FritzBox – Datenflut beherrschen

Fritzboxen zeigen das Verhalten, im Abstand von 2 Sekunden Ethernet-Frames zweier Typen zu broadcasten.
Dieses Verhalten kann leider nicht abgeschalten werden.

Die beiden Ether-Typen sind laut IEEE:

  • 0x88e1 -> HomePlug Specification AV MME
  • 0x8912 -> Ethertype used for mediaxtream Specification protocols

Beide Typen gehören zu Produkten die Daten über das Stromnetz übertragen (DLAN/Powerline). Vermutlich setzen AVMs „Fritz!Powerline“-Produkte auf diese Technologien. Wer diese Produkte nicht nutzt, kann mit den 86.400-Frames pro Tag nichts anfangen. Schlimmer noch, sie belasten das Netz unnötig, da sie sich als L2-Broadcasts verbreiten und jedes angeschlossene Gerät die Frames auswerten und verwerfen muss.

0x88e1
0x8912

Wer die genannten Powerline-Produkte nicht nutzt, kann mit ein paar Bridge-Filtern auf einem Mikrotik-Gerät (oder jedem anderen Switch der ACLs unterstützt) der Datenflut Herr werden.

Die Regeln für Mikrotik lauten für 0x88e1 und 0x8912 je Forward und Input-Chain (an eth4 ist die Fritzbox angeschlossen):

/interface bridge filter
add action=drop chain=input comment="Drop mediaxtream Specification Protocol" \
in-interface=ether4 mac-protocol=vlan vlan-encap=0x8912
add action=drop chain=forward comment=\
"Drop mediaxtream Specification Protocol" in-interface=ether4 \
mac-protocol=0x8912
add action=drop chain=input comment="Drop HomePlug AV Protocol" in-interface=\
ether4 mac-protocol=vlan vlan-encap=homeplug-av
add action=drop chain=forward comment="Drop HomePlug AV Protocol" \
in-interface=ether4 mac-protocol=homeplug-av

WICHITG: Die entsprechenden Egress-Ports dürfen NICHT Hardware-Offloaded sein (Bridge-Filter-Regeln wirken immer auf den Egress-Port)!

Die „chain=forward“-Regeln wirken auf das Forwarding ins LAN, sinnigerweise legt man auch Regeln für den Switch selbst an (chain=input). Sollten die Egress-Ports (das in der Regel definierte Ingress-Frame) tagged – also IEEE 802.1q gekapselt – forwarden, muss als „mac-protocol=vlan“ gewählt werden und unter „vlan-encap“ der Ether-Type eingetragen werden. Wird das Frame ohne Tag egress geforwardet, reicht es den Ether-Type unter „mac-protocol=“ einzutragen.

Innerhalb weniger Stunden kommt schon einiges zusammen:

Sollten Powerline-Produkte später genutzt werden, müssen die Regeln disabelt werden.

 

Referenzen:

HomePlug AV Spezifikation

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.