Drosselung von HTTPS 443 und anderen TCP Ports (Source) / Homeserver ???

[gregor]

Moin,
ich rätsel nun schon ein paar Tage was hier los ist....

Seit der Umstellung auf Glasfaser/Ethernet ist mein Upload nur noch bei maximal 2-3 MBit wenn ich über mein "rein privat" genutzten Homeserver von unterwegs was herunterlade (LTE , aber auch anderes Festanschlüsse bzw. Firmenleitung)..... HTTPS 443 --> Public.

Bei meiner Firewall (Sophos UTM) habe ich schon sämtliche Sicherheitsfunktionen testweise deaktiviert (DPI/ATP).

Baue ich ein OpenVPN Tunnel (UDP 1194) auf habe ich den Tarif entsprechenden zu erwarteten Speed ( ca. 45 Mbit).

Aber es scheint wirklich so als ob TCP 443 gedrosselt wird.

Wird sowas bei Wilhelm.tel /WIlly-tel gemacht, wenn zB vermutet wird das ein Server betrieben wird?

Ein rein privat genutzter Homeserver wird ja jawohl kein Problem sein.?!

Ich kanns mir eigentlich nicht vorstellen, das dem so ist, aber ich hab keine Idee mehr wo ich was drehen kann.

Die MTU ist ja weiterhin, wie auch bei DSL 1492, korrekt?

Hoffe jemand hat ne Idee was da los sein könnte.

PS: reguläre Speedtests zeigen die aktuell gebuchte Leistung (~260 Mbit down / ~45 Mbit up)

Grüße

[Dirty Harry]

Hallo Gregor,

Wilhelm.tel hat in der Vergangenheit immer wieder und ganz ausdrücklich betont,
daß sie KEINE Drosselung vornehmen, egal welcher Art. Das wurde gebetsmühlenartig wiederholt.

Sollte jemand tatsächlich gegen die "fair-use-policy" verstoßen, so wird er nicht gedrosselt,
sondern angesprochen und gebeten das Verhalten zu ändern. (Das finde ich sehr gut, weil man weiß, woran man ist.)
Aber ein kleiner, wirklich privat genutzter Server fällt sowieso nicht unter die Kategorie eines Verstoßes.

Insofern halte ich es für ausgeschlossen, daß Du absichtlich von WT gedrosselt wirst.
Der Fehler wird vermutlich doch irgendwo auf Deiner Seite liegen.

[gregor]

Hallo Gregor,

Wilhelm.tel hat in der Vergangenheit immer wieder und ganz ausdrücklich betont,
daß sie KEINE Drosselung vornehmen, egal welcher Art. Das wurde gebetsmühlenartig wiederholt.

Sollte jemand tatsächlich gegen die "fair-use-policy" verstoßen, so wird er nicht gedrosselt,
sondern angesprochen und gebeten das Verhalten zu ändern. (Das finde ich sehr gut, weil man weiß, woran man ist.)
Aber ein kleiner, wirklich privat genutzter Server fällt sowieso nicht unter die Kategorie eines Verstoßes.

Insofern halte ich es für ausgeschlossen, daß Du absichtlich von WT gedrosselt wirst.
Der Fehler wird vermutlich doch irgendwo auf Deiner Seite liegen.

Hi Dirty Harry,
Ich glaube auch das Du Recht hast, da ich auch schon öfter gelesen habe das WT dies eben nicht macht.... Das es nun auftritt nach dem ich auf Ethernet umgestellt wurden ist, ist halt sehr auffällig, sonnst "eigentlich" keine Änderungen gehabt....

Gerade noch mal getestet, also wenn ich mehrere Downloads starte, habe ich jedes mal um die 2 MBit (pro Session) Aktuell in Summe 10 Mbit outgoing...

Sehr strange

[Tygat]

Moin Moin!

Nur auf die Schnelle: Soweit ich mich entsinne beträgt die MTU bei Ethernetverbindungen 1500.

[gregor]

Moin Moin!

Nur auf die Schnelle: Soweit ich mich entsinne beträgt die MTU bei Ethernetverbindungen 1500.

