Routing geht nicht

Princess of Blades · Beitrag von **Princess of Blades** » 10.11.2005 11:00:58

Hallo alle Zusammen,

ich hab hier ein Problem, das mit fast zum Wahnsinn treibt...
Also am Debian, der er Router sein sol (routing mit 2 N-Karten, eine fürs internet und eines fürs netzwerk)l, habe ich das routing aktiviert mit

Code: Alles auswählen

 echo 1 > /proc/sys/net/ipv4/ip_foreward

Ins internet kommt er auch. Wenn ich aber jetzt versuche, mit den Cleints in Internet zu pingen, dann kommt kein ping zurück. Während meiner Fehlersuch hab ich rausgefunden, das er die packete doch nicht von eth1 (netzwerk) an eth0 (internet) weitergibt.
Hat jemand nen tipp wo ich hingreifen kann?

nil · Beitrag von **nil** » 10.11.2005 11:41:23

Das Routing zwischen internen und externen IP-Adressen kann gar nicht funktionieren, da interne Adressen im Internet nicht geroutet werden.

1. Möglichkeit: du hast 2 IP-Adresen von deinem Provider (unwahrscheinlich)
2. Nutze Masquerading bzw. NAT (man iptables wird evtl. helfen)

Princess of Blades · Beitrag von **Princess of Blades** » 10.11.2005 12:52:08

nil hat geschrieben:Das Routing zwischen internen und externen IP-Adressen kann gar nicht funktionieren, da interne Adressen im Internet nicht geroutet werden.

1. Möglichkeit: du hast 2 IP-Adresen von deinem Provider (unwahrscheinlich)
2. Nutze Masquerading bzw. NAT (man iptables wird evtl. helfen)

Ich denke die antwort war jetzt nicht bös gemeint aber trotzdem....DAS ist mir auch schon aufgefallen...aber ich glaub ich hab mich etwas missverständlich ausgedrückt..ich versuchs mal mit bildlich.

internet - Firewall - Debian - Netzwerk

der Debian soll in das Netzt der Firewall, sprich ist ne DMZ, reinrouten.....

nil · Beitrag von **nil** » 10.11.2005 13:15:10

Leider habe ich das immer noch nicht ganz verstanden.

Benötigt wird:
- alle Systeme incl. Interfaces, IP-Adresse(n) und Routingtabelle
- wo ist die Grenze zwischen Internet und Intranet
- ist die Firewall der Debianrechner oder etwas anderes
- soll DMZ dein LAN für die Clients sein oder was?

Princess of Blades · Beitrag von **Princess of Blades** » 10.11.2005 14:13:12

nil hat geschrieben:Leider habe ich das immer noch nicht ganz verstanden.

Benötigt wird:
- alle Systeme incl. Interfaces, IP-Adresse(n) und Routingtabelle
- wo ist die Grenze zwischen Internet und Intranet
- ist die Firewall der Debianrechner oder etwas anderes
- soll DMZ dein LAN für die Clients sein oder was?

Aalso die Firewall ist eine Hardwarefirewall, die auch die internet verbindung herstellt. (IP 192.168.0.1), dann kommt der Debian(eth0=192.168.0.7; eth1 192.77.101.7); ergo ist das DMZ netz die 192.168.0.0 und das Netz für die Cleints hat die 192.77.101.0.

route des debian spuckt vollgendes aus:

Code: Alles auswählen

 default 192.168.0.1 0.0.0.0. ug 0 0 0 eth0
default 192.77.101.7 0.0.0.0. ug 0 0 0 eth1
localnet * 255.255.255.0 u 0 0 0 eth0
192.168.0.0. * 255.255.255.0 u 0 0 0 eth1

nil · Beitrag von **nil** » 10.11.2005 14:31:32

Hallo,

sehr komische IP-Adressen. Generell sind nur:

192.168.x.x = 256 Class C-Adressen

privat zu nutzen, wäre also sinnvoll es entsprechend umzustellen. Für das lokale Netz braucht soweit ich weiss kein Gateway definiert werden, vielleicht darf es sogar gar nicht.

also:

- bitte IP-Adressen für lokal (eth1 und Clients) auf 192.168.1.x umstellen
- bitte Gateway für eth1 entfernen
- erneut versuchen, Clients/Server gegenseitig per ping erreichbar?

Princess of Blades · Beitrag von **Princess of Blades** » 10.11.2005 14:50:10

nil hat geschrieben:Hallo,

sehr komische IP-Adressen. Generell sind nur:

192.168.x.x = 256 Class C-Adressen

privat zu nutzen, wäre also sinnvoll es entsprechend umzustellen. Für das lokale Netz braucht soweit ich weiss kein Gateway definiert werden, vielleicht darf es sogar gar nicht.

also:

- bitte IP-Adressen für lokal (eth1 und Clients) auf 192.168.1.x umstellen
- bitte Gateway für eth1 entfernen
- erneut versuchen, Clients/Server gegenseitig per ping erreichbar?

