Hallo. Ich habe eine Verbindung zwischen zwei Linux-Rechnern Suse 6.2 hergestellt. Die Verbindung ist auch Connected, aber es gehen keine IP-Pakete durch (PING). Lokal: 192.168.3.1 255.255.255.0 Entfernt: 192.168.2.1 255.255.255.0 isdn0 : für die 192.168.2.1 ippp0: für internet, also auch default route Warum taucht bei route die 192.168.0.1 zweimal auf? Ich glaube es hat mit dem IP-Masquerading zu tun, aber ich check das nocht nicht so ganz. Laut "man ipchains" sollte dies funktionieren: ipchains -P forward DENY ipchains -A forward -s 192.168.3.0/255.255.255.0 -d 192.168.2.1/255.255.255.0 -b -j ACCEPT ipchains -A forward -s 192.168.3.2/255.255.255.0 -j MASQ Hat jemand eine Idee? Ist der Fehler schon hier?? Besten Dank schon mal, Axel ipchains -L: Chain input (policy ACCEPT): Chain forward (policy DENY): target prot opt source destination ports ACCEPT all ------ 192.168.3.0/24 192.168.2.0/24 n/a ACCEPT all ------ 192.168.2.0/24 192.168.3.0/24 n/a MASQ all ------ 192.168.3.0/24 anywhere n/a Chain output (policy ACCEPT): Route: Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.0.1 * 255.255.255.255 UH 0 0 0 ippp0 192.168.0.1 * 255.255.255.255 UH 0 0 0 ippp0 192.168.2.1 * 255.255.255.255 UH 0 0 0 isdn0 192.168.3.0 * 255.255.255.0 U 0 0 0 eth0 loopback * 255.0.0.0 U 0 0 0 lo default 192.168.0.1 0.0.0.0 UG 0 0 0 ippp0 /var/log/messages: Jan 6 15:07:05 DS01SV01 ipppd[104]: Connect[0]: /dev/ippp0, fd: 7 Jan 6 15:08:14 DS01SV01 kernel: OPEN: 192.168.3.98 -> 192.168.2.1 ICMP Jan 6 15:08:14 DS01SV01 kernel: isdn0: dialing 1 9310693... Jan 6 15:08:17 DS01SV01 kernel: isdn_net: isdn0 connected Jan 6 15:08:17 DS01SV01 kernel: isdn_net: chargetime of isdn0 now 1030115 Jan 6 15:09:11 DS01SV01 kernel: isdn_net: local hangup isdn0 Jan 6 15:09:11 DS01SV01 kernel: isdn0: Chargesum is 0 Jan 6 15:10:08 DS01SV01 kernel: OPEN: 192.168.3.98 -> 192.168.2.1 ICMP Jan 6 15:10:08 DS01SV01 kernel: isdn0: dialing 1 9310693... Jan 6 15:10:10 DS01SV01 kernel: isdn_net: isdn0 connected Jan 6 15:10:10 DS01SV01 kernel: isdn_net: chargetime of isdn0 now 1041435 --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
* Axel Spallek wrote on Thu, Jan 06, 2000 at 16:20 +0100:
Warum taucht bei route die 192.168.0.1 zweimal auf?
Weil sie in der route.conf steht, aber beim aktivieren des Devices vom Kernel bereits gesetzt wurde?
ipchains -P forward DENY
Danach sollte dann auch ein flush kommen.
ipchains -A forward -s 192.168.3.0/255.255.255.0 -d 192.168.2.1/255.255.255.0 -b -j ACCEPT ipchains -A forward -s 192.168.3.2/255.255.255.0 -j MASQ
Du möchstest also alles von 192.168.3.0 masquerien, außer wenn's an 2.x geht? Dann solltest Du auch schreiben 192.168.2.0/255.255.255.0, also ne "0" anstatt der letzen Ziffer, da diese bei der Netzmaske ja keine Rolle spielt, aber die Leute verwirrt. z.b.: ipchains -A forward -s 192.168.3.1/255.255.255.255 -d 192.168.2.1/255.255.255.255 -b -j ACCEPT ipchains -A forward -s 192.168.3.0/255.255.255.0 -j MASQ sollte dann das sein, was Du meinst. Aber eigentlich willst Du ja alles maskieren, was durch ippp0 geht, oder auch alles, was nicht 192.168.0.0/16 zum Ziel hat. Außerdem schreibst Du: .3.0 --> .2.1. Also ein Paket, was vom Ethernet kommt, also aus Deinem Lan. Ein Paket, was der Router sendet, bekommt natürlich die IP Adresse des isdn/ipppd Interfaces, wenn es über diese gesendet wird. Welche IP Adresse hat Dein isdn0 Interface? Hast Du dem die selbe wie eth0 gegeben? Das könnte zu Problemen führen, leg sie lieber in ein eigenes Netz. Du kannst beide isdn0 Interfaces (also die von beiden Seiten) in ein Netzlegen, dann hast Du ein "Transit-Network". Aber die eigentliche Frage bleibt: WAS pingt eigentlich nicht? Ethernet-Client über Router ins Internet? Oder Router<-->Router? Oder Client hinter Router auf andere Router oder wie? Zum Testen kannst Du ja mal ippp0 down machen, und dann erstmal ohne MASQ anfangen oder so. oki, Steffen -- Dieses Schreiben wurde maschinell erstellt, es trägt daher weder Unterschrift noch Siegel. --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Hi Stefen. Steffen Dettmer schrieb:
Weil sie in der route.conf steht, aber beim aktivieren des Devices vom Kernel bereits gesetzt wurde?
