Raspbian hält Router 24/7 online

Heute ist Stammtischzeit:
Jeden Donnerstag 20:30 Uhr hier im Chat.
Wer Lust hat, kann sich gerne beteiligen. ;)
  • Hallo erst mal.

    Ich habe ein wenig Erfahrung im Umgang mit Linux-Systemen, und im Allgemeinen ist Google mein Freund :D

    Vor etwa 4 Wochen hab ich mir den Raspberry Pi B+ bestellt. Mein Ziel: Ein kleiner File-Server für mein Netzwerk, ein kleiner Webserver mit PHP und MySQL und den FHEM Server für meine Hausautomation.

    Die Einrichtung von Raspbian ging erfreulich gut von statten, auch ohne angeschlossenem Monitor, Tastatur und Maus. Auch die Einrichtung von Samba und Lighttpd mit php und mysql ging gut.

    Doch seitdem droppt unser Router die WAN-Leitung nicht mehr, was ich nicht wirklich möchte.

    Vor ein paar Tagen dann die Umrüstung auf den Raspberry Pi 2. :thumbs1:

    Neues Raspbian (Stand 16.2.15) heruntergeladen, und wie vorher Samba und Lighttpd eingerichtet. Läuft.
    Aber auch hier: Der Router droppt die Leitung nicht mehr.

    Im Router ist eine Idletime von 10 Minuten eingetragen, die vorher auch problemlos funktioniert hat. Mein Verdacht: Der Raspi hält die Leitung offen.

    Wie finde ich heraus, welcher Dienst das verursacht und wie kann ich den Dienst so konfigurieren, dass er das unterlässt?

    Ich hoffe, mir kann geholfen werden. Tante Goggel liefert leider keine Hinweise zu dem Thema - oder ich habe bisher immer die falschen Stichworte verwendet =(

    Bis denne - Major Tom


  • ... ein kleiner Webserver ...

    Du hast einen Webserver, der ständig auf Port 80 lauscht und immer aus dem Internet zugänglich ist?
    Warum soll dein Router die WAN-Leitung dann droppen?

    Schau mal auf deinem Pi, ob bzw. wie häufig aus dem Internet auf Port 80 zugegriffen wird:

    Code
    sudo tcpdump -vvveni any port 80

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

  • Hallo rpi444,

    der Raspi ist derzeit von aussen nicht erreichbar. Erst wenn der FHEM-Server läuft, werd ich den Raspi im Router, der ja auch eine Firewall ist, durchreichen, und dann mit einem DynDNS-Dienst erreichbar machen. Das ist, um mit unseren Smartphones die Hausautomation zu steuern.

    Ausserdem würde ein lauschender Port keine Verbindung zum Internet triggern, da der Router nur dann die WAN-Leitung aufbaut, wenn ein IP-Paket an eine nicht lokale Adresse gesendet wird. Das kann z.B. eine Anfrage an einen Zeitserver sein (NTP).

    Bis denn - Major Tom

  • Deine LAN-Konfiguration auf dem RasPi hat vermutlich deinen Router als default Route eingetragen.

    Damit gehen sämtliche "Anfragepakete", die nicht innerhalb deines Hausnetztes erreichbar sind, über den Router ins WAN...

    Dienste die sowas machen sind z.B. der Zeitdienst (ntp), der pollt regelmäßig, je nachdem wie eingestellt....

    Versuchsweise mal die defaultroute rausnehmen oder auf 127.0.0.1 (localhost) legen...

    Mfg, Zen

  • Zitat

    Deine LAN-Konfiguration auf dem RasPi hat vermutlich deinen Router als default Route eingetragen.
    ...
    Dienste die sowas machen sind z.B. der Zeitdienst (ntp), der pollt regelmäßig, je nachdem wie eingestellt. ... Versuchsweise mal die defaultroute rausnehmen oder auf 127.0.0.1 (localhost) legen...

    Hallo Zentris,

    meinst Du den Eintrag gateway in /etc/network/interfaces? Der verweist auf den Router, denn ansonsten kann ich ja keine Updates ziehen oder Programme installieren.

    Das Polling des NTP-Dienstes ist z.B. ein Kandidat für die offene Leitung. Im Router kann ich als minimale Idletime 10 Minuten eintragen. Also wird ein Dienst gesucht, der diese Zeit unterschreitet, denn ansonsten würde der Router ja die Verbindung droppen. Wie kann ich die Polling-Zeit vom Zeit-Dienst der Raspi anzeigen oder konfigurieren?

