Klienten kommen über SuSE 7.2 Router nicht auf gmx.de

[mrdeath]

Hallo,

ich benutze einen P2-300 als Router, habe ihn mit SuSE7.2 ausgestattet (Kernel 2.4., die Verbindungs läuft über T-DSL. Der Zugang funktioniert nun einwandfrei von den Windows 98 Klienten aus, bis auf die Tatsache, dass diese auf Seiten wie bspw. gmx.de oder bahn.de nicht gelangen können. Der Grund liegt ja daran, dass die Paketgröße kleiner als 1490 bytes sein muss. Überall, wo ich bereits nachgeschaut habe, heißt es, man müsse die MTU unter Linux auf 1452 bytes setzen. Dies geschieht ja in der Datei "/etc/ppp/peers/pppoe24" bei Kernel 2.4.x bzw. in der Datei "/etc/ppp/peers/pppoe" bei Kernel 2.2. Dies habe ich ja dann auch ausprobiert, mit dem Befehl "ifconfig" zeigte mir der Router dann auch eine mtu von 1452 für das Device "ppp0" an, allerdings funktionierte gmx.de immer noch nicht von den Klienten aus. Danach habe ich auch noch die mtu des Device "eth1", welches die Verbindung zwischen Router und DSL-Modem darstellt, auf 1452 gestellt, wieder kein Erfolg. Danach habe ich von dem Modul "mssclampfw.o" gehört, welches allerdings nicht mehr mit Kernel 2.4.x zusammenarbeitet. In der SuSE-Datenbank fand ich auch keine Hilfe, weil deren Lösung, also sämtliche Pakete, die an "ppp0" ausgehen zu maskieren, ich eh schon verwendet habe, sonst könnte ich hier nicht schreiben.

Hat jemand das selbe Problem bzw. eine Lösung??? Ich würde gerne mal wieder meine e-mails von GMX abholen ...

[Florian Täger]

Mal ein anderer Vorschlag von mir. Ich entnehme deinem Text, dass es dir darum geht, DSL an allen Rechnern deines Netzwerkes zur Verfügung zu stellen ... dafür gibt es eine Lösung, die in ca. 20min da is und für die ein Pentium 75 Rechner mit Disketten-Laufwerk reicht ...

guck mal unter: http://www.fli4l.de

das ist eine Ein-Disketten Distribution, die nur dazu dient, dir einen solchen router zu bieten. Is komplett in Deutsch, kostenlos und ziemlich sicher, da du alle ports einzeln sperren kannst ... bei Bedarf helf ich dir auch bei der Konfiguration!

Greetz

Florian

(florian.taeger@gmx.de)

[RAPHEAD]

Du brauchst mss clamping, beim 2.4er Kernel kann man das anscheinend mit iptables machen. Schau mal ins www.adsl4linux.de forum, da habe ich einen Thread diesbezüglich eröffnet. Was du als erstes machen solltest, ist dir mal den 2.3.9er zu holen, da der 2.4.4er mit pppoed instabil ist!!

Weitere Instruktionen folgen im benannten Forum, aber erst,wenn ich meinen 2.4.9er mal zum bootrn bringe (( *heul*

[Lino]

also bei mir läuft der 2.4.4er Kernel mit pppoed sehr stabil.

Ich habe mir ein Iptables-Script geschrieben. Welches den Rechner in einen Router verwandelt und gleichzeit ihn etwas sicher macht. Man blockiert damit alles und schaltet wieder verschiedene Ports oder Dienste frei.

Es ist steht www.lino16.de.vu zu Download bereit.

by lino

[Gutschy]

Ich habe den SuSE-Kernel 2.4.8 und wie unter http://sdb.suse.de/sdb/de/html/susefw2.html aufgeführt,
die SuSEfirewall2 v1.6 + IPTABLES 1.2.2 installiert. Dann evtl. noch ein Blick in das Script "/etc/init.d/pppoed" werfen
und die iptables Zeile auskommentieren.