Und wie krieg ich das weg? Oder egal? Linux Server Eth0 192.168.3.1 dahinter 192.168.3.0 mit netmask 255.255.255.0 Arbeitsstationen ippp0 192.168.3.99 Remote IP: 192.168.0.1 dahinter InternetProvider isdn0 192.168.3.98 Remote IP: 192.168.2.1 dahinter 192.168.2.1 Remote Server Remote Linux Server: eth0 192.168.2.1 dahinter 192.168.2.0 mit netmask 255.255.255.0 Arbeitsstationen isdn0 192.168.2.99 Remote IP: 192.168.3.1 Die 192.168.3.x-Leute sollen auf 192.168.2.x und Internet zugreifen können. Die 192.168.2.x-Leute nur auf 192.168.3.x. Laut deinem Rat soll ich die isdn0 und die ippp0 IPs anders legen. Sagen wir 192.168.5.x. Oder? Die Remote IPs sind so richtig? Oder muß ich statt der (eth0-Adresse des Remote-Servers) die (IP-Adresse der isdn0 des Remote-Servers) angeben? So. wenn ich nun ipchains -P forward ACCEPT angebe sollte doch das Internet nicht mehr funktionieren, aber zwischen 192.168.2.1 und 3.1 die Packets problemlos durchgehen. Tun sie aber nicht. Weder von den Arbeitsstationen noch von Server. Die raw-IP-Verbindung wird aber anscheinend aufgebaut.Oder interpretier ich das falsch: Jan 6 15:08:14 DS01SV01 kernel: OPEN: 192.168.3.98 -> 192.168.2.1 ICMP Jan 6 15:08:14 DS01SV01 kernel: isdn0: dialing 1 9310xxx... Jan 6 15:08:17 DS01SV01 kernel: isdn_net: isdn0 connected Jan 6 15:08:17 DS01SV01 kernel: isdn_net: chargetime of isdn0 now 1030115 Jan 6 15:09:11 DS01SV01 kernel: isdn_net: local hangup isdn0 Jan 6 15:09:11 DS01SV01 kernel: isdn0: Chargesum is 0 Tips?? Danke für die Hilfe. Axel --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
* Axel Spallek wrote on Fri, Jan 07, 2000 at 10:21 +0100:
Steffen Dettmer schrieb:
Weil sie in der route.conf steht, aber beim aktivieren des Devices vom Kernel bereits gesetzt wurde?
Und wie krieg ich das weg? Oder egal?
In dem Du die am Anfang diese Zeilen in /etc/route.conf ein "#" reinschreibst? [Quoting umweltfreundlich entsorgt] oki, Steffen -- Dieses Schreiben wurde maschinell erstellt, es trägt daher weder Unterschrift noch Siegel. --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Wo trag ich eigentlich die ipchains-Befehle am schönsten ein(bei SUSE)? Ich hab sie nämlich noch in boot.local, was ich nicht schön find ;-) Gruß, Axel --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Hallo, Axel Spallek wrote:
Wo trag ich eigentlich die ipchains-Befehle am schönsten ein(bei SUSE)? Ich hab sie nämlich noch in boot.local, was ich nicht schön find ;-)
Ich habe mir unter "/usr/local/bin" ein Skript ("firewall-up") geschrieben. Dieses habe ich in das Boot-Konzept integriert, d.h. ich habe ein Start-/Stop-Skript in "/sbin/init.d" geschrieben (ein Muster liegt dort meines Wissens vor). Von jedem Runlevel aus, in dem das Firewalling benoetigt wird (z.B. "2" und "3") habe ich die entsprechenden symbolischen Links gelegt. Ich habe also das Firewalling-Skript -wie jedes andere Start-/Stop-Skript- in das Bootkonzept eingebaut und bin damit eigentlich ganz zufrieden. Anfangs war ich mir auch nicht sicher, wie man das am sinnvollsten macht. Wenn es "standardmaessig" eine sinnvollere bzw. bessere (weil einheitlichere) Loesung gibt, waere ich daran natuerlich auch interessiert! Gruss, Steffen --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
* Steffen Moser wrote on Fri, Jan 07, 2000 at 12:05 +0100:
Axel Spallek wrote:
Ich hab sie nämlich noch in boot.local, was ich nicht schön find ;-)
Ich habe mir unter "/usr/local/bin" ein Skript ("firewall-up") geschrieben.
