Mit ISDN war alles so einfach! Ich versuche seit zwei Tagen das Masquerading mit T-DSL ans Laufen zu bringen und irgendwo habe ich einen logischen Fehler drin. Der Zugang ueber Proxy auf dem Router (sehr unsauber aber i.M. meine einzige Moeglichkeit) funktioniert.
Das ist meine Konfiguration:
Internet <--> Router (192.168.0.3 [eth0; intern] 192.168.0.100 [eth1; extern-->DSL-Modem])<--> Server (192.168.0.1)<--> 2x Windows (192.168.0.21 und 192.168.0.2)
Der Router kann auf beiden Netzwerkkarten eth0 (x.3) und eth1 (x.100) problemlos angesprochen werden. Mit dem Start des SuSE Firewall klappt nichts mehr, obwohl genauestens nach der Anleitung von SuSE vorgegangen wurde! Der Proxy funktioniert wohl nicht mehr wg. des Redirect, aber Masquerading auf eth1 findet auch nicht statt.
Ich vemute, dass ich hier ppp0, eth0 und eth1 hoffnungslos durcheinander schmeisse.
Ein Default Gateway ist nicht eingetragen (in der SuSE Doku wird permanent daraufhingewiesen dies nicht zu tun. Deswegen habe ich das weggelassen.) Bei bestehender Verbindung gibt mir route -n als Gateway jeweils die zugewiesene dynamische IP auf ppp0.
Wie kriege ich es hin, dass eingehende Pakete vom Windows Rechner und vom Linux Server auf eth0 auf eth1 weitergeleitet und masquiert werden?
Fuer jeden Hinweis mehr als dankbar.
Roman
Falls per PM bitte an baumannr@web.de
I am stuck, f***** and lost
-
hugenay
Re: I am stuck, f***** and lost
hi roman,
nen paar sachen versteh ich noch nicht: die windows rechner werden zum server geroutet und dann weiter zum router? wieso nicht alle zum router (oder verwendest du gutes altes bnc und dein schema irritiert nur?).
Wo trägst du keinen gateway ein? es stehen immerhin 4 Rechner zur auswahl! Der Server benötigt auf jeden fall den gateway (=192.168.0.3), die windows rechner die IP vom Server, falls du 2mal routest, sonst (was sinvoller, leichter ist) die IP vom Router (192.168.0.3).
Vielleicht sollte die eth1 vom router auch in nem anderen netz liegen, hab ich mal gehört, wüßte aber gerade nicht, was das ändert.
echo "1" >/proc/sys/net/ipv4/ip_forward (und damit die ersten pakete nicht ins leere laufen (glaub ich jedenfalls) auch ne "1" in ip_dynaddr). und dann:
/sbin/ipchains -A forward -s 192.168.0.0/16 -i ppp0 -j MASQ
Da die eth1 IP vom Router auch darunter fällt, könnte das doch ärger geben, dann teste einfach mal anhand ner einzelne IP (statt 192.168.0.0/16 dann 192.168.0.21 und von windows aus mal testen).
Ach ja, testen - auch unter windows - immer mit ping, also nicht irgendwas was DNS braucht, um Fehler einzuschränken.
Die beiden zeilen oben sind natürlich zum testen, kannste aber auch als skript laufen. Und dann nen paar firewall regeln dazu.
ich finde nen router allein schon nen guten schutz, solange keine dienste (telnet etc.) drauf laufen.
gruss hug.
nen paar sachen versteh ich noch nicht: die windows rechner werden zum server geroutet und dann weiter zum router? wieso nicht alle zum router (oder verwendest du gutes altes bnc und dein schema irritiert nur?).
Wo trägst du keinen gateway ein? es stehen immerhin 4 Rechner zur auswahl! Der Server benötigt auf jeden fall den gateway (=192.168.0.3), die windows rechner die IP vom Server, falls du 2mal routest, sonst (was sinvoller, leichter ist) die IP vom Router (192.168.0.3).
