Mit Verlaub, es reicht, Skype. Ich hatte gehofft, mit mehr Power und mehr Bandbreite wäre dem beizukommen, jedoch ist das ein Trugschluss meinerseits gewesen. VOIP-Gespräche rissen ab, da half auch kein SIP-ALG mehr. Die Paketwarteschlange war voll. Ich dachte, das hätte sich geändert? Skype wäre erwachsen geworden? Nichts dergleichen.
Wie kam es zu den neuen Problemen mit Skype? Wir hatten in einem Netzwerk auf der Firewall von einem Client 175 offene Verbindungen und 50 halboffene. Letzteres (halboffene Verbindungen) ist eigentlich schon eine DOS-Attacke auf schwachbrüstige Geräte. Der Datenverkehr war das, was die Leitung paketweise hergab (Anzahl der Pakete, nicht die Bandbreite selbst) und das zog dem Router die Socken aus. In dem Netzwerk wurde der Anbieter gewechselt und dadurch war neuerdings auch höherer Upstream möglich. Hinzu kam, dass ich alle Bandbreitenbegrenzungen rausgenommen hatte, seitdem Lancom einen wirklich hervorragenden SIP-ALG bereitgestellt hat.
Beste Bedingungen also für einen Supernode. Der Upstream und eine feste IP sind weiterhin das entscheidende Kriterium für die Attraktivität, um ein Skype-Supernode zu werden.
Der Client sendete sich einen Wolf auf Anfragen über den ganzen Erdball verteilt. Und so gefühlt der ganze Erdball nahm Kontakt mit dem Client auf. Es ist also grob gelogen, Skype hätte irgendetwas am Verfahren geändert. Es setzt weiterhin auf Peer2Peer. Ich hatte bereits einiges zu Skype und dessen assozialen Verhaltensweisen geschrieben: Link
Da Skype, nachdem es nach Discovery gefunkt hat, auf die Suche nach anderen Clients wahlfrei auf dem Erdball macht, sich bei exakt jenen (unverschlüsselt) als Partner anbietet, ist es also kein Wunder, dass Skype sich nach kurzer Zeit auf allen Ports (UDP) im gesamten Netzwerk daneben benimmt und versucht, eine Autobahn nach draußen zu bekommen. Irgendwo ist bestimmt was frei. Der eingehende Traffic selbst ist nicht das Problem, sondern die Quantität der Pakete. Und das führt dazu, dass manche Router einfach den Geist aufgeben, sofern bereits ein kleiner Satz von wirksamen Firewallregeln geschrieben wurde. In meinem Fall ist selbst eine 800MHz Büchse von Lancom überfordert. Also das „dickste“ was für SOHO derzeit aus Würselen zu kriegen ist.
Ein kurzes Gespräch mit einem befreundeten Administrator einer Universität mit sprichwörtlich demselben Problem half mir, da durchzublicken. Nun kann man – wenn mehrfache Worte und Bitten beim Anwender nicht helfen oder überhört werden, oder das Verständnis für TCP/IP ignoriert wird – dem Discovery selbst beikommen. Es wäre ja schlichtweg auch egal, wenn der Anwender einen externen Socks-Proxy verwendet, um Skype zu nutzen, primär geht es ja darum, die Paketmasse auf UDP loszuwerden, die auf den Router eindrischt. Nebenbei ist die Portlänge der Paketmasse in dem Bereich, in jenem Asterisk SIP Audio funkt.
Mit Blockieren der P2P-Ankündigungsserver ist alles erledigt. Wo sind diese? Die stecken hinter dsn**.skype-dsn.akadns.net. Jetzt sind die ja variabel, d.h. im Moment gibt’s da rd. 16 Stück. Mit einem adäquaten Betriebssystem mal kurz per dig DNS anfragen:
for i in {0..20} ; do dig +short dsn$i.d.skype.net; done | sort | uniq
Stand heute (das kann sich jederzeit ändern) kommt da wie folgt raus:
64.4.23.0/24 65.55.223.0/24 111.221.74.0/24 111.221.77.0/24 157.55.130.0/24 157.55.235.0/24 157.55.56.0/24 157.56.52.0/24 213.199.179.0/24
Hinweis: Es bringt nichts, einzelne, interne Clients von dieser Regel auszunehmen, weil jener dann als Proxy für andere Skype Clients im internen Netz missbraucht wird.
Also ein Satz von Adressen, jene von nicht unerheblich Größe sind. Blockiert man diese, ist man das Problem Skype binnen Minuten los. Und die Paketlast auf dem Routerdevice ebenso. Jedoch ist die Gruppe um einige Kollegen oder Freunde, die einen nicht mögen, möglicherweise deutlich größer geworden. Man kann hier nur beikommen, indem man auf genügend Alternativen zu Skype hinweist, und dass es nicht darum geht, sie persönlich zu ärgern. Selbst Apple Facetime verhält sich vernünftig und ist eine gute Videochatalternative. Jitsi ist deutlich sicherer. Im Notfall erlaubt man halt einen Socks irgendwo, gräbt sich damit selbst jedoch weitere Löcher, auch wenn es hilft, die Paketlast loszuwerden. Es hilft nichts, Skype ist eine Riesenkatastrophe. Für jeden Netzwerkadmin.
Mit o.g. Satz an Adressen ist schnell Feierabend.