    Mit freundlichen - Major Tom


  • Wie kann ich die Polling-Zeit vom Zeit-Dienst der Raspi anzeigen oder konfigurieren?

    Z. B. mit (... siehe die manpage für ntp.conf):

    Zitat


    minpoll minpoll, maxpoll maxpoll
    These options specify the minimum and maximum poll intervals for NTP messages, in seconds as a power of two. The maximum
    poll interval defaults to 10 (1,024 s), but can be increased by the maxpoll option to an upper limit of 17 (36.4 h). The
    minimum poll interval defaults to 6 (64 s), but can be decreased by the minpoll option to a lower limit of 4 (16 s). These
    option are valid only with the server and peer commands.


    In der /etc/ntp.conf:

    Zitat


    server 0.ubuntu.pool.ntp.org minpoll 13 maxpoll 14
    server 1.ubuntu.pool.ntp.org minpoll 13 maxpoll 14
    server 2.ubuntu.pool.ntp.org minpoll 13 maxpoll 14
    server 3.ubuntu.pool.ntp.org minpoll 13 maxpoll 14

    # Use Ubuntu's ntp server as a fallback.
    server ntp.ubuntu.com minpoll 14 maxpoll 15

    EDIT:

    Kannst Du evtl. auch deinen Router als Zeitserver für den Pi verwenden?

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

    Einmal editiert, zuletzt von rpi444 (28. Februar 2015 um 22:02)

  • Hallo Leute,

    ich habe den ntp-Dienst im Raspi unter Raspbian (und wahrscheinlich unter allen anderen Systemen auch) umkonfiguriert:

    Konfigurationsdatei editieren mit:

    Code
    sudo nano /etc/ntp.conf

    Dort alle Server auskommentieren und folgende Zeile einfügen:

    Code
    server ntp1.ptb.de minpoll 10 maxpoll 15

    Damit wird ein Zeitserver von Braunschweig als Server eingetragen, mehr nicht. Jeder Servereintrag erzeugt Traffic, also reicht eigentlich ein Server aus. Die Parameter minpoll und maxpoll steuern die Zeitintervalle, in denen ntpd die Zeit mit den Servern abgleicht, in Zweierpotenzen in Sekunden. minpoll 10 bedeutet, ntpd pollt alle 2^10 = 1024 Sekunden, und steigert sich dann auf 2^15 = 32768 Sekunden = 9 Std 6 Min 8 Sek.

    Anschliessend den ntp-Dienst neu starten:

    Code
    sudo service ntp restart

    Den Status der Abfragen und der Pollingzeiten kann man abfragen:

    Code
    ntpq -c peers

    Soviel zum ntp-deamon. Mal sehen, was es bringt und wie genau die Uhr im Raspi eigentlich ist :D

    Major Tom
    [edit]Ich seh grade, rpi444 hat in der Zwischenzeit das gleiche geschrieben :lol:

    Einmal editiert, zuletzt von Major Tom (28. Februar 2015 um 22:34)


  • Mal sehen, was es bringt und wie genau die Uhr im Raspi eigentlich ist :D

    Kannst Du z. B. auf dem Pi, vergleichen mit:

    Code
    date && rdate -4npu ntp1.ptb.de

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

    Einmal editiert, zuletzt von rpi444 (28. Februar 2015 um 22:48)

  • Ja, die Routeradresse ist das... aber das hast du ja verstanden :)

    Aber es gibt noch mehr:
    Der Avahi-Dienst (falls er läuft) pingregelmäßig raus (kannst du nachlesen/lernen, was das ist und wie man den deaktiviert ;) )

    Im Zweifel einfach mal "iftop" installieren und ein Weilchen zusehen, was da auf dem Interface los ist...

    Du kannst natürlich die Target-Addressen alle in der Firewall deines Routers sperren oder ggf. den RP mit einem eigenen FW (iptables) auszurüsten (Letzteres ist anspruchsvoll, hebt aber das Verständnis bzgl. der Anbindung eines Rechners an das Netzwerk ungemein!) :thumbs1:

    Aber: was bringt das?
    Warum soll dein WAN Router eigendlich nach einer gewissen Zeit "auflegen" ? Hast du ein Mengenkontingent an deinem Anschluss?