# The following line replaces the mssclampfw module. Use it
# if this server is a dsl gateway.
#
echo "Ab hier wird das Magenta-T mal flott"
/usr/sbin/iptables -t nat -A POSTROUTING -o "ppp+" -j MASQUERADE
startproc -q /usr/sbin/pppoed24 || return=$rc_failed

Die Neue Firewall2 solltest du dann noch unter "/etc/rc.config.d/firewall2.rc.config" konfigurieren (Hilfe und Beispiele findest du
unter "/usr/share/doc/packages/SuSEfirewall2" anschließend noch in "/etc/rc.config" die Variable "START_FW2" auf "yes" setzen.

[mrdeath]

@RAPHEAD: Der Kernel 2.4.4 lief absolut instabil, das System ist somit oft abgestürzt. Mit dem kernel 2.4.8 läuft bislang alles stabil

@Lino: Danke, aber ich habe selbst ein Script, dass mit Hilfe von IPTABLES den Paketfilter entsprechend sicher konfiguriert (den Router selbst, als auch die Systeme dahinter)

@Gutschy: Ich benutze die SuSE-FIREWALL2 nicht, möchte sie auch nicht unbedingt wieder aktivieren, weil das letzte Mal ein etwas größeres Problem damit entstanden ist. Diese eine Zeile habe ich sowieso auskommentiert, weil ich die ja schon in meinem IPTABLES-Script drin hatte, dies soll ja dann der Ersatz für das unter dem Kernel 2.2.x verwendete Modul "mssclampfw.o" unter dem Kernel 2.4.x sein (laut der SuSE-SDB ...), was ich ehrlich gesagt irgendwie nicht ganz kappiere.


Wenn die MTU auf 1452 gesetzt ist, dann werden doch alle Pakete verworfen, die größer sind, oder? Wo genau werden denn jetzt diese zu großen Pakete fragmentiert? Hierfür war doch unter dem Kernel 2.2 das Modul "mssclampfw.o" zuständig. Wenn ich falsch liege (was ich vermute), bitte ich darum, mich zu korrigieren.

[stingway]

Ich bin mir nicht sicher, also korrierigt mich wenn ich falsch liege, aber kann man nciht die MTU bei jedem Clienten manuell einstellen. Dann wird mssclampfw doch nicht mehr benötigt, oder ?

[Gutschy]

korrekt,

1. MTU bei jedem Client von Hand setzen.
2. kernel 2.2 = mssclampfw
3. kernel 2.4 = iptables-module
4. RP-PPPoE = www.roaringpenguin.com/pppoe

zu. 1. =:)
tux = ifconfig eth0 mtu 1492
wiz9x = HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Class\NetTrans\000[n]\ -> MaxMTU 1492
ente = HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/E190[n]/Parameters/Tcpip/ -> MTU DWORD 1492

[mrdeath]

Ich danke Euch, auf die Idee, die MTU der Klienten herabzusetzen bin ich schon mal gekommen, aber ich wußte nicht, wie ich dies umsetzen sollte. Allerdings verstehe ich leider immer noch nicht, weshalb ich es nicht geschafft habe, dass der Router die Datenpakete dementsprechend fragmentiert. Welches Modul von iptables muss denn genau geladen sein? Vielleicht werden bei mir ja nicht alle geladen ???

Ist zwar beruhigend eine Übergangslösung zu haben, aber irgendwie bin ich damit nicht so ganz zufrieden, die MTU immer bei den Klienten herabzusetzen. Ich versteht nich ganz, wieso es bei den anderen allen Router-seitig funktioniert ....

[Gutschy]

ipt_TCPMSS dürfte das entsprechende Modul für das MSS-Clamping sein.
/usr/src/linux-2.4.8.SuSE/net/ipv4/netfilter/ipt_TCPMSS.c