[solved] NAT Problem? bei Debian Gateway

[dokle]

Hallo zusammen,

ich verzweifel nun seit einigen Wochen an meinem Debian Gateway, vielleicht kann mir hier jemand einen Tipp geben ?!
Folgende Installation liegt bei mir vor:

Code: Alles auswählen

          .---------.   Static   .-----------.Static + DHCP
          |  NAT    |   GW IP    |    NAT    |   LAN IP
  dyn. IP | multid  192.168.0.xxx|  DNSmasq  |192.168.1.xxx
  +-----+ | PPPoe   +------------+  iptables +------------------+
          |         |            |   squid   |                  |
          '---------'            '-----------'                  |+
  Internet   AVM FB            Debian Gateway                   |
                           Squeeze 2.6.32-5-kirkwood            |
                                                                |
                                                                |
                                                                |
     WLAN Clients         LAN Clients      .-----------.        |
     +--+---+-----------+---+----+----+----+ KEIN NAT  |        |
     |  |   |           |   |    |    |    |  W-/LAN   |--------+
     +  +   +           +   +    +    +    |           |
              192.168.1.xxx                |           |
                                           '-----------'
                                            AVM FB 7170

Der Debian Gateway hat einen Linksys WRT54G mit openWRT VPN FW abgelöst.
Mit dem openWRT lief diese Installation mehrere Jahre absolut fehlerfrei, mit exakt identischen IP Bereichen.

Folgendes Problem tritt bei mir (sporadisch) bei TCP Port 80 auf:
- 1% der Webseiten können nicht geladen werden und brechen ab
- 10% der Webseiten beenden den Ladevorgang nicht, dh. werden nicht vollständig geladen

Beende ich die TCP Verbindung auf dem Client, ist die Seite plötzlich sofort sichtbar (kein ACK FIN???)
Nutze ich den (nicht transparenten) Squid, können die Seiten i.d.R. dargestellt werden, dafür gehen andere Seiten wiederum nicht.
Nehme ich einen SSH Tunnel zur AVM FB DSL und besuche darüber die Seiten, sind alle verfügbar, d.h. der Fehler tritt erst nach der Debian Maschine auf.

* Edit*
Bei allen Videostreams der Sat1 Gruppe, bricht der Stream (egal ob P1935 oder P443), nach ein paar Minuten ab,
bei Streams anderer Anbieter z.B. RTL, VOX, etc. tritt dieser Fehler nicht auf.

Bei weiteren Verbindungen tritt das Problem bisher nicht auf, bzw. wurde noch nicht festgestellt.

Ich hab mal iptables ausgeschlossen, da der Fehler auch auftritt, wenn bei iptabels alles auf accept steht, ggf. übersehe ich ja was?

Meine Vermutung ist die doppelte NAT, aber das ging doch beim openWRT auch, also muss ich das doch so auch irgendwie hinkriegen können.
Übrigens möchte ich den Debian GW nicht direkt an der PPPoE Leitung haben, sondern die AVM FB davor behalten.
Der Debian GW soll hier in erster Linie folgendes machen:
- 1. Logs schreiben, wenn von Extern etwas durch die AVM FB kommt, was nicht durch darf und dann droppen
- 2. Clientverkehr vom LAN -> DSL statefull überwachen und nur bestimmte Ziele zulassen
- 3. Clients nur bestimmte DNS Server erlauben und diese ggf. umleiten (derzeit auf DNC Cache vom CCC)
- 4. DNSmasq soll den Clients eine dyn. IP anhand ihrer MAC geben und die DNS Anfragen für externe Ziele auflösen und durchreichen
- 5. (Später) alle Clientverbindungen transparent nicht via AVM FB routen, sondern über eine VPN zu einem anderen Server (aber das ist hier ja gegenstandslos)

Die FB 7170 dient nur als Wlan AP und Hub.

Wer jetzt bis hierher gelesen und eine Idee zu meinem Problem hat, immer her damit!
Sofern configs benötigt werden, poste ich die gerne - nur welche?

Bin mittlerweile echt ratlos bei diesem Phänomen.

Grüße
dokle

[gms]

Das klingt eher nach HW Problemen. Lauft das Debian Gateway sonst stabil ? Zeigt dir ifconfig Fehler an ?
Das doppelte NAT ist aus der Sicht vom Debian Gateway und von der AVM FB ein stink normales NAT und kann sicherlich kein solches Problem verursachen

Gruß
gms

[dokle]

Hallo gms,
danke für deine Antwort.

