ISDN Verbindungsaufbau

AlB · Beitrag von **AlB** » 30.07.2005 12:27:16

Moin Moin!

Bevor ich meinen ersten Beitrag schreibe, erstmal großes Lob für die vielen Beiträge im Forum, welche mir die meisten bisherigen Fargen beantworten konnten.
Für folgendes Problem ist keine Lösung vorhanden, oder ich habe sie nicht gefunden

Vor kurzem habe ich eine Internetverbindung über ISDN eingerichtet, die auch funktioniert

, aber es besteht leider ein „Schönheitsfehler“, den ich in der Syslog gefunden habe. Es wird ca. alle 30 min. eine Verbindung aufgebaut (DIALMODE auto), auch dann wenn kein Browser oder ähnliches Programm geöffnet oder ein User angemeldet ist. Während der Verbindung werden keine / wenige Daten gesendet und nach der voreingestellten Zeit von 30 s wird sie beendet.

http://nopaste.debianforum.de/717

Bei der Einstellung DIALMODE manual wird alle 30 min ein erfolgloser Einwahlversuch in die Syslog geschrieben.

Code: Alles auswählen

Jul 29 14:33:44 localhost kernel: isdn_net: ippp0: dial rejected: interface not in dialmode `auto', signalling dst_link_failure 
Jul 29 14:33:49 localhost kernel: isdn_net: ippp0: dial rejected: interface not in dialmode `auto', signalling dst_link_failure 
Jul 29 15:03:39 localhost -- MARK --
Jul 29 15:03:44 localhost kernel: isdn_net: ippp0: dial rejected: interface not in dialmode `auto', signalling dst_link_failure 
Jul 29 15:03:49 localhost kernel: isdn_net: ippp0: dial rejected: interface not in dialmode `auto', signalling dst_link_failure

Was für ein Programm / Dämon ... verursacht die Einwahl???
Im voraus schon besten Dank für's helfen!!!!

Gruß
Al

EDIT: log nach nopaste verschoben - blackm

mistersixt · Beitrag von **mistersixt** » 30.07.2005 20:40:38

Erstmal Willkommen im DebianForum!

Es könnte ein cronjob sein, schau mal in diese Verzeichnisse bzw. Dateien:

Code: Alles auswählen

rocket:/etc# ls -ld cron* 
drwxr-xr-x  2 root root 4096 May 12 20:53 cron.d
drwxr-xr-x  2 root root 4096 Jul 17 11:42 cron.daily
drwxr-xr-x  2 root root 4096 Apr 18 19:06 cron.hourly
drwxr-xr-x  2 root root 4096 Jul 18 18:41 cron.monthly
drwxr-xr-x  2 root root 4096 Jun 19 19:30 cron.weekly
-rw-r--r--  1 root root  651 Jul 28  2004 crontab
rocket:/etc#

Gruss, mistersixt.

AlB · Beitrag von **AlB** » 30.07.2005 22:26:21

Hallo mistersixt!

Ich habe die Verzeichnisse durchsucht, da ich aber nicht sicher bin nach was ich suchen soll, poste ich mal nur den Verzeichnisinhalt.

cron.d - anacron

cron.daily - anacron, bsdmainutils, chkrootkit, exim4-base, find, fwlogwatch, logrotate, man-db, modutils, netkit-inetd, standard, sysklogd

cron.hourly - leer

cron.monthly - anacron, scrollkeeper, standard

cron.weekly - anacron, cvs, isdnvboxserver, lpr, man-db, man2html, sysklogd

crontab

Code: Alles auswählen

# /etc/crontab: system-wide crontab
# Unlike any other crontab you don't have to run the `crontab'
# command to install the new version when you edit this file.
# This file also has a username field, that none of the other crontabs do.

SHELL=/bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin

# m h dom mon dow user	command
17 *	* * *	root    run-parts --report /etc/cron.hourly
25 6	* * *	root	test -x /usr/sbin/anacron || run-parts --report /etc/cron.daily
47 6	* * 7	root	test -x /usr/sbin/anacron || run-parts --report /etc/cron.weekly
52 6	1 * *	root	test -x /usr/sbin/anacron || run-parts --report /etc/cron.monthly
#

Gruß
Al

duploian · Beitrag von **duploian** » 31.07.2005 00:06:15

Hallo AlB,

rufst Du Deine Mailkonten mit fetchmail ab?

