On Sat, Nov 09, 2002 at 08:46:38PM +0100, Karsten Henning wrote:
Hallo,
ich stelle wegen Hardwaretausch gerade von SuSE 7.3 DSL-Router auf einen anderen PC mit SuSE 8.1 um, der dann der neue DSL-Router sein soll.
Mein Problem:
Der neue DSL-Router selbst hat mit dem Internet keine Probleme, auch nicht mit den Seiten, die bekannterweise das MTU 1492 Problem haben. Aber ich kann mich von einem Linux-Client nicht mit dem Internet verbinden, obwohl die Auflösung der Adressen vom Client aus möglich ist (Neuer Router ist gleichzeitig Nameserver mit bind9). nslookup löst Adressen sauber auf.
Mit dem gleichen Gerät, natürlich mit anderem nameserver-Eintrag und anderer defaultroute und nach Umstecken des DSL-Modems, komme ich über den alten DSL-Router problemlos ins Internet. Der ist auch nameserver mit bind8.
Versuch Client Die Beobachtung des Port 80 am Client und am DSL-Router mit --> tcpdump -p -i any port 80 ergibt:
17:32:37.809011 moritz.henning.de.32776 > www.heise.de.http: S 1941199565:1941199565(0) win 5840
(DF) 17:32:37.809123 moritz.henning.de.32776 > www.heise.de.http: S 1941199565:1941199565(0) win 5840 (DF) 17:32:40.802757 moritz.henning.de.32776 > www.heise.de.http: S 1941199565:1941199565(0) win 5840 (DF) ... usw.
Am DSL-Router sieht ein erfolgreicher Internetaufbau so aus:
17:46:02.399310 pD9E6FBC9.dip.t-dialin.net.1029 > www.heise.de.http: S 2808965768:2808965768(0) win 5808
(DF) 17:46:02.467724 www.heise.de.http > pD9E6FBC9.dip.t-dialin.net.1029: S 1115354122:1115354122(0) ack 2808965769 win 8192 17:46:02.467944 pD9E6FBC9.dip.t-dialin.net.1029 > www.heise.de.http: . ack 1 win 5808 (DF) 17:46:08.299064 pD9E6FBC9.dip.t-dialin.net.1029 > www.heise.de.http: P 1:263(262) ack 1 win 5808 (DF) ... usw.
Am DSL-Router: SuSEfirewall2 ist ausgeschaltet, IP-Forward ist "YES" iptable ist ergänzt wegen MTU-Problem durch Anfügen des Befehls
/usr/sbin/iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS \ --clamp-mss-to-pmtu
an das Startscript ip-up
Hmm und wie machst Du NAT ohne SFW2 ? Oder hast Du ein Netz mit geroteten offiziellen IPs hinter dem Router ? -- Karsten Keil SuSE Labs ISDN development