Linux 15.036 Themen, 107.107 Beiträge

Kann mit Linux DSL Router manche Server nicht mehr erreichen.

007 Band / 17 Antworten / Baumansicht Nickles

Seit ich meinen Linux Router von ISDN auf DSL umgestellt habe konnte ich manche Server nicht mehr erreichen. (z. B. www.gmx.de)
Mit Hilfe der Suse Support Seiten habe ich aber das Problem zum Teil gelöst. GMX geht nun zwar,
aber manche Seiten, darunter z. B. www.3com.de gehen immernoch nicht.
Da ich schon alles, was die Suse Seiten hergeben probiert habe und ich im Internet keine andere sinnvolle Lösung gefunden habe weiß ich nun echt nicht mehr weiter.

Zur Info, ich habe Suse Linux 7.0
Ich habe (um www.gmx.de zu erreichen) die MTU auf 1492 gestellt.

bei Antwort benachrichtigen
Klaus_T 007 Band „Kann mit Linux DSL Router manche Server nicht mehr erreichen.“
Optionen

Wie hast du die MTU umgestellt? Manchmal reichen die 1492 nicht. Versuch mal 1452. Meine laeuft sogar auf 1412. Ist zwar etwas mehr Last, aber es funktioniert auf jeden Fall.

Klaus

bei Antwort benachrichtigen
007 Band Nachtrag zu: „Kann mit Linux DSL Router manche Server nicht mehr erreichen.“
Optionen

Die MTU steht mitterweile auf 1400 und es geht trotzdem nichts, habe auch an beiden Stellen (Router und Client) umgestellt, es bringt nix, www.3com.de ist nicht erreichbar.

bei Antwort benachrichtigen
Klaus_T 007 Band „Die MTU steht mitterweile auf 1400 und es geht trotzdem nichts, habe auch an...“
Optionen

Hast du vielleicht einen Paketfilter am laufen oder junkbuster oder Squid? Kannst du mit nslookup den Namen aufloesen? Was sagt ein ping auf 3com.de oder ein traceroute?

Klaus

bei Antwort benachrichtigen
-=Sam=- 007 Band „Die MTU steht mitterweile auf 1400 und es geht trotzdem nichts, habe auch an...“
Optionen

Hi!
IMHO muss man nur die MTU der Clients verändern. Die Clients teilen die für sie sichtbare MTU (meistens 1500) den externen Servern mit. Diese senden dann zu große Datenpakete, und blockieren dummerweise die ICMP "Fragmentation-Needed" Meldung deines Routers, dem die Paktete zu groß sind.

Also reicht es aus, die MTU bei den Clients zu verändern. Stelle die vom Linux-Router wieder auf ihre Standartwerte zurück, die sind nämlich OK. Es wird dort zwischen Paketgröße von eth und ppp unterschieden. Wenn du den Falschen Wert veränderst, hast du wieder das Problem mit der Fragmentierung...

Wenn du willst, dass sich der Linux-Server um diesen ganzen Kram kümmert, füge in dein Firewallscript folgenden Befehl ein:

iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu 


Das stand mal in der C't (7/2002 S.99) und funktioniert nur mit einem 2.4er Kernel. Du kannst iptables auch nicht zusammen mit ipchains laufen lassen! Bei mir hat es jedenfalls gereicht, die Clients umzustellen. Seither funktioniet alles (inkl. GMX, 3Com,...)

MfG
Sam
bei Antwort benachrichtigen
007 Band Nachtrag zu: „Kann mit Linux DSL Router manche Server nicht mehr erreichen.“
Optionen

Der Name kann aufgelöst werden. Ein Ping bzw. deine Traceroute scheitern (die Traceroute am Hop nach 12.125.154.42)

Ich habe die Standart Linux Firewall laufen (denn damit funktioniert ja das Routing) aber daran kann es eigentlich nicht liegen, denn bevor ich DSL benutzt habe hat es ja auch funktioniert.
Ich habe seitdem auch nichts neues installiert. Lediglich auf DSL umgestellt.

bei Antwort benachrichtigen
Klaus_T 007 Band „Der Name kann aufgelöst werden. Ein Ping bzw. deine Traceroute scheitern die...“
Optionen

Ja, aber bei DSL liegt das ausgehende und reinkommende Device auf pppX, waehrend es bei ISDN auf ipppX liegt.
Schau mal in den Regeln nach, ob dort irgendwo ein ipppX noch drin ist.
Ich sehe gerade, dass kein Ping und kein Traceroute moeglich ist nach www.3com.de. Also sperren die ICMP. Wenn das der Fall ist, liegt es fast immer an der MTU. Warum es bei dir aber nicht klappt, verstehe ich nicht. Gebe mal die Ausgabe von:

ifconfig

aus, wenn du eingewaehlt bist.

Klaus

bei Antwort benachrichtigen
Klaus_T 007 Band „Der Name kann aufgelöst werden. Ein Ping bzw. deine Traceroute scheitern die...“
Optionen

Ich habe gerade noch etwas gefunden. Vielleicht klappt es bei dir mit dem modul mssclampfw. Schau mal hier nach.