Frageantwortspiel?

Welche Programme hast Du installiert? Du mußt uns schon mehr erzählen.

AlB · Beitrag von **AlB** » 31.07.2005 12:21:55

Mahlzeit!

Fetchmail ist nicht installiert, als Mail-Klienten nutze ich Kmail, das so eingerichtet ist, dass Mails nicht automatisch abgerufen werden - Korn ist nicht eingerichtet.

Als Pakete sind vorhanden
Mail: exim4, exim4-base, exim4-config, exim4-daemon, kmail, kmailcvt, libmailtools-pearl, mailx, mpack, spamassassin, spamc

Net: bind9-host, cupsys, dcoprss, dhcp-client, dnsutils, finger, fping, fwlogwatch, ipppd, iproute, iptables, iputils-ping, kdenetwork-filesharing, kdict, kget, kleopatra, kpf, kppp, krdc, krfb, ksirc, kwifimanager, mime-support, mtr-tiny, netkit-inetd, net-tools, nfs-common, pidentd, portmap, pppoe, ppoe-conf, shorewall, ssh, telnet, traceroute, whois

Da ich nicht genau weiß welche Programme Zugriff auf die ISDN-Karte haben, poste alle die nach Netzwerk oder Internet „aussehen“ .

Gruß
Al

duploian · Beitrag von **duploian** » 31.07.2005 18:45:41

Hallo AIB,

mach mal

Code: Alles auswählen

tcpdump -i ippp0

und poste bitte.

AlB · Beitrag von **AlB** » 31.07.2005 20:24:42

Hallo duploian!
Das Ergebnis von tcpdump

Code: Alles auswählen

hermes:/home/stephan# tcpdump -i ippp0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ippp0, link-type LINUX_SLL (Linux cooked), capture size 96 bytes
20:17:52.153824 IP pD9F53EE8.dip.t-dialin.net.4297 > pD9F5E2E8.dip.t-dialin.net.loc-srv: S 251324931:251324931(0) win 16384 <mss 1460,nop,nop,sackOK>
20:17:52.155323 IP pD9F5E2E8.dip.t-dialin.net.32776 > www-proxy.L1.srv.t-online.de.domain:  17538+ PTR? 232.226.245.217.in-addr.arpa. (46)
20:17:52.207685 IP www-proxy.L1.srv.t-online.de.domain > pD9F5E2E8.dip.t-dialin.net.32776:  17538 1/0/0 (86)
20:17:52.208298 IP pD9F5E2E8.dip.t-dialin.net.32776 > www-proxy.L1.srv.t-online.de.domain:  17539+ PTR? 232.62.245.217.in-addr.arpa. (45)
20:17:52.246182 IP www-proxy.L1.srv.t-online.de.domain > pD9F5E2E8.dip.t-dialin.net.32776:  17539 1/0/0 (85)
20:17:52.247513 IP pD9F5E2E8.dip.t-dialin.net.32776 > www-proxy.L1.srv.t-online.de.domain:  17540+ PTR? 225.149.237.217.in-addr.arpa. (46)
20:17:52.285448 IP www-proxy.L1.srv.t-online.de.domain > pD9F5E2E8.dip.t-dialin.net.32776:  17540 1/0/0 (88)
20:17:55.294296 IP pD9F53EE8.dip.t-dialin.net.4297 > pD9F5E2E8.dip.t-dialin.net.loc-srv: S 251324931:251324931(0) win 16384 <mss 1460,nop,nop,sackOK>
20:18:25.275347 IP pD9F5130D.dip.t-dialin.net.4054 > pD9F5E2E8.dip.t-dialin.net.microsoft-ds: S 1749741078:1749741078(0) win 8760 <mss 1460,nop,nop,sackOK>
20:18:25.275906 IP pD9F5E2E8.dip.t-dialin.net.32776 > www-proxy.L1.srv.t-online.de.domain:  17541+ PTR? 13.19.245.217.in-addr.arpa. (44)
20:18:25.313839 IP www-proxy.L1.srv.t-online.de.domain > pD9F5E2E8.dip.t-dialin.net.32776:  17541 1/0/0 (84)
20:18:27.977214 IP pD9F5130D.dip.t-dialin.net.4054 > pD9F5E2E8.dip.t-dialin.net.microsoft-ds: S 1749741078:1749741078(0) win 8760 <mss 1460,nop,nop,sackOK>
20:18:35.011379 IP pD9F50829.dip.t-dialin.net.3175 > pD9F5E2E8.dip.t-dialin.net.loc-srv: S 161102443:161102443(0) win 8760 <mss 1460,nop,nop,sackOK>
20:18:35.011944 IP pD9F5E2E8.dip.t-dialin.net.32776 > www-proxy.L1.srv.t-online.de.domain:  17542+ PTR? 41.8.245.217.in-addr.arpa. (43)
20:18:35.047992 IP www-proxy.L1.srv.t-online.de.domain > pD9F5E2E8.dip.t-dialin.net.32776:  17542 1/0/0 (83)
20:19:28.898210 IP pD9F5E003.dip.t-dialin.net.32776 > www-proxy.L1.srv.t-online.de.domain:  43653+ AAAA? hermes. (24)
20:19:28.898582 IP pD9F5E003.dip.t-dialin.net.32777 > www-proxy.L1.srv.t-online.de.domain:  17543+ PTR? 3.224.245.217.in-addr.arpa. (44)
20:19:28.934385 IP www-proxy.L1.srv.t-online.de.domain > pD9F5E003.dip.t-dialin.net.32776:  43653 NXDomain 0/1/0 (99)
20:19:28.955643 IP www-proxy.L1.srv.t-online.de.domain > pD9F5E003.dip.t-dialin.net.32777:  17543 1/0/0 (84)
20:19:44.920003 IP 222.174.34.158.32792 > pD9F5E003.dip.t-dialin.net.1027: UDP,length: 401
20:19:44.920636 IP pD9F5E003.dip.t-dialin.net.32777 > www-proxy.L1.srv.t-online.de.domain:  17544+ PTR? 158.34.174.222.in-addr.arpa. (45)
20:19:44.965360 IP www-proxy.L1.srv.t-online.de.domain > pD9F5E003.dip.t-dialin.net.32777:  17544 NXDomain 0/1/0 (134)
20:19:47.378006 IP 219.141.97.97.4994 > pD9F5E003.dip.t-dialin.net.radmin-port:S 2223509301:2223509301(0) win 8192 <mss 1460>
20:19:47.378597 IP pD9F5E003.dip.t-dialin.net.32777 > www-proxy.L1.srv.t-online.de.domain:  17545+ PTR? 97.97.141.219.in-addr.arpa. (44)
20:19:47.420997 IP www-proxy.L1.srv.t-online.de.domain > pD9F5E003.dip.t-dialin.net.32777:  17545 NXDomain 0/1/0 (133)