Leider kein Erfolg, mit 1500 kann gar keine Verbindung aufgebaut werden (Unable to complete PPPoE Discovery).

Mittlerweile habe ich auch eine alte Config der Sophos wiederhergestellt (Vor Ethernet/LWL Umstellung) , gleiches Verhalten.... -> pro HTTPS Session ca. 2 Mbit max.

Nervig....Ich checks nicht

[Mydgard]

Schließ doch mal die von WT gestellte Fritzbox an und teste damit, wenn das Problem damit gegessen ist liegt es an der Sophos, besteht das Problem weiterhin wende dich an die Hotline?

[Dirty Harry]

Gute Idee, das wollte ich auch schon vorschlagen.
Ich hatte nur Sorge vor dem Einwand "Ich will aber die Fritzbox nicht verwenden".
Aber nur zum testen und den Fehler zu lokalisieren sollte man es tun.

[gregor]

Schließ doch mal die von WT gestellte Fritzbox an und teste damit, wenn das Problem damit gegessen ist liegt es an der Sophos, besteht das Problem weiterhin wende dich an die Hotline?

Ja muss ich mir angucken, die ist halt aktuell im Bridgemodus ......


EDIT:

Habe nun eine private 7390 ausm Keller reaktiviert. PPPoE Einwahl über LAN1 und HTTPS per "Fritzbox-Freigabe" nativ an den Server geleitet. Nichts dazwischen!!!

Gleiches Ergebnis, ca. 2 Mbit für ne HTTPS Session!!!..... Dann wird ja doch gedrosselt Was für eine Scheisse :/

Ein Hardwaredefekt kann das ja auch eher nicht sein?!

[twomm]

Bist du sicher, dass nicht deine Serversoftware drosselt?

[gregor]

Bist du sicher, dass nicht deine Serversoftware drosselt?

Ja, zumindest läuft im LAN alles mit Fullspeed.....

Ich habe 3 verschiedene "WebServer" zum testen benutzt:

IIS, Plex (Mediendownload), HFS.

Immer gleiches Ergebnis mit den ~ 2Mbit

EDIT:

Habe nun noch mal die alte Fritzbox angeklemmt und einen Webserver auf einem frischen Win11 Notebook eingerichtet.

Auch hier ca. 2 Mbit bei TCP 443 ---> Internet

Testweise habe ich nun noch andere TCP Ports benutzt. Hier sind's dann interessanterweise ca. 4 Mbit "What the *pieep*"

Ticket ist offen.........

[Möpp]

Ich habe mal getestet mit wget über einen Server in FFM zu meinem Apache mit PHP auf Debian 11 und konnte keine Drosselung festellen (250/50-Tarif).

IPv6 HTTPS

Code: Alles auswählen

[X ~]$ wget --no-check-certificate -O /dev/null --report-speed=bits https://[2a04:4540:X]/X/test.php
--2022-06-30 15:29:11--  https://[2a04:4540:X]/X/test.php
Connecting to [2a04:4540:X]:443... connected.
WARNING: cannot verify 2a04:4540:X's certificate, issued by ‘/CN=debian.fritz.box’:
  Self-signed certificate encountered.
    WARNING: certificate common name ‘debian.fritz.box’ doesn't match requested host name ‘2a04:4540:X’.
HTTP request sent, awaiting response... 200 OK
Length: unspecified [text/html]
Saving to: ‘/dev/null’

    [                         <=>           ] 31,686,648  50.6Mb/s             ^C

IPv4 HTTPS

Code: Alles auswählen

[X ~]$ wget --no-check-certificate -O /dev/null --report-speed=bits https://149.233.X/X/test.php
--2022-06-30 15:31:27--  https://149.233.X/X/test.php
Connecting to 149.233.X:443... connected.
WARNING: cannot verify 149.233.X's certificate, issued by ‘/CN=debian.fritz.box’:
  Self-signed certificate encountered.
    WARNING: certificate common name ‘debian.fritz.box’ doesn't match requested host name ‘149.233.X’.
HTTP request sent, awaiting response... 200 OK
Length: unspecified [text/html]
Saving to: ‘/dev/null’