Klaus

bei Antwort benachrichtigen
007 Band Nachtrag zu: „Kann mit Linux DSL Router manche Server nicht mehr erreichen.“
Optionen

Also ich habe jetzt alles (ich glaub alles) abgecheckt, was hier bzw. auf den Links vorgeschlagen wurde, aber leider hat nichts funktioniert.
(hab alles so eingestellt, wie es sein sollte, nicht funktioniert, neu gestartet, immernoch nichts funktioniert)

Wisst ihr, ob es vielleicht etwas bringen würde, wenn ich von 7.0 auf z.B. 7.3 updaten würde?

bei Antwort benachrichtigen
Klaus_T 007 Band „Also ich habe jetzt alles ich glaub alles abgecheckt, was hier bzw. auf den...“
Optionen

Das koenntest du mal versuchen. Ob es aber etwas bringt? Jetzt gebe doch erst mal die Ausgabe von ifconfig.
Und lese dir erst mal das hier durch.

Klaus

bei Antwort benachrichtigen
007 Band Nachtrag zu: „Kann mit Linux DSL Router manche Server nicht mehr erreichen.“
Optionen

Also, das hier ist die Ausgabe der ifconfig. (Ip-Adressen aus Sicherheitsgründen durch Sternchen ersetzt, tut aber nix zur Sache)
Eine Veränderung der MTU (von 1500 auf 1492 bzw. 1400) brachte keine Veränderung, wobei zunächst nur eth0 verändert wurde, dann nur eth1 und schließlich (wie hier) beide. Es waren aber keine Unterschiede bemerkbar.
Die DFÜ-Speed (Windows) Einstellungen der Clienten sind:
MTU 1400
Rwin 32767
TTL 64


eth0 Link encap:Ethernet HWaddr 52:54:05:DF:3C:5F
inet addr:*.*.*.* Bcast:192.168.0.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1400 Metric:1
RX packets:43002 errors:0 dropped:0 overruns:0 frame:834
TX packets:44980 errors:0 dropped:0 overruns:0 carrier:0
collisions:5 txqueuelen:100
Interrupt:12 Base address:0xe400

eth1 Link encap:Ethernet HWaddr 00:30:84:2E:05:D4
inet addr:*.*.*.* Bcast:255.255.255.255 Mask:0.0.0.0
UP BROADCAST RUNNING MULTICAST MTU:1400 Metric:1
RX packets:45264 errors:1 dropped:0 overruns:0 frame:0
TX packets:43040 errors:0 dropped:0 overruns:0 carrier:0
collisions:299 txqueuelen:100
Interrupt:11 Base address:0xe800

ppp0 Link encap:Point-to-Point Protocol
inet addr:*.*.*.* P-t-P:217.5.98.40 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1492 Metric:1
RX packets:46980 errors:0 dropped:0 overruns:0 frame:0
TX packets:44158 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:10

bei Antwort benachrichtigen
Klaus_T 007 Band „Also, das hier ist die Ausgabe der ifconfig. Ip-Adressen aus Sicherheitsgründen...“
Optionen

Nein, daran liegt es nicht. Hast du auf dem Router ein Browser installiert, z.B. lynx oder etwas in der Art? Dann versuch mal von dort aus, 3com.de zu erreichen. Geht das?
Schau dir mal die Ausgabe von:

iptables -L -n -v

an, oder, wenn du ipchains nutzt, die Ausgabe von:

ipchains -L -n -v

Ich kann mir nur noch vorstellen, dass es an der Suse 'Firewall' liegt.

Klaus

bei Antwort benachrichtigen
mad-dog 007 Band „Kann mit Linux DSL Router manche Server nicht mehr erreichen.“
Optionen

Falls bei dir das SuSEfirewall 1 oder 2 eingeschalltet ist muss du da die FW_ALLOW_INCOMING_HIGHPORTS_TCP="yes" FW_ALLOW_INCOMING_HIGHPORTS_UDP="yes"
setzen, bei mir war das selbe problemm, das hat aber geholfen.

MfG

bei Antwort benachrichtigen
007 Band Nachtrag zu: „Kann mit Linux DSL Router manche Server nicht mehr erreichen.“
Optionen

die Highports sind auf yes, aber daran kann es nicht liegen, denn ich kriege ja auch keinen Ping oder ne Traceroute.

Lynx hört bei der Meldung "Making HTTP Connection to ..." auf und macht nicht weiter.

Mit ipchains kenne ich mich nicht aus, habe ich noch nie was mit gemacht, alles was ich bisher gemacht habe ist die Firewall (die mann ja auch zum Routen braucht) zu konfigurieren.

Das komische an der ganzen Sache ist, dass es mit ISDN vorher einwandfrei funktioniert hat.

bei Antwort benachrichtigen
Klaus_T 007 Band „die Highports sind auf yes, aber daran kann es nicht liegen, denn ich kriege ja...“
Optionen

Hast du denn jetzt mal in dein Script geschaut, ob da noch irgendwo das Device ippp0 steht? Dann stelle das mal um auf ppp0.
Das du kein Echo Request beim Ping und Traceroute zurueck bekommst, ist bei denen wohl normal. Die haben ICMP durch eine Firewall gesperrt. Idioten halt.

