plötzlich kein masquerading / routing ???
Hallo Liste, habe hier ein Problem und finde keine Lösung .... :-( Mein "Hauptrechner", auf dem ich auch täglich arbeite ist über eth0 mit der bunten weiten Welt verbunden, und mit eth1 mit dem "internen Lan". Daher ist er auch zuständig für firewall, routing, dns, ... Gestern fiel mir auf dass die Rechner am internen Lan keine Verbindung zur Außenwelt haben. Letzten Sonntag hat es nachweislich noch funktioniert. Das Einzige, das zwischen Sonntag und gestern gemacht wurde, das vielleicht etwas verändert haben könnte war dass ich über Yast die anstehenden updates eingespielt habe. Ich kann mich nicht erinnern ob da etwas von der firewall dabei war. Ich habe bereits Stunden erfolglos gesucht, finde aber nichts. ---------------------------------------------------------------------------------------------- firewall-cmd --list-all --zone=internal sagt: internal (active) target: ACCEPT icmp-block-inversion: no interfaces: eth1 sources: services: ports: protocols: masquerade: no forward-ports: source-ports: icmp-blocks: rich rules: firewall-cmd --list-all --zone=external sagt: external (active) target: default icmp-block-inversion: no interfaces: eth0 sources: die.ip.vom.dslmodem services: ports: **** sag ich nicht **** protocols: masquerade: yes forward-ports: source-ports: icmp-blocks: rich rules: route sagt: Kernel IP Routentabelle Ziel Router Genmask Flags Metric Ref Use Iface default 81-223-241-113. 0.0.0.0 UG 0 0 0 eth0 10.3.1.0 0.0.0.0 255.255.255.0 U 0 0 0 tun0 81-223-241-112. 0.0.0.0 255.255.255.248 U 0 0 0 eth0 192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 192.168.12.0 0.0.0.0 255.255.255.0 U 0 0 0 tun0 ---------------------------------------------------------------------------------------------- Mit diesen Settings hat es "jahrelang" funtkioniert. im firewalld-gui finde ich ebenfalls nichts ungewöhnliches / interessantes. Hat jemand von Euch noch eine Idee? Im Moment bin ich irgendwas zwischen ratlos und verblüfft... lG Norbert -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
On Thu, 20 Feb 2020 11:42:15 +0100 Norbert Zawodsky <norbert@zawodsky.at> wrote:
Kannst Du denn vom "Hauptrechner" aus einen Host im Internet pingen? Also z.B. ping 8.8.8.8? Aus Deiner Darstellung geht nicht klar hervor, ob es sich um ein DSL-Modem oder doch eher um einen Router handelt. Ist Dein Access-Router / CPE selbst noch pingbar? Gruß, Tobias. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 20.02.20 15:10 schrieb Tobias Crefeld:
Sorry, hab ich nicht klar dazugeschrieben... Vom "Hauptrechner" aus geht alles. Ich komme überall hin, von draußen kann ich problemlos einen VPN Tunnel aufbauen, alles funktioniert. Nur die Rechner am internen Lan (192.168.1.x) kommen nicht mehr "hinaus". Der Hautprechner will plötzlich [tm] kein masquerading mehr machen... Die Rechner am internen Lan können auch problemlos mit einander kommunizieren, alle Drucker erreichbar, alles geht. Nur "nach hinaus" ist Sendepause. Irgend ein update diese Woche hat scheinbar irgend etwas "umgestellt". Aber was ????? (Ach ja, OS 15.1 läuft) Gruß Norbert -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Thu, 20 Feb 2020 18:04:27 +0100 schrieb Norbert Zawodsky <norbert@zawodsky.at>:
