit Mühe machen zu tun? die Anzahhl der Ports ist arg beschränkt, der Software sag was sie tun soll. am ende hab ich ne Liste mit offenen Ports. Das ist genau so unsinnig wie das Umbiegen des http ports auf 8080 wenn nur ein Webserver läuft.

    Was das mit Mühe zutun hat? Ganz einfach ... bei einem Standard Port geht der Angreifer davon aus, das der User schlicht keinen Plan hat. Scripts sind "tatsächlich" so ausgelegt das sie nur auf Port 22 Scannen. Das ist schlicht ein Angriffsziel und geht um einiges Schneller wenn ich komplett von 1 - 65535 Scanne. (Was das Argument widerlegt, das die Anzahl der Ports beschränkt ist... es gibt 65535 Ports ... das sind ne ganze Menge ... !!)
    ( Davon übrigens 0 - 1023 -> Well Known Ports und 1024 - 49151 -> Registered Ports, sowie 49152 - 65535 Dynamic and Private Ports )

    Hier geht es nicht um ms, sondern um Sekunden bis Minuten ... außerdem, fängt ein Router auch irgendwann an den Port-Scan zu Blocken. ( Wenn er den über die benötigte Technik verfügt ) Desweiteren sind Port-Scan sehr offensichtlich ... !

    Als Angreifer versucht man unerkannt in ein System einzudringen, also mach ich es mir einfach und such den Dummen User! Der User, der mir die Angriffsfläche gibt, in dem er es mir einfach macht ihn zu finden.

    Und ich muss nicht sagen, das sich dieses System Bewährt? Große Firmen nutzen niemals Standard Ports für Zugriffe von außen. Es sei den sie nutzen Honeypots ;) Für den Dummen Angreifer ...

    Ich freue mich auch über ein Danke :thumbs1: :D

    Einmal editiert, zuletzt von Donn!e DarKo (26. September 2013 um 13:58)

  • Und ich muss nicht sagen, das sich dieses System Bewährt? Große Firmen nutzen niemals Standard Ports für Zugriffe von außen. Es sei den sie nutzen Honeypots ;) Für den Dummen Angreifer ...

    Was für ein ausgemachter Unsinn.
    Große Firmen nutzen eine DMZ und wissen wie sie ihre Server welche in der DMZ stehen absichern ( Hoffe ich mal ).
    Standart Ports sind genau dafür da bestimmte Standart Dienste anzubieten.
    Ein HP die auf Port 8033 läuft wird wohl sehr wenig Besucher haben.

    Mein PI hängt auch am Internet, SSH, http, https, ftp offen.
    IP Tables konfiguriert, der PI hat nur die entsprechenden Port offen.
    Div. Sicherheitsmechanismen wie u.a. Fail2Ban.

    Der PI steht in einer DMZ, also komplett nackig im Internet.
    Und nix passiert.

    Warum ?
    Weil ich weis was ich mache....

    Immer wieder liest man von Leuten die sich irgendwelche Geräte mieten oder ans Netz hängen, Ports öffnen und dann heulen wenn die Büchsen gekapert werden.

    Wenn du deine Karre in einer Tiefgarage parkst machst du ja auch die Fenster zu und schliesst die Türen ab.

    Ports verschleiern ist für den Heimanwender erst mal gut.
    Allerdings wenn ich mit 10Gig am Netz hänge, einen Server hab der mehrere K Verbindungen gleichzeitig erlaubt dann ist ein Scan von 65000 Ports eine Sache von einigen Hundert ms.
    Und wenn sich auf Port 54321 auf einmal ein SSH Dämon meldet ist die Sache klar.
    Wenn ich dann noch genau nach diesem Daemon in der Version suche weil ich eine bestimmte Lücke Ausnutzen will bin ich drin.
    Da nützt auch who oder last nix, wenn ich da war siehst du das so schnell nicht.

    Das ist die bittere Wahrheit.

    Offizieller Schmier und Schmutzfink des Forum.
    Warum einfach wenn's auch schwer geht ?

    Kein Support per PN !
    Fragen bitte hier im Forum stellen. So hat jeder etwas davon.

    Einmal editiert, zuletzt von Der_Imperator (26. September 2013 um 15:17)

    • Offizieller Beitrag

    Wir reden hier nicht von Firmen sondern von User X, der grade seinen Pi gekriegt und ihn ins Internet gestellt hat. (natürlich mit pi:raspberry) und der kriegt zu 99,9% nicht mit ob sein Pi grade gescannt wird oder nicht.

    Zitat


    Was das Argument widerlegt, das die Anzahl der Ports beschränkt ist... es gibt 65535 Ports ...


    65535 ist keine Beschränkung? Seltsame Argumentationsweise.
    Für einen Computer sind das doch Peanuts.

    Aber reibt euch ruhig weiter mit eurem Schlangenöl ein und lasst regelmäßig TuneUp Utilities laufen :thumbs1:

  • Wir reden hier am Trotzdem vom Heimanwender ... und der erste Schritt ist nunmal SSH nicht auf Port 22 zu lassen ... ! Das ist Fakt und kein Unsinn oder Blödsinn !

    Vielleicht weißt "DU" was du machst, aber nicht jeder andere User. Du hast vielleicht Ahnung, aber jemand anderes nicht. Und hier geht es darum, den "Standard" User zu schützen
    und das tut er nunmal schon in dem er den SSH Port nicht auf 22 lässt. Das mag maginal sein, wenn es jemand drauf anlegt. Aber für das Script Kiddi von neben an reicht es schon.

    Also erzähl hier nix von Unsinn oder sonst was!


    Wir reden hier nicht von Firmen sondern von User X, der grade seinen Pi gekriegt und ihn ins Internet gestellt hat. (natürlich mit pi:raspberry) und der kriegt zu 99,9% nicht mit ob sein Pi grade gescannt wird oder nicht.


    65535 ist keine Beschränkung? Seltsame Argumentationsweise.
    Für einen Computer sind das doch Peanuts.

    Aber reibt euch ruhig weiter mit eurem Schlangenöl ein und lasst regelmäßig TuneUp Utilities laufen :thumbs1:

    Genau wir gehen vom User X aus. Warum ist es dann Unsinn den SSH Port zu ändern? Ist es nämlich nicht ... es hilft ihm sich ein "klein" wenig besser zu schützen.
    Ich muss doch nicht jedem Script Kiddi von nebenan die möglichkeit geben mein Raspberry zu knacken, weil ich so leichtsinnig bin das Ding ans Netz zu knüpfen ohne ein paar Sicherheits Vorkehrungen getroffen zu haben.

    Das die Änderung vom Port keine Wunderwaffe ist, sollte jedem klar sein und davon red ich auch nicht. Aber es hilft! Und das ist wichtig, es hilft und ist ein erster Schritt in die richtige Richtung. Danach kommt IP-Tables und dann vllt noch DMZ ... aber dann brauch man sich um Angriffe keine Mühe mehr machen.

    Ich freue mich auch über ein Danke :thumbs1: :D

    Einmal editiert, zuletzt von Donn!e DarKo (26. September 2013 um 15:48)

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!