Wenn es nicht mehr anders geht, stell die Firewall ab und gebe die Befehle ein, die ich in meiner ersten Antwort gegeben habe und schau, ob es dann geht.

Klaus

bei Antwort benachrichtigen
007 Band Nachtrag zu: „Kann mit Linux DSL Router manche Server nicht mehr erreichen.“
Optionen

Ok, es liegt definitiv an der Firewall, denn wenn ich nun die Firewall abstelle, dann kann ich mit lynx die 3com Seite aufrufen. Allerdings ist das ja noch nicht die Lösung meiner Probleme, denn ich möchte ja erstens ein Routing haben (was ja mit ipchains machbar wäre) und ich möchte eigentlich auch meine Firewall wiederhaben. (man kann nie wissen)

Ich weiß allerdings nicht, woran es liegt (an welche Einstellung im Script)
Falls es was bringt, hier die Einstellungen, die gegeben sind:

FW_DEV_WORLD="ppp0"
FW_DEV_INT="eth0"
FW_ROUTE="yes"
FW_MASQUERADE="yes"
FW_MASQ_NETS="192.168.0.0/8"
FW_MASQ_DEV="$FW_DEV_WORLD"
FW_PROTECT_FROM_INTERNAL="no"
FW_AUTOPROTECT_GLOBAL_SERVICES="yes" (hab ich schonmal auf no gestellt, hat aber nix gebracht)
FW_SERVICES_EXTERNAL_TCP="21 5190 20000:20019"
FW_SERVICES_EXTERNAL_UDP="21 5190 20000:20019"
FW_TRUSTED_NETS=""
FW_SERVICES_TRUSTED_TCP=""
FW_SERVICES_TRUSTED_UDP=""
FW_ALLOW_INCOMING_HIGHPORTS_TCP="yes"
FW_ALLOW_INCOMING_HIGHPORTS_UDP="yes"
FW_LOG_DENY_CRIT="yes"
FW_LOG_DENY_ALL="no"
FW_LOG_ACCEPT_CRIT="yes"
FW_LOG_ACCEPT_ALL="no"
FW_KERNEL_SECURITY="yes"
FW_STOP_KEEP_ROUTING_STATE="no"
FW_ALLOW_PING_FW="yes"
FW_ALLOW_PING_DMZ="no"

Ein paar Einstellungen habe ich weggelassen, da diese wohl kaum mit dem Problem zusammenhängen bzw. auch leer sein sollten. (aber ich lasse mich gerne belehren, falls es nicht so ist.)

bei Antwort benachrichtigen
Klaus_T 007 Band „Ok, es liegt definitiv an der Firewall, denn wenn ich nun die Firewall abstelle,...“
Optionen

Ich weiss nicht, was das hier macht:

FW_SERVICES_EXTERNAL_TCP="21 5190 20000:20019"

Aber stell das mal auf "53 80"

Ich vermute mal, dass sind die Ports, die reinduerfen. Ausserdem:

FW_SERVICES_EXTERNAL_UDP=""

Hier auch 53 eintragen.

Und das ist verkehrt:
192.168.0.0/8

Hier muss stehen:
192.168.0.0/16

Du solltest dich aber mal selbst mit Firewalls beschaeftigen. Was nutzt dir das Ding, wenn du nicht weisst, was es macht.

Klaus

bei Antwort benachrichtigen
007 Band Nachtrag zu: „Kann mit Linux DSL Router manche Server nicht mehr erreichen.“
Optionen

So, ich hatte mal wieder ein bisschen Zeit und hab mal wieder ein paar Sachen ausprobiert. Ob ich 192.168.0.0/8 oder /16 eintrage ist im Prinzip wurschd, weil ich nur 5 Rechner im Netz habe und da die 8 ja langt. Hätte auch 24 machen können, aber wenn ich die 255 Rechner eh nicht hab is ja egal. Habs aber vorsichtshalber mal getestet (man kann ja nie wissen) hat aber nichts gebracht.

Das mit den Ports waren Tests um bestimmte Dienste zu forwarden. Der hat da manche komischerweise abgeblockt, obwohl es Highports waren, ist aber auch egal. Hat ja nichts mit dem Thema zu tun. Hab dann mal jeweils 53 eingetragen. (80 hat ich schon, hat aber nichts gebracht)
Hat aber auch nichts gebracht.

Ich bin langsam ratlos, da ich schon fast jeden Parameter an der Firewall rumgeschraubt hab aber nichts geholfen hat.

Vielleicht hilft folgendes noch, ist aus der Log Datei.
Dec 13 18:32:29 linux kernel: Packet log: forward DENY eth0 PROTO=6 192.168.0.9:1419 192.136.32.19:80 L=48 S=0x00 I=52586 F=0x4000 T=63 SYN (#2)

Wobei 192.168.0.9 Der Lan Rechner ist, der Zugreifen möchte.
Auch wenn ich nen lokalen Ping starte wird der Zugriff verwehrt.

bei Antwort benachrichtigen