25 packets captured
25 packets received by filter
0 packets dropped by kernel
hermes:/home/stephan#

Gruß
Al

duploian · Beitrag von **duploian** » 31.07.2005 20:45:12

Hallo AIB,

ich kann nichts finden, mach das ganze nochmal mit Zeitfenster "Verbindungsende" und auch "unbekannter Einwahl", wird ein bißchen dauern. dial_on_demand müßtest Du natürlich auf "auto" setzen.

AlB · Beitrag von **AlB** » 01.08.2005 10:17:47

Hallo duploian!

Was meinst du mit Zeitfenster „Verbindungsende“ und „unbekannter Einwahl“

Meine Erfahrungen mit Linux und Debian sind nicht älter als drei Monate und tcpdump ist völlig neu

Ich habe aber folgendes versucht: dial_on_demand=auto , tcpdump -i ippp0
Innerhalb 30 min wurde das „mitgeschnitten“, alles ohne geöffneten Browser o.ä.

Code: Alles auswählen

hermes:/home/stephan# tcpdump -i ippp0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ippp0, link-type LINUX_SLL (Linux cooked), capture size 96 bytes
09:29:42.032750 IP pD9F5E049.dip.t-dialin.net.32775 > 194.25.2.129.domain:  47107+ AAAA? hermes. (24)
09:29:42.515568 IP pD9F5E049.dip.t-dialin.net.32775 > 194.25.2.129.domain:  47107+ AAAA? hermes. (24)
09:29:42.531440 IP pD9F5E049.dip.t-dialin.net.32775 > 194.25.2.129.domain:  47107+ AAAA? hermes. (24)
09:29:42.543312 IP pD9F5E049.dip.t-dialin.net.32775 > 194.25.2.129.domain:  47107+ AAAA? hermes. (24)
09:29:42.551069 IP pD9F5E049.dip.t-dialin.net.32775 > 194.25.2.129.domain:  47107+ AAAA? hermes. (24)
09:29:42.606184 IP pD9F5E049.dip.t-dialin.net.32775 > 194.25.2.129.domain:  47107+ AAAA? hermes. (24)
09:29:42.610442 IP pD9F5E049.dip.t-dialin.net.32775 > 194.25.2.129.domain:  47107+ AAAA? hermes. (24)
09:29:42.613435 IP pD9F5E049.dip.t-dialin.net.32775 > 194.25.2.129.domain:  47107+ AAAA? hermes. (24)
09:29:42.620558 IP pD9F5E049.dip.t-dialin.net.32775 > 194.25.2.129.domain:  47107+ AAAA? hermes. (24)
09:29:42.640843 IP pD9F5E049.dip.t-dialin.net.32775 > 194.25.2.129.domain:  47107+ AAAA? hermes. (24)
09:29:42.640882 IP pD9F5E049.dip.t-dialin.net.32776 > 194.25.2.129.domain:  17010+ PTR? 129.2.25.194.in-addr.arpa. (43)
09:29:42.709273 IP pD9F5E289.dip.t-dialin.net.32777 > www-proxy.L1.srv.t-online.de.domain:  3426+ AAAA? hermes. (24)
09:29:42.745943 IP www-proxy.L1.srv.t-online.de.domain > pD9F5E289.dip.t-dialin.net.32777:  3426 NXDomain 0/1/0 (99)
09:29:47.042684 IP pD9F5E289.dip.t-dialin.net.32777 > 194.25.2.129.domain:  17011+ PTR? 73.224.245.217.in-addr.arpa. (45)
