Hallo, komme irgendwie nicht weiter: Auf einer Suse 8.1 TDSL (Modem mit Netzwerkausgang) eingerichtet, 2 Netzwerkkarten im Router (eth0 192.168.0.2 LAN, eth1 192.168.2.1 TDSL). TDSL auf dem Router selbst funzt, aber das Routing nicht. Ich habe Weiterleitung/Masquerading sowohl yast-mäßig (also via firewall2) und auch bei abgeschalteter fw manuell mittels iptables einzurichten versucht und beides klappt nicht. Iptraf auf dem Router zeigt die (ping-) Anforderung vom Client an, aber nicht, warum er sie nicht durchläßt (oder die Antwort nicht). In den messages steht auch nur, daß die fw mit Masquerading gestartet ist - o.k. Die entsprechenden sysconf-Einstellungen habe ich auch gesetzt. Nun weiß ich nicht mehr so recht weiter, auch die diversen Anleitungen kennen den Fall nicht. Der Client kommt über einen anderen Router ohne Probleme raus, wenn ich den entsprechenden Gateway-Eintrag ändere. ??? Danke für jeden Tip! -- Joerg Thuemmler sysadmin@vordruckleitverlag.de
Hallo, Am Dienstag, 10. Februar 2004 16:41 schrieb Joerg Thuemmler:
LAN, eth1 192.168.2.1 TDSL). TDSL auf dem Router selbst funzt, aber das Routing nicht. Ich habe Weiterleitung/Masquerading sowohl yast-mäßig (also
1. Du musst auf den Clients einen DNS-Server (also Nameserver) eintragen. Und zwar die IP des Routers (also 192.168.0.2) das dürfte es gewesen sein. Ansonsten musst Du noch diverse andere Dinge treiben, wie z.B. die MTU anpassen, sonst gehen einige Websites nicht. Ein gutes HowTo gibts unter http://linuxrouter.minots.net/index.php -- Michael Herrmann PGP / GnuPG Fingerprint: 8C97 D13A C023 A86D 540F 3C22 98BA 324D 50A0 7771
Michael Herrmann schrieb am Tue, 10 Feb 2004 20:47:14 +0100: DSL und Router will nicht
Hallo,
Am Dienstag, 10. Februar 2004 16:41 schrieb Joerg Thuemmler:
LAN, eth1 192.168.2.1 TDSL). TDSL auf dem Router selbst funzt, aber das Routing nicht. Ich habe Weiterleitung/Masquerading sowohl yast-mäßig (also
1. Du musst auf den Clients einen DNS-Server (also Nameserver) eintragen. Und zwar die IP des Routers (also 192.168.0.2)
das dürfte es gewesen sein.
ist es leider nicht. Hatte ich eigentlich auch nicht erwartet. Bei meinem bisherigen ISDN-Router habe ich da immer einen "echten" Nameserver von t-offline stehen, egal, ob es Win- oder Linux-Clients waren. Lt. iptraf wird die Anfrage ja auch vom Client an den Nameserver (z.B. 193.158.141.116, der stand mal in der resolver-Datei) gerichtet, aber ich sehe nicht, daß sie rausgeroutet wird.
Ansonsten musst Du noch diverse andere Dinge treiben, wie z.B. die MTU anpassen, sonst gehen einige Websites nicht.
ja. sollte aber einen ping nicht behindern?
Ein gutes HowTo gibts unter http://linuxrouter.minots.net/index.php
das werde ich mir gleich mal reinziehen, ist allerdings schon die 4. Anleitung, irgendwo ist hier gewaltig der Wurm drin!
-- Michael Herrmann
Jedenfalls Danke! -- Joerg Thuemmler sysadmin@vordruckleitverlag.de
Joerg Thuemmler schrieb am Wed, 11 Feb 2004 17:03:19 +0100 (CET): DSL und Router will nicht
Michael Herrmann schrieb am Tue, 10 Feb 2004 20:47:14 +0100: DSL und Router will nicht
Hallo,
Am Dienstag, 10. Februar 2004 16:41 schrieb Joerg Thuemmler:
LAN, eth1 192.168.2.1 TDSL). TDSL auf dem Router selbst funzt, aber das Routing nicht. Ich habe Weiterleitung/Masquerading sowohl yast-mäßig (also
1. Du musst auf den Clients einen DNS-Server (also Nameserver) eintragen. Und zwar die IP des Routers (also 192.168.0.2)
das dürfte es gewesen sein.
ist es leider nicht. Hatte ich eigentlich auch nicht erwartet. Bei meinem bisherigen ISDN-Router habe ich da immer einen "echten" Nameserver von t-offline stehen, egal, ob es Win- oder Linux-Clients waren. Lt. iptraf wird die Anfrage ja auch vom Client an den Nameserver (z.B. 193.158.141.116, der stand mal in der resolver-Datei) gerichtet, aber ich sehe nicht, daß sie rausgeroutet wird.