    [                          <=>          ] 33,538,040  51.6Mb/s             ^C

IPv6 HTTP

Code: Alles auswählen

[X ~]$ wget --no-check-certificate -O /dev/null --report-speed=bits http://[2a04:4540:X]/X/test.php
--2022-06-30 15:30:40--  http://[2a04:4540:X]/X/test.php
Connecting to [2a04:4540:X]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: unspecified [text/html]
Saving to: ‘/dev/null’

    [                         <=>           ] 31,859,997  50.7Mb/s             ^C

IPv4 HTTP

Code: Alles auswählen

[X ~]$ wget --no-check-certificate -O /dev/null --report-speed=bits http://149.233.X/X/test.php
--2022-06-30 15:32:07--  http://149.233.X/X/test.php
Connecting to 149.233.X:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: unspecified [text/html]
Saving to: ‘/dev/null’

    [                             <=>       ] 33,274,967  51.3Mb/s             ^C

[gregor]

Ich habe mal getestet mit wget über einen Server in FFM zu meinem Apache mit PHP auf Debian 11 und konnte keine Drosselung festellen (250/50-Tarif).

Besten Dank für den Test.

Ja so soll das sein, vor der Umstellung auf 250/50 konnte ich die 100/40 auch voll nutzen ;-(

Sehr merkwürdig

[micneu]

1. auf was für einer hardware läuft deine sophos?
wenn die hardware schon älter (3 jahre oder älter) könnte ich mir vorstellen das die hardware damit überfordert ist.
hatte damals bei der telekom immer einen core i7-7500U an meiner 250/50 SVDSL.
2. ich habe die down: 1gbit/s, up: 250mbit/s. ich habe bei mir keine probleme.
setze auf einem Intel NUC BNUC11TNHV50L00 (32GB Ram, 512GB M.2 NVME SSD) pfSense ein, bei mir keine probleme alles mit voller bandbreite (ob mit oder ohne VPN) habe extra zuhause eine speedtest laufen.

kannst du mal bitte einen grafischen netzwerkplan posten, vieleicht hast du irgendeine komponente in deinem netzwerk die mit der neuen bandbreite nicht zurecht kommt?

hier so habe ich mein netzt:

Netzwerkplan_ASCII.png (144.13 KiB) 8087 mal betrachtet

[gregor]

1. auf was für einer hardware läuft deine sophos?
kannst du mal bitte einen grafischen netzwerkplan posten, vieleicht hast du irgendeine komponente in deinem netzwerk die mit der neuen bandbreite nicht zurecht kommt?

Werde ich gleich mal erstellen, nutze ein fitlet2 (https://fit-iot.com/web/products/fitlet2/) mit dem X7 E3950 und 4 Intel Nics, der ist wirklich potent genug, zumindest locker für 500 Mbit.


Allerdings wie schon geschrieben, habe ich für Testzwecke komplett auf die Sophos und den dahinter liegenden Netgear Switch (Netgear GS108E) verzichtet.

Dafür habe ich einfach eine private Fritzbox per LAN1 an den Medienkonverter angeschlossen, Server direkt an die Fritzbox und per NAT einfach die Ports direkt weitergeleitet.

Ergebnis: Exakt die gleiche schlechte Performance mit ca. 2 Mbit Upload..... (Im LAN weiterhin FullSpeed!!!!).

Um dennoch zusätzlich den Server auszuschließen hatte ich auf einem Notebook (ebenfalls per LAN Kabel angeschlossen (Alles CAT7)) einen Webserver konfiguriert, ebenso NAT Weiterleitung und gleiches Ergebnis .....................

Ich kann somit die lokale Hardware bei mir ausschließen, behaupte ich! Oder habe ich einen Denkfehler?

EDIT:

[Tygat]

Nur ganz kurz zum Verständnis: Du hast die FB7490 und die Sophos jeweils einzeln am Medienkonverter.AFAIK wird auch bei willy.tel nur ein Gerät (Router) am MC (LAN1) angeschlossen und alles weitere hängt dann an diesem Gerät. Ferner hast Du dann die FB und Sophos auch über einen Switch verbunden, sehe ich richtig?