pfSense und Fritzbox Problem

Ich möchte mit diesem Beitag auf ein Problem mit der Fritzbox als Modem vor der pfSense hinweisen. Bis ich das Problem gefunden habe ist leider viel Zeit vergangen, dass möchte ich anderen ersparen.

Wer eine pfSense Firewall betreibt, hat an dem WAN Port sehr oft eine Fritzbox als Zugang zur DSL Leitung angeschlossen. Ich selber hatte eine Fritzbox an der pfSense und über „exposed host“ den gesamten Traffic an die pfSense geleitet. So weit so gut. Nun konnte ich beobachten das die Internetverbindung ab und zu sporadisch langsam oder unterbrochen wurde. Die Ping Zeiten gehen hoch bis keine Pakete durchgehen. Mit etwas Glück normalisiert sich das wieder, aber meist stürzt die Fritzbox ab und startet neu. Nach einigen Beobachtungen stelle ich fest das durch das Trennen der WAN Verbindung von pfSense zur Fritzbox das Problem kurzzeitig lösen konnte. Die Ursache habe ich allerdings er später gefunden. Es ist vermutlich die „state table“ der Fritzbox. Wird die anzahl der offenen TCP Verbindungen zu hoch, kann das die Fritzbox wahrscheinlich nicht mehr verarbeiten. Das FritzOS hat in den neuen Versionen vermutlich eine Limitierung der „state table“.

Die Lösung ist einfach, Fritzbox durch eine alternative ersetzen. In meinem Fall setze ich auf Draytek Vigor 167 und somit fällt auch das Doppel NAT weg.