Ansonsten musst Du noch diverse andere Dinge treiben, wie z.B. die MTU anpassen, sonst gehen einige Websites nicht.
ja. sollte aber einen ping nicht behindern?
Ein gutes HowTo gibts unter http://linuxrouter.minots.net/index.php
das werde ich mir gleich mal reinziehen, ist allerdings schon die 4. Anleitung, irgendwo ist hier gewaltig der Wurm drin!
-- Michael Herrmann
Jedenfalls Danke!
-- Joerg Thuemmler
So, nun habe ich den ganzen Netzwerkkram auf dem Router nochmal konfiguriert
(nach der SDB-Anleitung http://portal.suse.de/sdb/de/2002/07/masq80.html).
Ergebnis ist, daß der Router selbst problemlos rauskommt. Der Client dagegen
nicht.
Dann gibt es noch einen kleinen feinen Unterschied: Wenn ich bind9 (ohne
explizite Konfiguration meinerseits, einfach im runlevel-Editor starten) laufen
lasse, bekommt der Client von da eine gültige IP, d.h., wenn ich einen ping
auf www.vordruckleitverlag.de z.B. mache, zeigt er mir in etwa an:
PING www.vordruckleitverlag.de (62.67.218.162): 56 data bytes
aber, das war es dann auch, alle Pakete gehen verloren. Stoppe ich den bind9 auf
dem Router, kommt nur "host unknown" zurück.
IPTRAF zeigt (wenn bind9 läuft) den udp-request auf eth0 des Routers auch an,
aber keine Antwort. Auf ppp0 zeigt IPTRAF sowohl die Anfrage
"ICMP echo req <aktuelle dyn. IP> to 62.67.218.162 on ppp0"
als auch die Antwort
"ICMP echo rply 62.67.218.162 to
Hallo Joerg, schick mal bitte die Ausgaben der folgenden Kommandos an die Liste. mii-tool route -n ifconfig ping -c2 <interne ip deines routers> cat /etc/hosts cat /etc/resolv.conf Greetings Daniel -- "Zwei Dinge halte ich für unendlich: die menschliche Dummheit und das Universum. Bei Letzterem bin ich mir aber noch nicht sicher." -- Albert Einstein
Daniel Lord schrieb am Thu, 12 Feb 2004 19:47:28 +0100: DSL und Router will nicht
Hallo Joerg,
schick mal bitte die Ausgaben der folgenden Kommandos an die Liste.
mii-tool route -n ifconfig ping -c2 <interne ip deines routers> cat /etc/hosts cat /etc/resolv.conf
Greetings Daniel -- "Zwei Dinge halte ich für unendlich: die menschliche Dummheit und das Universum. Bei Letzterem bin ich mir aber noch nicht sicher." -- Albert Einstein
Hallo, Daniel, hmm, hoffe, daß die Signatur nicht allzu sehr zutrifft... im folgenden die Ausgaben, Sorry für lange Zeilen Client (alte DLD-4 Version, da Testrechner. Routing lief aber tadellos über ISDN-Router, Kernel 2.0.36 IP 192.168.0.4=pc586) mii-tool: gibts hier nicht (ist eine 100 MBit-Realtek-Karte, link ist o.k.) route -n: Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 1 lo 0.0.0.0 192.168.0.2 0.0.0.0 UG 0 0 0 eth0 ifconfig: lo Link encap:Local Loopback inet addr:127.0.0.1 Bcast:127.255.255.255 Mask:255.0.0.0 UP BROADCAST LOOPBACK RUNNING MTU:3584 Metric:1 RX packets:2 errors:0 dropped:0 overruns:0 frame:0 TX packets:2 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 eth0 Link encap:Ethernet HWaddr 00:48:54:50:75:85 inet addr:192.168.0.4 Bcast:192.168.0.