    Falls du später mal von "draussen" auf den internen Zoo zugreifen willst, brauchst du "Dyn-DNS" oder was vergleichbares: "Dann tut das ständige Auflegen ja nicht gehen"

    tut, tut... (Ich hasse Sätze mit "tut") :wallbash::lol:

    PS: (Nachtrag)
    Bei mir z.B. sehe ich öfters IGMP Pakete, die auch offensichtlich raus ins Netz gehen.

    Ich habe das noch nicht weiter verfolgt, Warum das passiert bzw. wer der Verursacher ist...
    Zeitabstand so im 5 Minutenbereich...

    2. PS
    Weiterhin sehe ich sog. "All Systems on this Subnet" Multicast Pakete.... RFC dazu.

    Das ganze Multicast geraffel könnte die Hauptursache sein, dass immer mal wieder Pakete ins INet gehen. Welche das sind, steht hier (wobei nicht alle geroutet werden dürfen).

  • Eigentlich sollten die multicast Pakete nicht ins Internet gehen, wenn der Pi sich hinter einem NAT-Router befindet. D. h. wenn der Pi am Router "internetmäßig nichts zu tun" hat, dann hat er nach einer bestimmten Zeit, keine Verbindungen mehr ins Internet, aber sehr wohl ins (W)LAN und ist auch jederzeit aus dem Internet (wieder) erreichbar. Es gibt auch Router die das Anzeigen, ob die Geräte aus dem (W)LAN des Routers (... auf welche Art auch immer) gerade mit dem Internet kommunizieren.
    Evtl. auf dem Pi mal nur zum testen (d. h. einen limitierten Zeitraum) , mit abweisenden Routen für multicast versuchen. Z. B.:

    Code
    /sbin/route add -net 224.0.0.0 netmask 255.0.0.0 reject
    /sbin/route add -net 239.0.0.0 netmask 255.0.0.0 reject


    und mit z. B.:

    Code
    sudo tcpdump -vvveni any net 224.0.0.0/8 or net 239.0.0.0/8


    (oder gleichwertig) auf dem Pi beobachten.

    EDIT:

    Mit den abweisenden multicast Routen auf meinem Pi, werden auf diesem, lediglich von der FritzBox (Router) kommende (ca. alle 2 Minuten) multicast-Pakete angezeigt. D. h. von meinem Pi geht multicast betreffend, nichts ins (W)LAN:

    Code
    08:36:18.867952   M ##:##:##:b7:41:39 ethertype IPv4 (0x0800), length 62: (tos 0xc0, ttl 1, id 0, offset 0, flags [DF], proto IGMP (2), length 36, options (RA))
        192.168.178.1 > 224.0.0.1: igmp query v3
    
    
    08:38:23.868991   M ##:##:##:b7:41:39 ethertype IPv4 (0x0800), length 62: (tos 0xc0, ttl 1, id 0, offset 0, flags [DF], proto IGMP (2), length 36, options (RA))
        192.168.178.1 > 224.0.0.1: igmp query v3
    
    
    08:40:28.869881   M ##:##:##:b7:41:39 ethertype IPv4 (0x0800), length 62: (tos 0xc0, ttl 1, id 0, offset 0, flags [DF], proto IGMP (2), length 36, options (RA))
        192.168.178.1 > 224.0.0.1: igmp query v3

    EDIT 2:

    Auf meinem 2. Pi, der sich direkt im Internet befindet (d. h. nicht hinter einem NAT-Router), ist weder eingehend noch ausgehend multicast-Taffic zu beobachten.

    The most popular websites without IPv6 in Germany.  IPv6-Ausreden

    Meine PIs

    PI4B/8GB (border device) OpenBSD 7.4 (64bit): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server

    PI3B+ FreeBSD 14.0-R-p3 (arm64): SSH-Serv., WireGuard-Serv., ircd-hybrid-Serv., stunnel-Proxy, Mumble-Serv., ddclient

    PI4B/4GB Bullseye-lite (64bit; modifiziert): SSH-Server, WireGuard-Server, ircd-hybrid-Server, stunnel-Proxy, Mumble-Server, botamusique, ample

    Einmal editiert, zuletzt von rpi444 (1. März 2015 um 09:03)

  • Vielen Dank für die Infos, die hab ich gesucht. Wie gesagt, ich habe ein wenig Ahnung von Linux, aber so tief gehen meine Kenntnisse dann doch nicht :s

    Den Avahi-Dienst werd ich mir gleich mal anschauen, wenn er denn auf meinem RasPi läuft.