Hi, hast Du die Standard-Suse-Firewall am Laufen oder eigene Skripte? Bei ersterem würde ich mal in Yast-Firewall reingucken, nicht dass da das Masquerading oder die IP-Weiterleitung raus sind. Außerdem - auch bei eigenen Skripten - mal iptables -L -n -v und iptables -t nat -L -n -V am besten die Ausgabe in eine Datei loggen und gucken, ob das passt. Wie sind denn die Clients im LAN konfiguriert? DHCP ... fix ... DNS? Auf dem Client selbst: - IP passt? - ifconfig passt? - ping <Hauptrechner> geht? - ping 62.138.239.100 geht (t-online IP) wenn ja, DNS-Eintrag auf dem Client da? wenn Du DHCP vom Hauptrechner oder auch vom Router machst, wäre das einen Blick wert. cu -- Joerg Thuemmler -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Thu, 20 Feb 2020 18:04:27 +0100 schrieb Norbert Zawodsky <norbert@zawodsky.at>:
Das Stichwort ist 'bridging'. Du solltest eine bridge zwischen eth0 und eth1 ein device br0 einbauen. Schreibe eine ifcfg-br0 Regel. -Dieter -- Dieter Klünter | Systemberatung http://sys4.de GPG Key ID: E9ED159B 53°37'09,95"N 10°08'02,42"E -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Fri, 21 Feb 2020 10:54:37 +0100 schrieb Dieter Klünter <dieter@dkluenter.de>:
Quatsch, das geht doch über die Standardeinstellungen IP-Weiterleitung und Masquerading. Ist doch auch anscheinend ohne jeden Ärger gelaufen ... bis zu dem update oder so. Ich habe sowas seit 200x mit diversen Susis am Laufen, hat noch nie Ärger gemacht, hat außerdem den hübschen Nebeneffekt, dass man den Netzwerkverkehr der Clients filtern kann und - wenn man z.B. M$-Kisten dabei hat - schneller merkt, wenn da irgendwelcher verdächtige Verkehr läuft. Wird so wahrscheinlich ohne "bridging" von gefühlt 30% aller hier Mitlesenden eingesetzt. cu jth -- Joerg Thuemmler -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
On Thu, 20 Feb 2020 18:04:27 +0100 Norbert Zawodsky <norbert@zawodsky.at> wrote:
Wie sieht eigentlich der Test genau aus, aufgrund dessen Du sagst, dass die Clients nicht mehr "nach draußen" kommen? Können die Clients am Tunnelende die Clients im LAN erreichen bzw. umgekehrt - zumindest per ping? Voraussetzung ist natürlich, dass das "per design" vorgesehen ist, also Clients, die auf ping an den betreffenden Interfaces antworten und Firewall-Regeln auf Deinem Hauptrechner, die ICMP echo request & reply zulassen. Unwahrscheinlich, aber rein sicherheitshalber das IP-Forwarding kontrollieren: sysctl net.ipv4.ip_forward net.ipv4.ip_forward = 1 ? Falls das alles ok. ist, würde ich als nächstes die von Joerg genannten iptables-List-Kommandos konsultieren. Gruß, Tobias. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 21.02.20 13:30 schrieb Tobias Crefeld:
Hallo an Alle! ich möchte mich bei allen für ihre Tipps bedanken! Ich hatte in den letzten 2 Wochen enormen beruflichen Stress und einfach keine Ruhe Euch zu antworten. Jedenfalls funktioniert wieder alles. Die Lösung war: Ich habe Yast->Netzwerkeinstellungen->Routing kontrolliert. Die "default ipv4 gateway" war zwar eingetragen aber unter "Gerät" nichts. Keine Ahnung welcher update-Schritt der letzten Zeit das gelöscht haben könnte. Ich habe dort wieder "eth0" ausgewählt und schon hat alles wieder funktioniert. Hauptsache es ist alles wieder ok. Grüße, Norbert -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
On Thu, 5 Mar 2020 13:15:07 +0100 Norbert Zawodsky <norbert@zawodsky.at> wrote:
Danke für die "Auflösung des Rätsels"! Seltsam ist, dass dann die Verbindung zum public Internet trotzdem funktioniert hat. Die Zuverlässigkeit von GUI-Tools ist halt doch immer (nicht nur bei SUSE) mit Vorsicht zu genießen. Gruß, Tobias. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
On Thu, 20 Feb 2020 11:42:15 +0100 Norbert Zawodsky <norbert@zawodsky.at> wrote:
Kannst Du denn vom "Hauptrechner" aus einen Host im Internet pingen? Also z.B. ping 8.8.8.8? Aus Deiner Darstellung geht nicht klar hervor, ob es sich um ein DSL-Modem oder doch eher um einen Router handelt. Ist Dein Access-Router / CPE selbst noch pingbar? Gruß, Tobias. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 20.02.20 15:10 schrieb Tobias Crefeld:
Sorry, hab ich nicht klar dazugeschrieben... Vom "Hauptrechner" aus geht alles. Ich komme überall hin, von draußen kann ich problemlos einen VPN Tunnel aufbauen, alles funktioniert. Nur die Rechner am internen Lan (192.168.1.x) kommen nicht mehr "hinaus". Der Hautprechner will plötzlich [tm] kein masquerading mehr machen... Die Rechner am internen Lan können auch problemlos mit einander kommunizieren, alle Drucker erreichbar, alles geht. Nur "nach hinaus" ist Sendepause. Irgend ein update diese Woche hat scheinbar irgend etwas "umgestellt". Aber was ????? (Ach ja, OS 15.1 läuft) Gruß Norbert -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Thu, 20 Feb 2020 18:04:27 +0100 schrieb Norbert Zawodsky <norbert@zawodsky.at>:
Hi, hast Du die Standard-Suse-Firewall am Laufen oder eigene Skripte? Bei ersterem würde ich mal in Yast-Firewall reingucken, nicht dass da das Masquerading oder die IP-Weiterleitung raus sind. Außerdem - auch bei eigenen Skripten - mal iptables -L -n -v und iptables -t nat -L -n -V am besten die Ausgabe in eine Datei loggen und gucken, ob das passt. Wie sind denn die Clients im LAN konfiguriert? DHCP ... fix ... DNS? Auf dem Client selbst: - IP passt? - ifconfig passt? - ping <Hauptrechner> geht? - ping 62.138.239.100 geht (t-online IP) wenn ja, DNS-Eintrag auf dem Client da? wenn Du DHCP vom Hauptrechner oder auch vom Router machst, wäre das einen Blick wert. cu -- Joerg Thuemmler -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Thu, 20 Feb 2020 18:04:27 +0100 schrieb Norbert Zawodsky <norbert@zawodsky.at>:
Das Stichwort ist 'bridging'. Du solltest eine bridge zwischen eth0 und eth1 ein device br0 einbauen. Schreibe eine ifcfg-br0 Regel. -Dieter -- Dieter Klünter | Systemberatung http://sys4.de GPG Key ID: E9ED159B 53°37'09,95"N 10°08'02,42"E -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Fri, 21 Feb 2020 10:54:37 +0100 schrieb Dieter Klünter <dieter@dkluenter.de>:
Quatsch, das geht doch über die Standardeinstellungen IP-Weiterleitung und Masquerading. Ist doch auch anscheinend ohne jeden Ärger gelaufen ... bis zu dem update oder so. Ich habe sowas seit 200x mit diversen Susis am Laufen, hat noch nie Ärger gemacht, hat außerdem den hübschen Nebeneffekt, dass man den Netzwerkverkehr der Clients filtern kann und - wenn man z.B. M$-Kisten dabei hat - schneller merkt, wenn da irgendwelcher verdächtige Verkehr läuft. Wird so wahrscheinlich ohne "bridging" von gefühlt 30% aller hier Mitlesenden eingesetzt. cu jth -- Joerg Thuemmler -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
On Thu, 20 Feb 2020 18:04:27 +0100 Norbert Zawodsky <norbert@zawodsky.at> wrote:
Wie sieht eigentlich der Test genau aus, aufgrund dessen Du sagst, dass die Clients nicht mehr "nach draußen" kommen? Können die Clients am Tunnelende die Clients im LAN erreichen bzw. umgekehrt - zumindest per ping? Voraussetzung ist natürlich, dass das "per design" vorgesehen ist, also Clients, die auf ping an den betreffenden Interfaces antworten und Firewall-Regeln auf Deinem Hauptrechner, die ICMP echo request & reply zulassen. Unwahrscheinlich, aber rein sicherheitshalber das IP-Forwarding kontrollieren: sysctl net.ipv4.ip_forward net.ipv4.ip_forward = 1 ? Falls das alles ok. ist, würde ich als nächstes die von Joerg genannten iptables-List-Kommandos konsultieren. Gruß, Tobias. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
participants (4)
-
Dieter Klünter -
Joerg Thuemmler -
Norbert Zawodsky -
Tobias Crefeld