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:58 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 Interrupt:11 Base address:0x6000 PING 192.168.0.2 (192.168.0.2): 56 data bytes 64 bytes from 192.168.0.2: icmp_seq=0 ttl=64 time=0.3 ms 64 bytes from 192.168.0.2: icmp_seq=1 ttl=64 time=0.2 ms --- 192.168.0.2 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max = 0.2/0.2/0.3 ms /etc/hosts: 127.0.0.1 pc586.lan.vfg pc586 localhost 192.168.0.1 linux.lan.vfg linux 192.168.0.2 pcedv.lan.vfg pcedv 192.168.0.4 pc586.lan.vfg pc586 /etc/resolv.conf search lan.vfg nameserver 192.168.0.2 (hier hatte ich auch schon einen "echten" t-online-DNS drinstehen ... selbes Ergebnis) Router: (Athlon 2,2 GHz, Suse 8.1 Pro, Orig.Kernel 192.168.0.2=pcedv) mii.tool: eth0: negotiated 100baseTx-FD, link ok eth1: negotiated 100baseTx-FD, link ok route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 217.5.98.79 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0 192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 0.0.0.0 217.5.98.79 0.0.0.0 UG 0 0 0 ppp0 ifconfig: eth0 Link encap:Ethernet HWaddr 00:0C:6E:5A:EE:E6 inet addr:192.168.0.2 Bcast:192.168.0.255 Mask:255.255.255.0 inet6 addr: fe80::20c:6eff:fe5a:eee6/10 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:21 errors:0 dropped:0 overruns:0 frame:0 TX packets:12 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:1920 (1.8 Kb) TX bytes:684 (684.0 b) Interrupt:10 Base address:0xd400 eth1 Link encap:Ethernet HWaddr 00:E0:7D:82:B3:81 inet addr:192.168.2.1 Bcast:192.168.2.255 Mask:255.255.255.0 inet6 addr: fe80::2e0:7dff:fe82:b381/10 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:18 errors:0 dropped:0 overruns:0 frame:0 TX packets:23 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:2661 (2.5 Kb) TX bytes:1722 (1.6 Kb) Interrupt:10 Base address:0xff00 lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:0 (0.0 b) TX bytes:0 (0.0 b) ppp0 Link encap:Point-to-Point Protocol inet addr:217.82.155.228 P-t-P:217.5.98.79 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1492 Metric:1 RX packets:11 errors:0 dropped:0 overruns:0 frame:0 TX packets:13 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:3 RX bytes:1993 (1.9 Kb) TX bytes:733 (733.0 b) ping: PING 192.168.0.2 (192.168.0.2) from 192.168.0.2 : 56(84) bytes of data. 64 bytes from 192.168.0.2: icmp_seq=1 ttl=64 time=0.086 ms 64 bytes from 192.168.0.2: icmp_seq=2 ttl=64 time=0.016 ms --- 192.168.0.2 ping statistics --- 2 packets transmitted, 2 received, 0% loss, time 999ms rtt min/avg/max/mdev = 0.016/0.051/0.086/0.035 ms # # hosts This file describes a number of hostname-to-address # 127.0.0.1 localhost # special IPv6 addresses ::1 localhost ipv6-localhost ipv6-loopback fe00::0 ipv6-localnet ff00::0 ipv6-mcastprefix ff02::1 ipv6-allnodes ff02::2 ipv6-allrouters ff02::3 ipv6-allhosts 192.168.0.1 linux linux 192.168.0.100 druck1.lan.vfg druck1 192.168.0.4 pc586.lan.vfg pc586 192.168.0.50 gabi.lan.vfg gabi 192.168.0.99 test.lan.vfg test 192.168.0.2 pcedv.lan.vfg pcedv 192.168.2.1 pcedv.lan.vfg ### BEGIN INFO # # Modified_by: pppd # Backup: /etc/resolv.conf.saved.by.pppd.ppp0 # Process: pppd # Process_id: 635 # Script: /etc/ppp/ip-up # Saveto: # Info: This is a temporary resolv.conf created by service pppd. # The previous file has been saved and will be restored later. ### END INFO search dns00.btx.dtag.de dns02.btx.dtag.de dns03.btx.dtag.de nameserver 193.158.141.116 nameserver 194.25.2.129 kannst Du damit was anfangen? THx für jeden Tip -- Joerg Thuemmler sysadmin@vordruckleitverlag.de
Hallo Joerg, On Fri, Feb 13, 2004 at 08:50:11AM +0100, Joerg Thuemmler wrote:
Daniel Lord schrieb am Thu, 12 Feb 2004 19:47:28 +0100: DSL und Router will nicht
-- "Zwei Dinge halte ich für unendlich: die menschliche Dummheit und das Universum. Bei Letzterem bin ich mir aber noch nicht sicher." -- Albert Einstein
hmm, hoffe, daß die Signatur nicht allzu sehr zutrifft...