Danke für dein Hilfe, aber das umstellen von den IP Adressen kann ich nicht ist was organiesatorisches......bin ein FiSi, falls der Begriff geläufig ist also so allgemeine Sachen wie das mit den "privaten-netzen" weiße ich!!
Also deinen Tipp hab ich schon ausprobiert! Geht nicht.

herrchen · Beitrag von **herrchen** » 10.11.2005 16:14:07

Princess of Blades hat geschrieben:aber das umstellen von den IP Adressen kann ich nicht ist was organiesatorisches.

das macht es nicht besser. überdenkt das.

deine routingtabelle sieht merkwürdig aus.
wo ist das netz 192.77.101.0?
hast du, wie empfohlen das zweite GW entfernt?
läuft auf dem Debianrechner eine FW, die etwas verhindern könnte?

herrchen

Princess of Blades · Beitrag von **Princess of Blades** » 10.11.2005 18:26:45

Ich bin frech genug um ein A-Klasse Netz zu verwenden wenn ich lust hab..ist ja in nem LAN vollkommen egal....

Um zu dem Debianrecher zu kommen... Da ist nur ne Grundinstall (ohne X) ein squid und ein dhcp drauf. Klar ip forwarding ist aktiv.
192.77.101.0 ist das Netz mit den Cleint Rechnern.
von dem netz, soll die Debiankiste in das 192.168.0.0 routen.

Gateway das nicht ins Internet geht entfernt: ging nich..ging gar nix mehr. Selbst die Debiankiste wollte dann nicht mehr ins internet...
Wießt ihr wieso ich bald am Verzweifeln bin?!

herrchen · Beitrag von **herrchen** » 11.11.2005 00:01:41

Princess of Blades hat geschrieben:Ich bin frech genug um ein A-Klasse Netz zu verwenden wenn ich lust hab

dafür ist 10.0.0.0 vorgesehen.
verwendest du denn tatsächlich ein class-a netz?

..ist ja in nem LAN vollkommen egal.... :-)

nein.
du kannst dann keinen externen host erreichen, der eine IP hat, die du in deinem netz verwendest.
es gibt genügend IPs für internen gebrauch. es ist also *völlig* sinnfrei, diese nicht zu verwenden.

192.77.101.0 ist das Netz mit den Cleint Rechnern.

das habe ich begriffen, aber wo taucht das netz in der routingtabelle auf?
desweiteren sieht man in der tabelle "eth1" in zwei netzen usw.
wie sind deine interfaces konfiguriert?

herrchen

Princess of Blades · Beitrag von **Princess of Blades** » 11.11.2005 09:54:23

Irgendwie glaub ich hier werd ich ein bissel für Dumm gehalten....
Also was ich in meinem Internen Rechnern für eine netzklasse nehme ist egal weil:
dem www also sprich den webservern die die Sites liefern wird nur die Adress bekannt gegeben die ich von meinem Provider kriege.
Ich hoffe das war jetzt das schluss Wort dazu, wenn nicht können wir gern in nem anderen Thread drüber weiterdiskutieren.
Jetzt wieder zum problem. Hie meine route:

Code: Alles auswählen

localnet        *               255.255.255.0   U     0      0        0 eth1
192.168.0.0     *               255.255.255.0   U     0      0        0 eth0
default         192.77.101.7  0.0.0.0         UG    0      0        0 eth1
default         192.168.0.1     0.0.0.0         UG    0      0        0 eth0

hier tipp ich stark drauf das er die 192.77.101.0 als mein netzwerk und "localnet" laufen lässt.
meine interface lautet wie folgt:

Code: Alles auswählen

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth0
iface eth0 inet static
        address 192.168.0.8
        netmask 255.255.255.0
        network 192.168.0.0
        broadcast 192.168.0.255
        dns-nameservers 192.168.0.1
        dns-search Josef-Seibel.de
        gateway 192.168.0.1
 # dns-* options are implemented by the resolvconf package, if installed

auto eth1
iface eth1 inet static
        address 192.77.101.7
        netmask 255.255.255.0
        network 192.77.101.0
        broadcast 192.77.101.255
        dns-nameservers 192.77.101.10
        dns-search Josef-Seibel.de
        gateway 192.77.101.7
 # dns-* options are implemented by the resolvconf package, if installed

Das hier ist die funktionierende interfaces, sobad ichs gateway und dns rauschlösche beim eth1 geht gar nix mehr.
Ich hoffe das hilft jemand weiter, der mir dann weiter hilft.

nil · Beitrag von **nil** » 11.11.2005 10:17:21

Code: Alles auswählen

gateway 192.77.101.7

Also beim Netzwerk sieht es so aus. Entweder man erreicht einen Rechner im gleichen Subnetz direkt oder man kennt jemanden (Gateway), der vielleicht jemanden kennt. Nach diesem Prinzip funktioniert das Routing im gesamten Internet.