Vielleicht sollte die eth1 vom router auch in nem anderen netz liegen, hab ich mal gehört, wüßte aber gerade nicht, was das ändert.
echo "1" >/proc/sys/net/ipv4/ip_forward (und damit die ersten pakete nicht ins leere laufen (glaub ich jedenfalls) auch ne "1" in ip_dynaddr). und dann:
/sbin/ipchains -A forward -s 192.168.0.0/16 -i ppp0 -j MASQ
Da die eth1 IP vom Router auch darunter fällt, könnte das doch ärger geben, dann teste einfach mal anhand ner einzelne IP (statt 192.168.0.0/16 dann 192.168.0.21 und von windows aus mal testen).
Ach ja, testen - auch unter windows - immer mit ping, also nicht irgendwas was DNS braucht, um Fehler einzuschränken.
Die beiden zeilen oben sind natürlich zum testen, kannste aber auch als skript laufen. Und dann nen paar firewall regeln dazu.
ich finde nen router allein schon nen guten schutz, solange keine dienste (telnet etc.) drauf laufen.
gruss hug.
-
Roman
Re: I am stuck, f***** and lost
Hallo Hug,
erstmal herzlichen Dank fuer die schnelle Antwort. Meine Beschreibung/Schema war etwas missverstaendlich. Auf dem Server (192.168.0.1)laueft ein Proxy-Server, Mailserver, Nameserver und ein Webserver. Alle Rechner sind zum Router geroutet.
Dank Deiner Hilfe und /sbin/ipchains -A forward etc. bin ich jetzt einen Schritt weiter. Ich kann aus dem internen Netz von jedem Rechner aus Rechner im Internet pingen. Was jetzt erstaunlicherweise nicht mehr funktioniert ist der Nameserver. Ich komme nur mit den IP Adressen ueber den Router nach draussen. Im internen Netz funktioniert der Nameserver und loest die Rechnernamen korrekt auf. Nur die Forwarding Funktion zur Aufloesung von unbekannten Namen funktioniert nicht mehr, da er anscheinend ueber den Router nicht nach draussen kommt. Es muss also noch irgendwo ein Haken sein.
Auf allen Rechnern ist als Gateway der Router mit 192.168.0.3 (eth0)eingetragen. Auf dem Router selbst ist kein Gateway eingetragen. In der SuSE Doku wird immer davon gesprochen dies nicht zu tun. Beim Masquerading mit ISDN wurde ja dem Device ein Dummy Eintrag (in meinem Fall 192.168.0.99) gegeben.
route -n gibt mir bei bestehender Verbindung folgendes aus:
Destination Gateway Genmask Iface
212.185.248.xxx 0.0.0.0 255.255.255.255 ppp0
192.168.0.0 0.0.0.0 255.255.255.0 eth0
192.168.0.0 0.0.0.0 255.255.255.0 eth1
127.0.0.1 0.0.0.0 255.0.0.0 lo
0.0.0.0 212.185.248.xxx 0.0.0.0 ppp0
Eine grundlegende Frage ist jetzt wo und ob ich auf dem Router irgendwo einen Gateway eintragen muss, der dem Rechner sagt, dass Pakete, die von den Clients (x.1, x.21, x.2) auf eth0 ankommen mit der zugeteilten dynamischen IP von T-Online an eth1 (oder ppp0???) weitergegeben und maskiert werden. Ip_forward ist aktiviert.
Danke.
Roman
erstmal herzlichen Dank fuer die schnelle Antwort. Meine Beschreibung/Schema war etwas missverstaendlich. Auf dem Server (192.168.0.1)laueft ein Proxy-Server, Mailserver, Nameserver und ein Webserver. Alle Rechner sind zum Router geroutet.
Dank Deiner Hilfe und /sbin/ipchains -A forward etc. bin ich jetzt einen Schritt weiter. Ich kann aus dem internen Netz von jedem Rechner aus Rechner im Internet pingen. Was jetzt erstaunlicherweise nicht mehr funktioniert ist der Nameserver. Ich komme nur mit den IP Adressen ueber den Router nach draussen. Im internen Netz funktioniert der Nameserver und loest die Rechnernamen korrekt auf. Nur die Forwarding Funktion zur Aufloesung von unbekannten Namen funktioniert nicht mehr, da er anscheinend ueber den Router nicht nach draussen kommt. Es muss also noch irgendwo ein Haken sein.