Ist wie (fast) immer eine Zufallssignatur und irgendwie hab ich das dumme Gefühl, dass an der Aussage was dran sein könnte. :\ Aber das gehört nicht in diese Liste :) Und hat auch sicher nichts mit Linux zu tun *g*
Client (alte DLD-4 Version, da Testrechner. Routing lief aber tadellos über ISDN-Router, Kernel 2.0.36 IP 192.168.0.4=pc586)
gibts sowas immer noch :) [ Clientausgaben OK ]
/etc/resolv.conf search lan.vfg nameserver 192.168.0.2 (hier hatte ich auch schon einen "echten" t-online-DNS drinstehen ... selbes Ergebnis)
läuft auf dem Router (Athlon) ein bind (DNS Server)? Wenn nicht dann gehört hier der T-Offline DNS Server rein. z.B. nameserver 194.25.2.129 nameserver 194.25.2.130 nameserver 194.25.2.131 oder schau mal auf http://www.fli4l.de/german/dns.htm ob du was passenderes findest.
Router: (Athlon 2,2 GHz, Suse 8.1 Pro, Orig.Kernel 192.168.0.2=pcedv) [ Routerausgabe OK ]
# special IPv6 addresses ::1 localhost ipv6-localhost ipv6-loopback
fe00::0 ipv6-localnet
ff00::0 ipv6-mcastprefix ff02::1 ipv6-allnodes ff02::2 ipv6-allrouters ff02::3 ipv6-allhosts
Wenn du kein IPv6 benutzt (wovon ich mal ausgehe) dann kannst du
diese Einträge aus /etc/hosts löschen. (hat nichts mit deinem
eigentlichen Problem zu tun)
Dein Problem liegt nun also definitiv am Routing / Masquerading auf
dem Router.
dort also mal ein SuSEfirewall2 stop ausführen.
danach mal das folgende Skript starten
Daniel Lord schrieb am Fri, 13 Feb 2004 10:57:54 +0100: DSL und Router will nicht
Hallo Joerg,
On Fri, Feb 13, 2004 at 08:50:11AM +0100, Joerg Thuemmler wrote:
Daniel Lord schrieb am Thu, 12 Feb 2004 19:47:28 +0100: DSL und Router will nicht
..
läuft auf dem Router (Athlon) ein bind (DNS Server)? Wenn nicht dann gehört hier der T-Offline DNS Server rein.
hatte ich wie gesagt, schonmal drin. Bringt nix anderes. bind9 habe ich auch mal werkeln lassen, wie ich schon schrieb, führt das dazu, daß beim ping die Ziel-IP korrekt angezeigt wird, dennoch kommt kein Paket zurück.
Router: (Athlon 2,2 GHz, Suse 8.1 Pro, Orig.Kernel 192.168.0.2=pcedv) [ Routerausgabe OK ]
Dein Problem liegt nun also definitiv am Routing / Masquerading auf dem Router.
dort also mal ein SuSEfirewall2 stop ausführen. danach mal das folgende Skript starten
werde es mir gründlich ansehen, im Großen und Ganzen sehe ich, was es tut, und dann testen.
#!/bin/bash IPT=/sbin/$IPT
$IPT gibts allerdings nicht, und in /sbin auch kein iptables, das liegt bei mir (8.1) in /usr/sbin, warum auch immmer. Kein Thema, das zu ersetzen.
PCPOOL="eth0" ...
Ich übernehme allerdings keine Garantie für das Skript und schon gar nicht für eine Firma :) (funktionieren sollte es aber trotzdem :)
.. das kann man ja wohl kaum erwarten, ich bin Dir trotzdem sehr dankbar.
Der Router sollte nach dem Ausführen dieses Skriptes ziemlich transparent sein (von innen nach aussen) D.h. auf dem Client muss nur noch die /etc/resolv.conf geändert werden.
