[solved] 2 PC's direkt verbinden

[feldmaus]

Hallo,

wollte 2 Pc's übergangsweise direkt verbinden.
Mein Router ist gestern kaputt gegangen.

Auf meinem Server habe ich angefangen dhcpserver und pppoe einzurichten, jeweils eine Netzwerkkarte für jeden Dienst. Soweit so gut.

Nun kann sich jeder direkt(immer nur einer zur Zeit) mit seinem RJ45 Kabel an meinen Server direkt anschliessen und kommt sofort ins internet.

Nur ich kriege keinen ping. Habe schon mit etherreal geguckt.

Ich habe das gefühl das meine Kabel zu lang sind.

Kennt Jemand die maximale Länge von diesen Patch-Kabeln.

Habe c.a. 20m twisted pair und dann 3m crossover.

Kennt Jemand gute Hotos als Pdf zum runterladen zum einrichten von dhcp und routing, finde grösstenteils nur firewall geschichten.


mfg Markus

[rksteve]

Netzwerk sollte schon auch 100m gehen mit Twisted Pair. Auch wenn man das vielleicht nicht so allgemein sagen kann, deine 20m müssen sicher möglich sein.

Nun kann sich jeder direkt(immer nur einer zur Zeit) mit seinem RJ45 Kabel an meinen Server direkt anschliessen und kommt sofort ins internet.

Nur ich kriege keinen ping. Habe schon mit etherreal geguckt.

Das Verstehe ich jetzt nicht ganz. Kommst du jetzt ins Internet oder nicht? Geht eventuell das Internetsurfen aber du kannst keine Seite pingen? Wem willst du überhaupt pingen?

Gruss
Steve

[feldmaus]

Ein paar Infoss gibts noch,

mein Server ist Debian Sarge mit,

eth0, 192.168.0.186, dhcp3-server

eth1, hat zur Zeit keine Ip soweit ich es noch in Errinnerung habe, aber habe es für pppoe benutzt. Bin mir nicht sicher ob ich dann eth1 ne Ip zuweisen muss und kann?

ppp0, pppoe-dienst

mfg Markus

[feldmaus]

Vom Server aus komme ich natürlich ins Internet, aber die Clients bekomme ich nicht angepingt von der Server-Seite. Und von den Clients bekomme ich den Server nicht angepingt. Habe es mit windows und Debian clientsprobiert.

Meine eth0 ist einen 3com Karte, dessen LED orange leuchtet, was bedeuten müsste das eine 100MB Verbindung aufgebaut ist, laut Bedienungsanleitung.

Vielleicht bin auch einfach nur blind.

Habe auf meinem Debian Client allerdings noch andere störende Dinge, und zwar ein virtuelles eth0, welches ich mit webmin damals gelegt habe, dann aber nicht mehr wegbekommen habe.

Weisst Jemand wo webmin seine Einträge macht für virtuelle Netzwerkarten?

Besser wäre ein Programm unter Debian welches mir bei der Konfiguration hilft und mir alle Interfaces anzeigt.

mfg Markus

[dojo]

Poste mal deine /etc/network/interfaces deines Servers und der Clients.
Wenn sie länger sind paste sie nach http://nopaste.debianforum.de/
und poste den resultierenden Link hier.

Gruß

Sunnemer

[feldmaus]

Nutze gerade Lynx.
Nun wie auch immer, DSL funzt, habe eine Netzwerkbruecke erstellt mit dem Packet bridge-utils.
Habe dazu das Howto securing-debian-howto.de.pdf Seite 214 benutzt.
Meine /etc/network/interfaces sieht nun so aus,

eld-server:~# cat /etc/network/interfaces
### etherconf DEBCONF AREA. DO NOT EDIT THIS AREA OR INSERT TEXT BEFORE IT.
auto lo eth0 eth1

iface lo inet loopback

iface eth0 inet static
address 192.168.1.186
netmask 255.255.255.0
broadcast 192.168.1.255

iface eth1 inet static
address 192.168.0.186
netmask 255.255.255.0
broadcast 192.168.0.255


### END OF DEBCONF AREA. PLACE YOUR EDITS BELOW; THEY WILL BE PRESERVED.


auto dsl-provider
iface dsl-provider inet ppp
provider dsl-provider
# please do not modify the following line
pre-up /sbin/ifconfig eth0 up # line maintained by pppoeconf


#Author: Markus Feldmann
auto br0
iface br0 inet static
address 192.168.0.186
netmask 255.255.255.0
broadcast 192.168.0.255
bridge_ports eth1
feld-server:~#

Dabei ist br0 meine Netzwerkbrückedie eth1 nutzt.

Wie man sieht komme ich ins Internet von meinem Server aus, aber leider noch nicht von den Clients. Die Rechner koennen sich lokal mitlerweile auch sehen, mein Fehler war das ich nur eth0 gecheckt hatte, wobei doch eth1 den Zugang zum lokalen Netzwerk hatte und eth0 hatte nur den Zugang zum DSL-Modem.
Mein einzigstes Problem ist glaube ich das ich die noetigen Module fuer Firewalling und Nat nciht geladen habe und ich weiss auch nicht welche das sind.
Das Modul bridge habe ich schon geladen.
Welche brauche ich noch?