Auf allen Rechnern ist als Gateway der Router mit 192.168.0.3 (eth0)eingetragen. Auf dem Router selbst ist kein Gateway eingetragen. In der SuSE Doku wird immer davon gesprochen dies nicht zu tun. Beim Masquerading mit ISDN wurde ja dem Device ein Dummy Eintrag (in meinem Fall 192.168.0.99) gegeben.
route -n gibt mir bei bestehender Verbindung folgendes aus:
Destination Gateway Genmask Iface
212.185.248.xxx 0.0.0.0 255.255.255.255 ppp0
192.168.0.0 0.0.0.0 255.255.255.0 eth0
192.168.0.0 0.0.0.0 255.255.255.0 eth1
127.0.0.1 0.0.0.0 255.0.0.0 lo
0.0.0.0 212.185.248.xxx 0.0.0.0 ppp0
Eine grundlegende Frage ist jetzt wo und ob ich auf dem Router irgendwo einen Gateway eintragen muss, der dem Rechner sagt, dass Pakete, die von den Clients (x.1, x.21, x.2) auf eth0 ankommen mit der zugeteilten dynamischen IP von T-Online an eth1 (oder ppp0???) weitergegeben und maskiert werden. Ip_forward ist aktiviert.
Danke.
Roman
-
hugenay
Re: I am stuck, f***** and lost
hi,
zur letzten frage: nein. brauchst du nicht, das macht das masquerading für dich.
aber das mit dem nameserver ist noch ein problem. vielleicht hilft schon, wenn du port 53 für nameserving anfragen grundsätzlich an deinen dns-server forwardest. Also mit ipmasqadm (kernel 2.2 und ipchains vorausgesetzt) einfach alles, was als source port 53 hat immer an einen nameserver durchschicken.
achja, um fehler auszuschliessen: geht denn die namensauflösung auf dem dns-server selbst? (ping www.yahoo.de mal testen.) Wenn ja, weiß ich nicht so recht weiter und ich hab von dns leider keine ahnung. Wenn nein, denk ich, dass obige lösung klappen könnte.
ergänzung:
ipmasqadm portfw -a -P -tcp -L $IP_vom_Router(=PPP) 53 -R $IP_von_deinem_eigenen_DNS_SERVER 53
das wäre die port-forwarding zeile, probier mal aus.
gruss hug.
zur letzten frage: nein. brauchst du nicht, das macht das masquerading für dich.
aber das mit dem nameserver ist noch ein problem. vielleicht hilft schon, wenn du port 53 für nameserving anfragen grundsätzlich an deinen dns-server forwardest. Also mit ipmasqadm (kernel 2.2 und ipchains vorausgesetzt) einfach alles, was als source port 53 hat immer an einen nameserver durchschicken.
achja, um fehler auszuschliessen: geht denn die namensauflösung auf dem dns-server selbst? (ping www.yahoo.de mal testen.) Wenn ja, weiß ich nicht so recht weiter und ich hab von dns leider keine ahnung. Wenn nein, denk ich, dass obige lösung klappen könnte.
ergänzung:
ipmasqadm portfw -a -P -tcp -L $IP_vom_Router(=PPP) 53 -R $IP_von_deinem_eigenen_DNS_SERVER 53
das wäre die port-forwarding zeile, probier mal aus.
gruss hug.
-
Roman
Re: I am stuck, f***** and lost
Hallo Hug,
>geht denn die namensauflösung auf dem dns-server selbst?
Nein, das ist ja gerade das Problem. Im Moment habe ich das Problem soweit im Griff, dass alle Clients und Server als DNS den T-online Server (194.25.2.129) dazukriegen. Damit funktioniert es. Intern wird ueber meinen eigenen DNS aufgeloest alles andere ueber T-Online. Das mit dem Portforwarding werde ich noch ausprobieren. Wichtig ist i.M. die Verbindung einigermassen stabil zu kriegen (meine Frau 'meckert' schon, weil sie seit zwei Tagen ohne e-mail war).
Irgendwo habe ich auch in den letzten zwei Tagen von dynamischer DNS Vergabe durch T-Online gelesen. Koennte es sein, dass es da zu irgendeinem Konflikt kommt?
Danke und Gruss
Roman
>geht denn die namensauflösung auf dem dns-server selbst?
