Router kann durch "surfen" gezielt zum Restart gebracht werden

[mnla@gmail.com]

Hallo zusammen,

ich bin neu hier und stehe vor eine kuriosen technischen Problem. Ich hoffe, dass ich dafür das richtige Unterforum gewählt habe.

Seit einiger Zeit geht mein Router in den Restart, wenn ich ein bestimmtes "Surfverhalten" zeige. Das Verhalten des Router ist ziemlich stabil reproduzierbar. Für einen Restart des Routers reicht es aus, wenn ich eine Website aufrufe die ich selbst zuhause hoste und dort ein wenig Traffic erzeuge (mehrere Unterseitenaufrufe oder eine Seite mit vielen Bildern lade). Der Router geht danach in den Restart und nach einigen Minuten ist er wieder voll funktionsfähig. Wenn ich meine Website von "außen" aufrufe, dann passiert nichts.

Das Verhalten ist seit ein paar Monaten (ggf. mit dem Wechsel von Unitymedia zu Vodafone?) zu beobachten.
Habt ihr irgendwelche Ideen wie ich den Fehler finden könnte?

Hier mal die generellen Infos:
- ISP: Vodafone West (ehemals Unitymedia)
- Anschluss: 2play mit vollwertigem Dual-Stack
- Router: UnityMedia ConnectBox

Welche Infos könnten noch interessant sein? Ich freu mich über hilfreiche Tipps zur Fehlersuche

[Torsten1973]

Die ConnectBox hat einen DNS-Rebind-Schutz. Wenn du die gehostete Seite über die lokale IP aufrufst, dürfte es keine Probleme geben. Willst du das nicht, wird dir nix anderes übrig bleiben als den Bridge Mode zu aktivieren und einen eigenen Router dahinter zu schalten.

[mnla@gmail.com]

Danke schonmal für die schnelle Rückmeldung so spät noch am Abend. Ich schau mir morgen früh gleich mal an, was ein DNS-Rebind-Schutz ist. Klingt schonmal interessant und vielversprechend

Allerdings ist es doch schon ein wenig eigenartig, dass eine Schutzfunktion den Router in den Reset schickt.
Interessanterweise hatte ich das Verhalten (mit dem Restart) früher eigentlich nicht... aber fairerweise hab ich damals auch nicht so aktiv meine Website genutzt.

Der Techniker von Unitymedia/Vodafone meinte am Telefon übrigens, dass offensichtlich (sieht er angeblich in den Logs) das Modem an meiner ConnectBox defekt sei und er mir gerne die neue Vodafone-Station schicken möchte. Da hab ich erstmal abgelehnt.

[Torsten1973]

Klar, die wollen die reinen Docsis 3.0 Geräte aus dem Netz haben. Probier es erstmal so aus, danach kannst du immer noch auf die Vodafone Station wechseln...

[mnla@gmail.com]

Also ich glaube da hast du mit dem DNS Rebind Schutz voll ins Schwarze getroffen. Danke für den Hinweis. Wenn ich mich direkt per IP verbinde, dann kann ich den "Absturz" des Routers nicht provozieren.

Im Netz habe ich gelesen, dass der DNS Rebind Schutz erst Mitte letzten Jahres mit einem Firmwareupdate (v24 -> v25) verteilt wurde. Passt mit meiner Erfahrung, dass ich da früher keine Probleme hatte. Abschalten oder zumindest konfigurieren kann man den leider nicht.

Weiterhin verwirrt bin ich über die Art der Implementierung. Wenn das eine echter Schutz sein soll, dann sollte der doch gar kein Rebind-Traffic zulassen. Aktuell kann ich meine Seite durchaus aufrufen und erst nach einigen Minuten geht der Router in den Restart. Ein Restart ist dabei auch nicht gerade die angebrachte Ersatzreaktion, oder?

Damit hätten wir jetzt die Ursache gefunden. Jetzt gehts an die Lösungssuche.
1) Website von intern nur direkt über IP aufrufen -> das ist sehr umständlich, weil jeder Link wieder auf den domain-namen (und nicht die direkte IP adresse) umleitet.
2) ConnectBox in BridgeMode -> eigener WLAN Router notwendig.
3) Vodafone Station -> aktuell keine Option mit all den Bugs (nicht funktionierende Port-Freigabe)
4) Fritzbox Leihgerät -> hier kann man DNS Rebind Schutz konfigurieren. Allerdings hat Vodafone aktuell 12 Wochen lieferzeit für die 6591.
5) eigener DNS Server im Heimnetz aufsetzten. Das sollte nach meinem bisherigen Verständnis den DNS Rebind Schutz umgehen.

Wie ist eure Meinung?

[Wiidesire]

Da technisches Wissen vorhanden zu sein scheint, würde ich 5) empfehlen. Konkret Pi-hole (https://pi-hole.net/), z.B. günstig auf einem Raspberry Pi 4 oder virtualisiert auf einem vorhandenen Server. Hat dann als netten Nebeneffekt, dass du Werbung/Tracking im gesamten Netzwerk blocken kannst, also auch für Smart TVs, Spielekonsolen etc., wo es normal nicht möglich ist.

[Torsten1973]

Ich weiß ja nicht, welchen Tarif du bei VFW gebucht hast, aber hast du nicht noch ne alte DSL-Fritte rumliegen zum probieren?

[mnla@gmail.com]

Hallo Torsten und Wiidesire,

danke schonmal für eure Unterstützung. Leider habe ich keine alte Fritzbox mehr rumliegen. War schon öfter mal am überlegen mir eine Fritzbox zu holen. Wenn die 6660 einen zweiten 2,5 GBE Anschluss hätte, dann wäre sie wirklich interessant.
Die Connectbox ist ja eher "eingeschränkt" von den Konfigurationmöglichkeiten her. Ich glaub die beste Einstellung der Connectbox ist der Bridge-Mode

Ich habe mittlerweile auch mal einen eigenen DNS-Server ans laufen gebracht. Einfach nur die Namensauflösung lokal zu machen, war leider nicht ausreichend. Der DNS Server gibt mir dann meine externe IP zurück und sobald ich diese aus dem eigenen Netz ansurfe stürzt die Connectbox wieder ab. Also musste ich noch einen A-Record im DNS-Server eingerichten und komm damit nun direkt auf meine Webseite (auch ohne Kabelanschluss an der Connectbox).

Damit läufts jetzt. Keine Abstürze mehr. Vielen Dank für die Hinweise.
Jetzt muss ich nur noch den DHCP Server von der Connectbox durch einen eigenen ersetzen, damit ich nicht bei jedem Endgerät die adresse vom neuen DNS Server per Hand eintragen muss.

PS: Danke für den Tipp mit Pi-Hole. Klingt echt interessant und könnte bei mir entweder auf dem Server in nem Docker Container laufen oder ich schau mal wo meine alte Raspi rumliegt. Ist ein Projekt für nach dem Umzug des DHCP Servers.