Dieses habe ich in das Boot-Konzept integriert, d.h. ich habe ein Start-/Stop-Skript in "/sbin/init.d" geschrieben (ein Muster liegt dort
Frage: warum /usr/local/bin/firewall-up als Name und nicht gleich /etc/rc.d/firewall ? oki, Steffen -- Dieses Schreiben wurde maschinell erstellt, es trägt daher weder Unterschrift noch Siegel. --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Hi Axel, On Fre, 07 Jan 2000, Axel Spallek wrote:
Wo trag ich eigentlich die ipchains-Befehle am schönsten ein(bei SUSE)? Ich hab sie nämlich noch in boot.local, was ich nicht schön find ;-)
Also, ich hab mir das /etc/rc.d/masquerade-Skript gesichert und dann so geändert, wie ich es brauche.. nachdem ich sichergestellt habe, daß es auch richtig funktioniert ;-). Jetzt macht er das automatisch beim Systemstart bzw. per rcmasquerade (start|stop usw) Gruß, Sebastian -- data vue: the feeling you fixed this bug before Sebastian Helms - mailto:sebastian@helms.sh PGP available - 5C70 0D48 70F8 2CB1 6AB7 4539 0E37 E3E1 61A7 BA87 --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Hallo. Erstmal vielen Dank für die bisherige Unterstützung. Aber es geht immer noch nicht. Da RawIP nicht geht, hab ich mal syncppp versucht. Dies sind die messages nach einem Ping 192.168.2.1 Was macht der da? Wählt im sekundenabstand und legt wieder auf!! Jan 7 12:24:05 DS01SV01 kernel: OPEN: 192.168.10.1 -> 192.168.2.1 ICMP Jan 7 12:24:05 DS01SV01 kernel: ippp1: dialing 1 9310693... Jan 7 12:24:07 DS01SV01 ipppd[128]: Local number: 200, Remote number: 9310693, Type: outgoing Jan 7 12:24:07 DS01SV01 ipppd[128]: PHASE_WAIT -> PHASE_ESTABLISHED, ifunit: 1, linkunit: 0, fd: 7 Jan 7 12:24:07 DS01SV01 kernel: isdn_net: ippp1 connected Jan 7 12:24:07 DS01SV01 kernel: isdn_net: chargetime of ippp1 now 8890 Jan 7 12:24:09 DS01SV01 ipppd[106]: Modem hangup Legt gleich wieder auf?? Jan 7 12:24:09 DS01SV01 ipppd[106]: Connection terminated. Jan 7 12:24:09 DS01SV01 ipppd[106]: taking down PHASE_DEAD link 0, linkunit: 0 Jan 7 12:24:09 DS01SV01 ipppd[106]: closing fd 7 from unit 0 Jan 7 12:24:09 DS01SV01 ipppd[106]: link 0 closed , linkunit: 0 Jan 7 12:24:09 DS01SV01 ipppd[106]: reinit_unit: 0 Danach versucht er's im Internet?? Jan 7 12:24:09 DS01SV01 ipppd[106]: Connect[0]: /dev/ippp0, fd: 7 Jan 7 12:24:09 DS01SV01 kernel: isdn_net: local hangup ippp0 Jan 7 12:24:09 DS01SV01 kernel: ippp0: Chargesum is 0 Jan 7 12:24:09 DS01SV01 kernel: ippp, open, slot: 2, minor: 0, state: 0000 Jan 7 12:24:09 DS01SV01 kernel: ippp_ccp: allocating reset data structure Jan 7 12:24:10 DS01SV01 ipppd[128]: MPPP negotiation, He: No We: No Jan 7 12:24:10 DS01SV01 ipppd[128]: CCP enabled! Trying CCP. Jan 7 12:24:10 DS01SV01 ipppd[128]: CCP: got ccp-unit 0 for link 0 (protocol: 0x80fd) Jan 7 12:24:10 DS01SV01 ipppd[128]: ccp_resetci! Jan 7 12:24:10 DS01SV01 ipppd[128]: Could not determine remote IP address Auf ippp0 gings aber sether (ins Internet kein Problem) Dann versucht ers wieder auf ippp1 und so weiter. Ping geht aber nicht. Ich verzweifel noch! Wenn ich nur schon mehr verstehen würde! Unter NT ging das Routing nicht so toll. Jetzt hab ich groß getönt, daß DFÜ mit Linux so einfach wär, und nun........ Bitte!! Helft mir. Gruß Axel ipchains Chain input (policy ACCEPT): Chain forward (policy DENY): target prot opt source destination ports ACCEPT all ------ anywhere 192.168.0.0/16 n/a MASQ all ------ 192.168.3.0/24 !192.168.0.0/16 n/a Chain output (policy ACCEPT): route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.0.1 * 255.255.255.255 UH 0 0 0 ippp0 192.168.0.1 * 255.255.255.255 UH 0 0 0 ippp0 192.168.2.1 * 255.255.255.255 UH 0 0 0 ippp1 192.168.2.1 * 255.255.255.255 UH 0 0 0 ippp1 192.168.3.0 * 255.255.255.0 U 0 0 0 eth0 loopback * 255.0.0.0 U 0 0 0 lo default 192.168.0.1 0.0.0.0 UG 0 0 0 ippp0 --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
* Axel Spallek wrote on Fri, Jan 07, 2000 at 12:43 +0100:
Da RawIP nicht geht, hab ich mal syncppp versucht. Dies sind die messages nach einem Ping 192.168.2.1
besser isdnctrl dial ippp0 od. ähnl. verwenden, weils Nebeneffekte verhindert.
Jan 7 12:24:07 DS01SV01 kernel: isdn_net: chargetime of ippp1 now 8890 Jan 7 12:24:09 DS01SV01 ipppd[106]: Modem hangup
LCP-Handshake ging wohl schief, z.B. andere Seite spricht gar kein LCP/SyncPPP. Mach mal debug beim ipppd an (in /etc/ppp/ioption IIRC)
Jan 7 12:24:10 DS01SV01 ipppd[128]: Could not determine remote IP address
Gegenstelle verrät IP Adresse nicht, sieht so aus, als ob er von Dir die Vergabe einer dynamischen IP Adresse erwartet; sicher, daß Du da einen ISP erwischt hast?!
Auf ippp0 gings aber sether (ins Internet kein Problem)
Das Device, was ins Internet gehen soll, bekommt in den zugehörigen Optionen natürlich kein "useifip", dafür ip_accept_local und -_remote (od. ähn.).
Dann versucht ers wieder auf ippp1 und so weiter.
Nach einem single Ping?! Merkwürdig, kann aber gut ein Nebeneffekt sein.
Ping geht aber nicht.
Keine IP-Adresse, kein Ping... Was soll ich dazu sagen ;)
Ich verzweifel noch! Wenn ich nur schon mehr verstehen würde!
Linux heißt Lesen :) /usr/doc/packages/i4l* durchschauen! Gibt auch ein Howto und Mailinglisten.
Unter NT ging das Routing nicht so toll.
Vor allem: man kann sich nicht unbedingt drauf verlassen, das es auch nach einem Neustart so bleibt...
Jetzt hab ich groß getönt, daß DFÜ mit Linux so einfach wär, und nun........
... stellst Du fest, daß man viel Grundwissen braucht, wenn man nicht mit dem durchprobieren vorhandener Optionen weiterkommt, weil die Software viel zu viel kann. Du mußt immer vorher genau überlegen, was Du willst. Hast Du schon ein Topologie-Diagramm gemalt? Da müssen alle IP-Adressen und Netzwerke genau eingezeichnet sein, sonst kommst Du durcheinander. Dann kannst Du die Routentabellen ablesen. oki, Steffen -- Dieses Schreiben wurde maschinell erstellt, es trägt daher weder Unterschrift noch Siegel. --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Hallo! Bin mit diesem Problem jetzt nach SUSE-ISDN umgezogen. Hatte ganz vergessen, daß es das ja auch gibt. Gruß, Axel --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
participants (5)
-
Axel.Spallek@dr-sysco.de
-
Axel.Spallek@DR-SYSCO.de
-
moser@egu.schule.ulm.de
-
sebastian@helms.sh
-
steffen@dett.de