Da es sich bei dem Projekt um eine Firma handelt noch ein zwei Sätze zum Thema Sicherheit. Obige Firewall ist _nicht_ sicher aber sie funktioniert und hält einiges vom internen Netzwerk ab. IMHO sollte für eine Firma aber eine Konfiguration ganz ohne Masquerading gewählt werden. Tripwire, scanlogd, grsecurity, SELinux und Co. sollte man sich zumindest mal anschauen und evtl. aufsetzen.
Greetings Daniel -- Wenn Leute dir sagen: "Kümmere dich nicht soviel um dich selbst.", dann sieh dir die Leute an die dir das sagen. An ihnen kannst du erkennen, wie das ist, wenn einer sich nicht genug um sich selbst gekümmert hat. - Erich Fried
Über Deine Hinweise zur Sicherheit werde ich auf jeden Fall nachdenken, es wird halt nicht so schnell gehen, in einer kleinen Bude wie der unseren ist man da Einzelkämpfer. Aber gegen rein zufällige Attacken ist eine fw ja schon ganz gut, denke ich. Jedenfalls nochmal danke! -- Joerg Thuemmler sysadmin@vordruckleitverlag.de
Hallo Joerg, On Fri, Feb 13, 2004 at 12:49:24PM +0100, Joerg Thuemmler wrote:
Daniel Lord schrieb am Fri, 13 Feb 2004 10:57:54 +0100: DSL und Router will nicht
On Fri, Feb 13, 2004 at 08:50:11AM +0100, Joerg Thuemmler wrote: .. läuft auf dem Router (Athlon) ein bind (DNS Server)? Wenn nicht dann gehört hier der T-Offline DNS Server rein.
hatte ich wie gesagt, schonmal drin. Bringt nix anderes. bind9 habe ich auch mal werkeln lassen, wie ich schon schrieb, führt das dazu, daß beim ping die Ziel-IP korrekt angezeigt wird, dennoch kommt kein Paket zurück.
das liegt daran, dass sie SuSEfirewall2 IMHO ICMP Packete nicht maskiert bzw. routet.
#!/bin/bash IPT=/sbin/$IPT
^^^^ *ouch* suchen und ersetzen von iptables :\ Andreas hat dich ja schon darauf hingewiesen, dass ich das $OUTSIDE Device falsche gesetzt hatte :\ nicht mein Tag scheint mir. Greetings Daniel -- PS: Kann das sein, daß wir hier bald in 'k00wls'-, 'nons'- und sonstigen 'Heulenden Irrwisch'-Kreaturen ersticken? -- Helga Fischer (suse-linux) ...SuSE CD in der Computerbild
* Freitag, 13. Februar 2004 um 10:57 (+0100) schrieb Daniel Lord:
Dein Problem liegt nun also definitiv am Routing / Masquerading auf dem Router.
dort also mal ein SuSEfirewall2 stop ausführen. danach mal das folgende Skript starten
#!/bin/bash IPT=/sbin/$IPT PCPOOL="eth0" OUTSIDE="eth1"
OUTSIDE="ppp0"!
Gruß
Andreas
--
Andreas Könecke "Andreas Koenecke
Andreas Koenecke schrieb am Fri, 13 Feb 2004 14:03:48 +0100: DSL und Router will nicht
* Freitag, 13. Februar 2004 um 10:57 (+0100) schrieb Daniel Lord:
Dein Problem liegt nun also definitiv am Routing / Masquerading auf dem Router.
dort also mal ein SuSEfirewall2 stop ausführen. danach mal das folgende Skript starten
#!/bin/bash IPT=/sbin/$IPT PCPOOL="eth0" OUTSIDE="eth1" OUTSIDE="ppp0"!
Gruß
Andreas
Das script von Daniel mit der Korrektur von Andreas läßt es tun. Mir ist immer noch nicht ganz klar, wo der Unterschied zu dem unter SuSEfirewall2 firmierenden Paket besteht (was meine Eingaben in yast2 betrifft, glaube ich zumindest, genau das eingestellt zu haben, was Daniel im script stehen hat), aber seis drum: Hiermit kann ich erstmal anfangen zu arbeiten. Daß und ob in der Suse-fw2 icmp abgefangen wird, hatte jedenfalls keine Bedeutung, da http auch nicht durchkam. Jedenfalls nochmals ein dickes DANKE allen Helfern und schön, daß es diese Liste gibt. -- Joerg Thuemmler sysadmin@vordruckleitverlag.de
participants (4)
-
Andreas Koenecke
-
Daniel Lord
-
Joerg Thuemmler
-
Michael Herrmann