Hier noch meine Routing Tabelle meines Server,

eld-server:~# route
Kernel IP Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
dsl-082-082-136 * 255.255.255.255 UH 0 0 0 ppp0
192.168.1.0 * 255.255.255.0 U 0 0 0 eth0
192.168.0.0 * 255.255.255.0 U 0 0 0 br0
default dsl-082-082-136 0.0.0.0 UG 0 0 0 ppp0
feld-server:~#

Vielleicht ist auch meine Route meines Servers nicht richtig, aber dann ware ich ja jetzt auch nicht im Internet, oder? Wie gesagt zwischen dem Server und den Clients haut alles hin.
Die Clients bekommen ganz sauber eine Ip vom DHCP Server zugewiesen.
Hier die route meines debian clients,

feld-bert:/home/markus# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.0.0 * 255.255.255.0 U 0 0 0 eth1
default feld-server 0.0.0.0 UG 0 0 0 eth1
feld-bert:/home/markus#

mfg Markus

[feldmaus]

Wollte noch ergaenzen, das ich anscheinend auf meinem Server keine Firewalling Regeln aktiv habe,
[quote]
feld-server:~# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination
TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/SYN tcpmss match 1400:1536 TCPMSS clamp to PMTU

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
feld-server:~#
[\quote]
Das Target TCPMSS sagt mir nichts.
Reicht das damit meine Clients ins Internet kommen koennen?

mfg Markus

[feldmaus]

Habe mir aus dem oben enannten pdf Manual Firewall Regeln rausgepickt,

feld-server:~# cat /root/bin/feldland.iptables.regeln
#! /bin/bash
#Author: Markus Feldmann

#Dies ist ein Beispiel fr grundlegende Regeln, die fr beide Einstellungen benutzt werden k�nen:
iptables -t nat -F POSTROUTING
iptables -F FORWARD
iptables -P FORWARD DROP
iptables -A FORWARD -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Zwei lustige Regeln, aber nicht bei klassischen Iptables. Sorry ...
# Limit ICMP
# iptables -A FORWARD -p icmp -m limit --limit 4/s -j ACCEPT
# Übereinstimmende Strings, eine gute, einfache Methode, um Viren sehr
# schnell abzublocken
# iptables -I FORWARD -j DROP -p tcp -s 0.0.0.0/0 -m string --string "cmd.exe"

# Abblocken aller MySQL-Verbindungen, nur um ganz sicher zu gehen
#iptables -A FORWARD -p tcp -s 0/0 -d 62.3.3.0/24 --dport 3306 -j DROP

# Regeln für den Linux Mail Server
#

# Erlaube FTP-DATA (20), FTP (21), SSH (22)
iptables -A FORWARD -p tcp -s 0.0.0.0/0 -d 192.168.0.0/16 --dport 20:22 -j ACCEPT

# Dem Mail-Server erlauben, sich mit der Außenwelt zu verbinden
# Beachten Sie: Dies ist *nicht* fr die vorherigen Verbindungen
# notwendig (erinnern Sie sich: stateful filtering) und k�nte entfernt
# werden:
iptables -A FORWARD -p tcp -s 192.168.0.0/16 -d 0/0 -j ACCEPT

# Regeln für den WWW-Server
#

# Erlaube HTTP ( 80 ) Verbindungen mit dem WWW-Server
iptables -A FORWARD -p tcp -s 0.0.0.0/0 -d 192.168.0.0/16 --dport 80 -j ACCEPT

# Erlaube HTTPS ( 443 ) Verbindungen mit dem WWW-Server
iptables -A FORWARD -p tcp -s 0.0.0.0/0 -d 192.168.0.0/16 --dport 443 -j ACCEPT

# Dem WWW-Server erlauben, sich mit der Außenwelt zu verbinden
# Beachten Sie: Dies ist *nicht* für die vorherigen Verbindungen
# notwendig (erinnern Sie sich: stateful filtering) und könte entfernt
# werden:
iptables -A FORWARD -p tcp -s 192.168.0.0/16 -d 0/0 -j ACCEPT

#Alle Packete des lokalen Netzes muessen maskiert werden.
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

#Um zu testen ob man ueberhaupt rauskommt
iptables -I FORWARD 1 -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT

Jetzt komme ich ins Internet.

allerdings habe ich dafür die Netzwerkbrücke wieder entfernt, und mein Server ist zur Zeit stark angreifbar.

