Sehr häufige ICMP-Pings

[Karamike]

Ich habe für einen Fernzugriff mit WireGuard eine Verbindung zu einem anderen Rechner aufgebaut und beobachte jetzt auf einer ansonsten meist ruhigen "Leitung", dass vom Raspberry einmal pro Sekunde ein "ICMP echo request" abgesetzt (und von der Gegenstelle beantwortet) wird.

Kann man die Häufigkeit irgendwo einstellen?

Es sind zwar nur 128 Byte pro Hin und Her, aber das läppert sich über die Zeit dann doch... zumal VPN-Verbindungen das LAN verlassen und nicht immer auf eine Internet-Flatrate vertrauen können.

Außerdem widerspricht es ein wenig dem WireGuard-Grundgedanken, dass, wenn keine Daten ausgetauscht werden, die Leitung halbwegs ruhig sein sollte.

Zum Hochhalten temporärer Routing-Tabellen hat WireGuard eine eigene (optionale) Ping-Möglichkeit, die normalerweise auf 25 s oder noch länger konfiguriert wird. Diese Option wird hier jedoch nicht verwendet, sodass ich nicht annehme, dass diese Pings aus dem WireGuard-Code kommen.

Michael

Version: RaspberryMatic 3.65.11.20221005

[Roland M.]

Hallo Michael!

Sorr for being OT, aber...

Es sind zwar nur 128 Byte pro Hin und Her, aber das läppert sich über die Zeit dann doch... zumal VPN-Verbindungen das LAN verlassen und nicht immer auf eine Internet-Flatrate vertrauen können.

...ich habe in meiner zweiten Wohnung, die derzeit bzw. in der vergangenen Abrechnungsperiode komplett unbenutzt stand, eine CCU2 und einen Charly als Ablöse der CCU2 stehen, die gemeinsam rund 40 Geräte bedienen. Das heißt aber auch, zwei CCUs telefonieren nach hause.
Der Historian greift über VPN darauf zu, dann und wann mache ich einen Blick in die WebUI, speziell wenn im Forum Fragen zu Geräten auftauchen, die ich (nur) dort installiert habe.

Mein Verbrauch: kein halbes GB (472,irgendwas MB).
Mein kleinster Internettarif: 9 GB pro Monat.

Da mache ich mir keine großartigen Gedanken...
Selbst beim EU-Roaming wäre das, wenn ich den Historian mit auf Urlaub nehmen würde , kein Thema.

Aber lass mich rechnen:
128 Bit pro Sekunde, macht 128 bit * 86400 s = 10,5 MB pro Tag.

Wenn ICMP-Pakete überhaupt in einen Volumenstarif eingerechnet werden.


Roland

[Karamike]

Aber lass mich rechnen:
128 Bit pro Sekunde, macht 128 bit * 86400 s = 10,5 MB pro Tag.

Ja, das dachte ich auch...

Aufgeschreckt hat mich, dass der Befehl "wg" nach einem halben Tag bereits 250 MB vermeldete (jeweils rein und raus) und dann sind wir schon bei 14-15 GB im Monat. Etwas mehr "raus" wegen der "eigentlichen" Daten für den Historian.

Der Setup ist ein Raspberry mit zurzeit 2 Sensoren und einem CCU-Historian auf der abgesetzten Seite.

Und dass das eigentlich ICMP-Pakete sind, sieht der Provider ja auch nicht. Die sind in UDP-Paketen verschlüsselt.

[jmaus]

Ich habe für einen Fernzugriff mit WireGuard eine Verbindung zu einem anderen Rechner aufgebaut und beobachte jetzt auf einer ansonsten meist ruhigen "Leitung", dass vom Raspberry einmal pro Sekunde ein "ICMP echo request" abgesetzt (und von der Gegenstelle beantwortet) wird.

Kann man die Häufigkeit irgendwo einstellen?

Die regelmäßigen ICMP Pings die RaspberryMatic absetzt kommen von der Internetüberprüfung und ggf Alarmierung die erledigt wird. Öffne die "Erweiterte Einstellungen" Seite in der Systemsteuerung der WebUI um diese Internetprüfung abzuschalten und die Pings sollten aufhören.

Trotzdem halte ich aber das für vollkommen unnötig und Erbsenzählerei.

Außerdem widerspricht es ein wenig dem WireGuard-Grundgedanken, dass, wenn keine Daten ausgetauscht werden, die Leitung halbwegs ruhig sein sollte.

Wo genau kommt denn diese Erkenntnis her? Das hört sich eher nach einem persönlichen Wunschdenken an als einem generellen must-have der WG Entwickler. Beruflich setzen wir Wireguardverbindungen ein die ständig busy sind und ich wüsste nicht warum das nicht so sein sollte…

[Karamike]

Mea culpa....

Computer machen immer das, was man ihnen sagt. Man muss es ihnen nur genau erklären.

Es war schon meine Absicht, dass der Computer einmal pro Stunde einen Ping über WireGuard sendet, um ggf. eine VPN-Verbindung neu aufzubauen (just in case). Ich hatte dazu einen entsprechenden cron-Eintrag mit einem Ping-Befehl erstellt. Dumm nur, wenn man dann den Parameter -c vergisst.

Außerdem widerspricht es ein wenig dem WireGuard-Grundgedanken, dass, wenn keine Daten ausgetauscht werden, die Leitung halbwegs ruhig sein sollte.

Wo genau kommt denn diese Erkenntnis her?

Aus dem WireGuard Whitepaper...

5.1 Silence is a Virtue
One design goal of WireGuard is [...] to not send any responses to unauthenticated packets. [...] WireGuard is invisible to illegitimate peers and network scanners.

[...]

5.3 Denial of Service Mitigation & Cookies
[...], in order for the responder to remain silent, even while under load, all messages [...]

Vielleicht habe ich auch zu viel hereininterpretiert... aber man hat schon den Eindruck, dass sie versuchen mit möglichst wenig zusätzlichen Paketen auszkommen, um die Angriffsfläche zu verringern.