    Also, ich habe wie im Posting von rpi444 und von mir beschrieben die Pollzeiten des ntp-daemons verlängert. Derzeit zeigt

    Code
    ntpq -p


    - ist eine Alternative zu ntpq -c peers - folgendes:

    Code
    remote            refid          st t when poll reach   delay   offset  jitter
    ==============================================================================
    *ptbtime1.ptb.de .PTB.            1 u 128m 137m  237   32.241   -2.742   4.107

    Also läuft die RasPi-Uhr in etwa 2 Stunden so rund 3 Sekunden aus dem Ruder :-/
    Das meinte ich mit

    Zitat

    Mal sehen, was es bringt und wie genau die Uhr im Raspi eigentlich ist

    Ergebnis: Der Router hat heute Nacht bereits mehmals seine IP-Adresse geändert. Also Erfolg, den (Haupt?) Schuldigen gefunden :bravo2:

    Vielen Dank
    Major Tom


    Aber: was bringt das?
    Warum soll dein WAN Router eigendlich nach einer gewissen Zeit "auflegen" ? Hast du ein Mengenkontingent an deinem Anschluss?

    Nein, es geht mir eigentlich nur darum, dass ich eben alle paar Stunden eine neue IP-Adresse zugeteilt bekomme. Das dient der Verschleierung gegenüber den Datenkraken im Internet sowie gegen die Sammelwut der Schlapphüte. Aus dem gleichen Grund hab ich meinen FF mit Ghostery, NoScript und AdBlock Edge aufgerüstet und lasse beim Beenden des FF alle Browserdaten (Cache und Cookies) automatisch löschen. Ich verschlüssel auch meine Kommunikation, wo immer es geht :D

    Man kann das Paranoid oder vielleicht auch nur Übertrieben nennen, doch ich gehöre einer Generation an, die ihre Privatsphäre noch zu schätzen weiss und verteidige mich eben mit allen Mitteln, die mir zur Verfügung stehen.

    In diesem, ja eigentlich auch auf eine gewisse Art subversivem Sinne :fies:
    Major Tom


    Der Avahi-Dienst (falls er läuft) pingregelmäßig raus (kannst du nachlesen/lernen, was das ist und wie man den deaktiviert ;) )

    So, hab mal geprüft, ob avahi-daemon installliert ist:
    Ein freundliches

    Code
    aptitude show avahi-daemon


    liefert ein übersichtliches

    Code
    Package: avahi-daemon
    State: not installed

    Ist das nicht so etwas ähnliches wie die Heimnetzgruppe ab Windows 7? Scheint ein interessantes Teil zu sein, ich werd es aber nicht nutzen, dazu ist mein Netzwerk zu klein :)

    Alles wird gut :thumbs1:
    Major Tom

    Einmal editiert, zuletzt von Major Tom (1. März 2015 um 13:37)

  • Nochmal kurz (OT) Info zu Multicast bzgl. der Weiterleitung im Internet (wen es interessiert...):

    rpi444 schrieb:

    Zitat

    Eigentlich sollten die multicast Pakete nicht ins Internet gehen, wenn der Pi sich hinter einem NAT-Router befindet.

    Hm, ist m.M. nach ein leider verbreitetes Missverständnis, weil Multicast gerade für die 1:n Verteilung von Paketen gedacht war, um die Serverlast zu senken beim Verteilen von z.B. Streaming-Daten. Hat leider nicht so funktioniert wie gedacht (sehr saubere Abstimmung/Konfiguration bei den Providern notwendig, um keine Loops zu bekommen usw.) und wird nur noch selten eingesetzt, vor allem derzeit wohl nicht mehr für die Versorgung beim Endkunden (aber da bin ich inzwischen nicht mehr sicher, weil Versuche gibt es immer wieder, gerade bei Großereignissen (Video-Streaming), die weltweit übertragen werden sollen ...).

    Insofern gibt es beides: MC für lokale Subnetze und MC, die "rausgehen"/"reinkommen" können...

    Mal kurz aus der verlinkten RFC zitiert:

    So, nu hab ich fertich. :angel:

    GZ zum Erfolg! :bravo2:

    das Zen

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!