09:29:47.089607 IP 194.25.2.129.domain > pD9F5E289.dip.t-dialin.net.32777:  17011 1/0/0 (85)
09:29:47.090612 IP pD9F5E289.dip.t-dialin.net.32777 > 194.25.2.129.domain:  17012+ PTR? 225.149.237.217.in-addr.arpa. (46)
09:29:47.138361 IP 194.25.2.129.domain > pD9F5E289.dip.t-dialin.net.32777:  17012 1/0/0 (88)
09:29:47.138833 IP pD9F5E289.dip.t-dialin.net.32777 > 194.25.2.129.domain:  17013+ PTR? 137.226.245.217.in-addr.arpa. (46)
09:29:47.186594 IP 194.25.2.129.domain > pD9F5E289.dip.t-dialin.net.32777:  17013 1/0/0 (86)
09:59:42.032962 IP pD9F5E289.dip.t-dialin.net.32777 > 194.25.2.129.domain:  42713+ AAAA? hermes. (24)
09:59:42.571629 IP pD9F5E289.dip.t-dialin.net.32777 > 194.25.2.129.domain:  42713+ AAAA? hermes. (24)
09:59:42.587253 IP pD9F5E289.dip.t-dialin.net.32777 > 194.25.2.129.domain:  42713+ AAAA? hermes. (24)
09:59:42.599874 IP pD9F5E289.dip.t-dialin.net.32777 > 194.25.2.129.domain:  42713+ AAAA? hermes. (24)
09:59:42.607748 IP pD9F5E289.dip.t-dialin.net.32777 > 194.25.2.129.domain:  42713+ AAAA? hermes. (24)
09:59:42.808993 IP pD9F5E289.dip.t-dialin.net.32777 > 194.25.2.129.domain:  42713+ AAAA? hermes. (24)
09:59:42.813366 IP pD9F5E289.dip.t-dialin.net.32777 > 194.25.2.129.domain:  42713+ AAAA? hermes. (24)
09:59:42.816246 IP pD9F5E289.dip.t-dialin.net.32777 > 194.25.2.129.domain:  42713+ AAAA? hermes. (24)
09:59:42.823613 IP pD9F5E289.dip.t-dialin.net.32777 > 194.25.2.129.domain:  42713+ AAAA? hermes. (24)
09:59:42.842138 IP pD9F5E289.dip.t-dialin.net.32777 > 194.25.2.129.domain:  42713+ AAAA? hermes. (24)
09:59:42.976638 IP pD9F5E06B.dip.t-dialin.net.32778 > www-proxy.L1.srv.t-online.de.domain:  14764+ AAAA? hermes. (24)
09:59:42.977040 IP pD9F5E06B.dip.t-dialin.net.32779 > 194.25.2.129.domain:  17014+ PTR? 107.224.245.217.in-addr.arpa. (46)
09:59:43.033364 IP 194.25.2.129.domain > pD9F5E06B.dip.t-dialin.net.32779:  17014 1/0/0 (86)
09:59:43.050113 IP www-proxy.L1.srv.t-online.de.domain > pD9F5E06B.dip.t-dialin.net.32778:  14764 NXDomain 0/1/0 (99)
10:00:10.090951 IP pD9F5A018.dip.t-dialin.net.4810 > pD9F5E06B.dip.t-dialin.net.loc-srv: S 69859363:69859363(0) win 8760 <mss 1460,nop,nop,sackOK>
10:00:10.091540 IP pD9F5E06B.dip.t-dialin.net.32779 > 194.25.2.129.domain:  17015+ PTR? 24.160.245.217.in-addr.arpa. (45)
10:00:10.140571 IP 194.25.2.129.domain > pD9F5E06B.dip.t-dialin.net.32779:  17015 1/0/0 (85)