Als nächstes probier ich die Firewall regeln stärker einzuschränken.

mfg Markus

[feldmaus]

Hier eine veränderte version meiner Firewall Regeln,

eld-server:~# cat /root/bin/firewallscript
#! /bin/bash
#Author: Markus Feldmann

#Dies ist ein Beispiel fr grundlegende Regeln, die fr beide Einstellungen benutzt werden k�nen:
iptables -t nat -F POSTROUTING
iptables -F FORWARD
iptables -P FORWARD DROP
iptables -A FORWARD -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Zwei lustige Regeln, aber nicht bei klassischen Iptables. Sorry ...
# Limit ICMP
# iptables -A FORWARD -p icmp -m limit --limit 4/s -j ACCEPT
# Übereinstimmende Strings, eine gute, einfache Methode, um Viren sehr
# schnell abzublocken
# iptables -I FORWARD -j DROP -p tcp -s 0.0.0.0/0 -m string --string "cmd.exe"

# Abblocken aller MySQL-Verbindungen, nur um ganz sicher zu gehen
#iptables -A FORWARD -p tcp -s 0/0 -d 62.3.3.0/24 --dport 3306 -j DROP

# Regeln für den Linux Mail Server
#

# Erlaube DNS (53) nur ins WAN
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 0.0.0.0/0 --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -s 192.168.0.0/24 -d 0.0.0.0/0 --dport 53 -j ACCEPT

# Erlaube FTP-DATA (20), FTP (21) nur ins WAN
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 0.0.0.0/0 --dport 20 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 0.0.0.0/0 --dport 21 -j ACCEPT

# Erlaube HTTP ( 80 ) Verbindungen nur ins WAN
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 0.0.0.0/0 --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 0.0.0.0/0 --dport 8888 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 0.0.0.0/0 --dport 8000 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 0.0.0.0/0 --dport 8080 -j ACCEPT

# Erlaube HTTPS ( 443 ) Verbindungen nur ins WAN
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 0.0.0.0/0 --dport 443 -j ACCEPT

# Erlaube SMTP ( 25 ) Verbindungen nur ins WAN
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 0.0.0.0/0 --dport 25 -j ACCEPT

# Erlaube POP3 ( 110 ) Verbindungen nur ins WAN
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 0.0.0.0/0 --dport 110 -j ACCEPT

# Erlaube POP3S ( 995 ) Verbindungen nur ins WAN
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 0.0.0.0/0 --dport 995 -j ACCEPT

# Erlaube IMAP ( 143 ) Verbindungen nur ins WAN
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 0.0.0.0/0 --dport 143 -j ACCEPT


# Erlaube IMAPS ( 993 ) Verbindungen nur ins WAN
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 0.0.0.0/0 --dport 993 -j ACCEPT

# Erlaube NNTP ( 119 ) Verbindungen nur ins WAN
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 0.0.0.0/0 --dport 119 -j ACCEPT

# Erlaube NNTPS ( 563 ) Verbindungen nur ins WAN
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 0.0.0.0/0 --dport 636 -j ACCEPT

# Erlaube GOPHER und WAIS ( 70 und 210 ) Verbindungen nur ins WAN
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 0.0.0.0/0 --dport 210 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 0.0.0.0/0 --dport 210 -j ACCEPT

# Erlaube LDAPS ( 636 ) Verbindungen nur ins WAN
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 0.0.0.0/0 --dport 143 -j ACCEPT

# Erlaube Telnets ( 992 ) Verbindungen nur ins WAN
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 0.0.0.0/0 --dport 992 -j ACCEPT

# Erlaube PING ( ... ) Verbindungen nur ins WAN
iptables -A FORWARD -p icmp -s 192.168.0.0/24 -d 0.0.0.0/0 -j ACCEPT

# Erlaube Mldonkey ( 4662 ... ) Verbindungen nur ins WAN
iptables -A FORWARD -s 192.168.0.186/32 -d 0.0.0.0/0 -j ACCEPT

# Erlaube LAN zu LAN ( --- ) Verbindungen
iptables -A FORWARD -s 192.168.0.0/24 -d 192.168.0.0/24 -j ACCEPT

#Alle Packete des lokalen Netzes muessen maskiert werden.
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

#Um zu testen ob man ueberhaupt rauskommt
# iptables -I FORWARD 1 -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT

feld-server:~#

Da mein Router ausgefallen ist werde ich versuchen 3 Netzwerkarten einzubauen und diese mit einander zu verbinden über eine Netzwerkbrücke.

Das mit dem DNS gefällt mir auch noch nicht so, da die Clients nur einen statischen DNS Server erhalten.

Weiss Jemand wie der dhcp3-server dynamisch DNS IP Nummern übermitteln kann,
bei mir steht zur Zeit folgendes in der /etc/dhcp3/dhcpd.conf,

subnet 192.168.0.0 netmask 255.255.255.0 {
range 192.168.0.100 192.168.0.200;
option domain-name-servers 195.50.140.252;
option routers feld-server;
option broadcast-address 192.168.0.255;
default-lease-time 86000;
max-lease-time 86000;
}

Die IP 195.50.140.252 ist statisch und könnte sich irgendwann mal ändern.
Hat Jemand eine Idee?

mfg Markus