Nun kennt dein Rechner ein Subnetz und wenn er den Rechner nicht direkt kennt, dann schickt er es an sein eigenes eth1-Device. Irgendwie komisch.

Du schreibst wenn das Gateway für eth1 wegfällt geht gar nichts mehr. Das kann vielleicht irgendwie daran liegen, dass in deinem 192.77.101.x-Netz ein Problem ist. Deaktiere doch mal eth0, lösche das Gateway für eth1 und versuche von den Clients zu dem Rechner zu kommen bzw. umgekehrt. Betrachte in diesem Schritt nicht eth0 und versuche die Kommunikation OHNE Gateway für eth1 aufzubauen. Klar kannst du in diesem Schritt nicht ins Internet, aber das könnnen wir dann immer noch lösen.

Princess of Blades · Beitrag von **Princess of Blades** » 11.11.2005 13:22:18

also, fröhliches rumpingen funktioniert jetzt wenn eth0 down ist und eth1 ohne gateway....
und wie jetzt weiter?

nil · Beitrag von **nil** » 14.11.2005 08:04:34

Nun kannst du versuchen eth0 wieder zu nutzen, dort musst du jedoch das Gateway entsprechend konfigurieren.

1.) kannst du von Debian wieder ins Internet?
2.) kanst du von den Clients immer noch zu Debian?
3.) Masquerading aktivieren (iptables masquerading bei Google suchen)

Princess of Blades · Beitrag von **Princess of Blades** » 14.11.2005 10:35:23

Hab ich versucht, lief ein paar stunden und dann hats gekracht....
Wieder der ausgangszustand.
Kein Routing/internet über eth0, erst wenn wieder in eth1 ein funktionierendes Gateway drin ist gehts.

nil · Beitrag von **nil** » 14.11.2005 11:09:40

Was hat funktioniert, alles?
ging denn noch vom Debian direkt Internet als es gekracht hat?
Gateway für eth1 ist bestimmt falsch
versuch es erneut und biege dann nur an eth0 rum (Gateway neu setzen z.B.)

Princess of Blades · Beitrag von **Princess of Blades** » 15.11.2005 14:52:00

Also erstmal danke für die Hilfe von allen die es versucht haben. Jetzt geht es auf einmal. Nur was mit spanisch vorkommt ist, bei folgender interfaces (lo hab hich absichtlich nicht mit reinkopiert):

Code: Alles auswählen

# The primary network interface
auto eth0
iface eth0 inet static
        address 192.168.0.8
        netmask 255.255.255.0
        network 192.168.0.0
        broadcast 192.168.0.255
        dns-nameservers 192.168.0.1
        dns-search Josef-Seibel.de
        gateway 192.168.0.1
 # dns-* options are implemented by the resolvconf package, if installed

auto eth1
iface eth1 inet static
        address 192.77.101.7
        netmask 255.255.255.0
        network 192.77.101.0
        broadcast 192.77.101.255
        dns-nameservers 192.77.101.10
        dns-search Josef-Seibel.de

gibt mir ein traceroute vom Debian vollgendes zurück:

Code: Alles auswählen

DebianGateway:~# traceroute www.heise.de
traceroute to www.heise.de (193.99.144.85), 30 hops max, 40 byte packets
 1  192.168.0.1 (192.168.0.1)  0.407 ms  0.351 ms  0.293 ms
 2  * * *
 3  217.0.116.51 (217.0.116.51)  33.196 ms  33.133 ms  34.162 ms
 4  217.0.67.134 (217.0.67.134)  32.419 ms  32.068 ms  32.232 ms
 5  m-ec1.m.de.net.dtag.de (62.154.27.234)  42.889 ms  42.827 ms  43.221 ms
 6  c4.m.de.plusline.net (212.19.63.105)  78.625 ms  227.145 ms  216.610 ms
 7  heise1.f.de.plusline.net (213.83.57.56)  45.415 ms  46.383 ms  46.109 ms
 8  heise1.f.de.plusline.net (213.83.57.56)  46.103 ms !A *  44.941 ms !A

Der Timeout bei 2 kommt mir sehr merkwürdig vor...da müsste dann eigendlich die Symantec Firewall sich melden....

mistersixt · Beitrag von **mistersixt** » 18.11.2005 08:44:14

Princess of Blades hat geschrieben: Der Timeout bei 2 kommt mir sehr merkwürdig vor...da müsste dann eigendlich die Symantec Firewall sich melden....

Die wird das ICMP-Protokoll auf dem externen Interface blockieren, das ist schon so ok.

Gruss, mistersixt.