36 packets captured
36 packets received by filter
0 packets dropped by kernel
hermes:/home/stephan#

Gruß
Al

AlB · Beitrag von **AlB** » 01.08.2005 21:20:21

Hallo duploian!

Ich hab's glaube ich gefunden – wohl eher durch Zufall! Die Zeiten unter /var/log/exim4/mainlog sind mit denen der unnötigen Internetverbindungen identisch. Exim ist für diese Sitzung gestoppt – keine Einwahlversuche mehr

Wie wichtig ist exim für das System? Im securing-debian-howto steht unter Punkt 5.6 das der exim-dämon nicht unbedingt laufen muss, wenn kein Mail-System vorhanden ist. Kann ich das gesamte Paket löschen oder nur den Dämon oder am besten nichts???

Gruß
Al

duploian · Beitrag von **duploian** » 01.08.2005 21:28:50

Hallo AIB,

Fragen:
1. Bist Du irgendwie per ICQ, Jabber oder ähnlich zu erreichen ?

2. Hast Du eine Netzwerkkarte? Dein Rechner versucht den Namen "hermes" aufzulösen.

3.Was steht in hosts? Mach mal "cat /etc/hosts" und poste bitte.
Dann noch "hostname".

duploian · Beitrag von **duploian** » 01.08.2005 21:55:29

AlB hat geschrieben:Hallo duploian!

Ich hab's glaube ich gefunden – wohl eher durch Zufall! Die Zeiten unter /var/log/exim4/mainlog sind mit denen der unnötigen Internetverbindungen identisch. Exim ist für diese Sitzung gestoppt – keine Einwahlversuche mehr
Wie wichtig ist exim für das System? Im securing-debian-howto steht unter Punkt 5.6 das der exim-dämon nicht unbedingt laufen muss, wenn kein Mail-System vorhanden ist. Kann ich das gesamte Paket löschen oder nur den Dämon oder am besten nichts???

Gruß
Al

Hallo AIB,

da haben sich unsere Posts überschnitten. Exim (vorrausgesetzt richtig konfiguriert) verteilt z.B. Nachrichten des Systems an Root. Ich würde es löschen. Wenn Du später einen Mailserver aufsetzen solltest verwende postfix, dafür gibt im Netz sehr gute Anleitungen.

AlB · Beitrag von **AlB** » 02.08.2005 13:40:44

Hallo duploian!
Ne besitze (noch) keinen icq oder jabber Account.
Es ist eine Netzwerkkarte installiert - „hermes“ ist der Rechnername.

Code: Alles auswählen

hermes:/home/stephan# cat /etc/hosts
127.0.0.1 localhost.localdomain localhost hermes

# The following lines are desirable for IPv6 capable hosts
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
ff02::3 ip6-allhosts
hermes:/home/stephan#

hermes:/home/stephan# cat /etc/hostname
hermes
hermes:/home/stephan#

Nachdem studieren einiger HOWTOs, habe ich gestern mittels debconf exim neu konfiguriert.
Die Option „DNS-Anfragen minimieren (Automatische Einwahl/dial-on-demand“ habe ich mit „ja“ beantwortet – seitdem erfolgen keine unerklärlichen Verbindungen mehr. Also sollte mich die Frage ob exim-dämon deinstalliert werden kann nicht weiter beschäftigen, oder?!

Gruß
Al