Nein, das ist ja gerade das Problem. Im Moment habe ich das Problem soweit im Griff, dass alle Clients und Server als DNS den T-online Server (194.25.2.129) dazukriegen. Damit funktioniert es. Intern wird ueber meinen eigenen DNS aufgeloest alles andere ueber T-Online. Das mit dem Portforwarding werde ich noch ausprobieren. Wichtig ist i.M. die Verbindung einigermassen stabil zu kriegen (meine Frau 'meckert' schon, weil sie seit zwei Tagen ohne e-mail war).
Irgendwo habe ich auch in den letzten zwei Tagen von dynamischer DNS Vergabe durch T-Online gelesen. Koennte es sein, dass es da zu irgendeinem Konflikt kommt?
Danke und Gruss
Roman
-
hugenay
Re: I am stuck, f***** and lost
hi,
ich dachte, alle anfragen gehen an deinen internen DNS, und wenn der nicht weiter weiß, fragt der den t-online DNS?
t-online vergibt ausser dem 194.25.2.129 Dns-server die anderen dns-server dynamisch. sind aber, rate ich mal, immer die gleichen (regional verschieden wahrscheinlich). die könntest du dann ja auch in deine dns-server konfiguration eintragen.
ABer wenn alle rechner den 194.25.2.129er eingetragen haben, gehts auch <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">
ich dachte, alle anfragen gehen an deinen internen DNS, und wenn der nicht weiter weiß, fragt der den t-online DNS?
t-online vergibt ausser dem 194.25.2.129 Dns-server die anderen dns-server dynamisch. sind aber, rate ich mal, immer die gleichen (regional verschieden wahrscheinlich). die könntest du dann ja auch in deine dns-server konfiguration eintragen.
ABer wenn alle rechner den 194.25.2.129er eingetragen haben, gehts auch <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">
-
Roman
Re: I am stuck, f***** and lost
Nun ja als voruebergehende Loesung mag das angehen.
Aber anscheinend 'zensiert' T-Online einen ganzen Haufen von Webseiten. Bei bestimmten Seiten kriege ich einen DNS Timeout.
Nochmals vielen Dank fuer Deine Hilfe.
Gruss
Roman
Aber anscheinend 'zensiert' T-Online einen ganzen Haufen von Webseiten. Bei bestimmten Seiten kriege ich einen DNS Timeout.
Nochmals vielen Dank fuer Deine Hilfe.
Gruss
Roman
-
hugenay
Re: I am stuck, f***** and lost
das phänomen kenn ich mit netscape unter linux, da hilft nur den t-online proxy verwenden. Mit dem Internet Explorer unter Win gehts aber.
Oder das sind besondere seiten die du da anschaust.
Oder das sind besondere seiten die du da anschaust.
-
Roman
Re: I am stuck, f***** and lost
Hi Hug,
so langsam komme ich dem ganzen Problem auf die Spur bzw. ein bis zwei bleiben noch zu loesen oder loesen sich am Wochenende.
Bei meiner Suche bin ich darauf gestossen, dass der Kernel 2.2.18 anscheinend ein kleineres Problem mit dem Routing hat und das Problem mit 2.2.19 anscheinend behoben sein koennte (war glaub ich sogar hier irgendwo im Board). Das andere ist ein Patch/neue Version fuer die SuSEfirewall von SuSE, dass die Version 7.1 wohl ein paar Macken hat. Wie immer auf das simpelste kommt man immer erst zuletzt <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">.
Wie gesagt, am Wochenende weiss ich mehr und bei Interesse kann ich das Ergebnis dann hier posten.
Gruss
R
so langsam komme ich dem ganzen Problem auf die Spur bzw. ein bis zwei bleiben noch zu loesen oder loesen sich am Wochenende.
Bei meiner Suche bin ich darauf gestossen, dass der Kernel 2.2.18 anscheinend ein kleineres Problem mit dem Routing hat und das Problem mit 2.2.19 anscheinend behoben sein koennte (war glaub ich sogar hier irgendwo im Board). Das andere ist ein Patch/neue Version fuer die SuSEfirewall von SuSE, dass die Version 7.1 wohl ein paar Macken hat. Wie immer auf das simpelste kommt man immer erst zuletzt <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">.
Wie gesagt, am Wochenende weiss ich mehr und bei Interesse kann ich das Ergebnis dann hier posten.
Gruss
R