Der Debian Gateway der hardware-technisch eine "FreeAgent DockStar" ist, läuft absolut stabil.
Ich sehe gerade, aufgrund deiner Frage, das ifconfig auf der Schnittstelle nach Extern (eth0=LAN eth1=FB nach extern) errors anzeigt:

Code: Alles auswählen

eth0      Link encap:Ethernet  HWaddr 00:10:75:1a:d1:dd
          inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::210:75ff:fe1a:d1dd/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:2667339 errors:0 dropped:0 overruns:0 frame:0
          TX packets:4045146 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:406926976 (388.0 MiB)  TX bytes:808238947 (770.7 MiB)
          Interrupt:11

eth1      Link encap:Ethernet  HWaddr 00:10:14:00:97:aa
          inet addr:192.167.1.20  Bcast:192.167.1.255  Mask:255.255.255.0
          inet6 addr: fe80::210:14ff:fe00:97aa/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:3930083 errors:3543 dropped:889 overruns:696 frame:4432
          TX packets:2394860 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:699575226 (667.1 MiB)  TX bytes:237785560 (226.7 MiB)

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:15700 errors:0 dropped:0 overruns:0 frame:0
          TX packets:15700 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:1690569 (1.6 MiB)  TX bytes:1690569 (1.6 MiB)

Wie lässt sich daraus jetzt mehr entlocken?, bzw. wie könnte man diese errors weiter eingrenzen?
Hardwareseitig ist eth1 ein 10/100 Ethernet-USB Dongle, da die Dockstar nur eine Schnittstelle hat, würde es evtl. was bringen den Dongle zu tauschen?

Das es an Hardwaregrenzen stößt hatte ich nie berücksichtigt. Ich hab zwar kein Munin o.ä. drauf, allerdings war die CPU Last immer wenn ich geguckt hatte (i.d.R. bei hoher Netzwerklast) mehr als gut.
Es kam mir bisher auch nicht in den Sinn, da der Router der vorher diese Aufgabe hatte, etwa das 6fache weniger an Leistung hatte und abgesehen von Squid die Aufgaben auch erfolgreich verarbeietet hat.

Grüße
dokle

[habakug]

Hallo!

eth1 Link encap:Ethernet HWaddr 00:10:14:00:97:aa
inet addr:192.167.1.20 Bcast:192.167.1.255 Mask:255.255.255.0

Dieser Bereich ist bereits an die Italiener vergeben:

Code: Alles auswählen

# whois 192.167.1.20
[...]
inetnum:        192.167.0.0 - 192.167.255.255
org:            ORG-GIRa1-RIPE
descr:          GARR Italian Research and Academic Network
netname:        IT-GARR-192-167
country:        IT

Ist das so gewollt?

Gruß, habakug

[dokle]

Hallo habakug,

das war natürlich nicht so gewollt...
Habs soeben auf 192.168.0.0/24 geändert.

Danke für den Hinweis.
Gruß
dokle

[gms]

dieses Subnet müßte dann ja eigentich auch auf der AVM FB falsch eingetragen worden sein.
Offensichtlich wird dieses Subnet aber trotzdem korrekt genattet, also sollte dieser Tippfehler auch keine gröberen Auswirkungen haben ( mal abgesehen, daß das ital. Netz nicht erreichbar ist )

was sagt "mii-tool -v eth1" ?

überprüfe einmal bei höherer Last und wenn diese Fehler auftauchen, ob auf dem Debian Gateway noch genügend Virtual Memory zur Verfügung steht. Wenn das auch keine Ursache aufzeigt, vielleicht mal den Ethernet USB Dongle tauschen

Gruß
gms

[dokle]

Hallo gms,

ja das Netz war natürlich auch in der AVM Box falsch eingetragen.
Das ifconfig weist aber dennoch die errors aus, nach der Änderung siehts so aus:

Code: Alles auswählen

ifconfig
eth0      Link encap:Ethernet  HWaddr 00:10:75:1a:d1:dd
          inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::210:75ff:fe1a:d1dd/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:3107794 errors:0 dropped:0 overruns:0 frame:0
          TX packets:4807991 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:448509276 (427.7 MiB)  TX bytes:1902209721 (1.7 GiB)
          Interrupt:11

eth1      Link encap:Ethernet  HWaddr 00:10:14:00:97:aa
          inet addr:192.168.0.20  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::210:14ff:fe00:97aa/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:4686992 errors:3979 dropped:994 overruns:789 frame:5002
          TX packets:2811457 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:1780410137 (1.6 GiB)  TX bytes:266992631 (254.6 MiB)

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:15866 errors:0 dropped:0 overruns:0 frame:0
          TX packets:15866 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:1706296 (1.6 MiB)  TX bytes:1706296 (1.6 MiB)

Unter Volllast (wobei die DSL Leitung eh nur max 1728/224 kbit/s kann)

Code: Alles auswählen

mii-tool -v eth1
eth1: negotiated 100baseTx-FD, link ok
  product info: vendor 00:07:49, model 1 rev 1
  basic mode:   autonegotiation enabled
  basic status: autonegotiation complete, link ok
  capabilities: 100baseTx-FD 100baseTx-HD 10baseT-FD 10baseT-HD
  advertising:  100baseTx-FD 100baseTx-HD 10baseT-FD 10baseT-HD flow-control
  link partner: 100baseTx-FD 100baseTx-HD 10baseT-FD 10baseT-HD

Und der Speicher, auch unter Netzwerkvolllast

Code: Alles auswählen

free
             total       used       free     shared    buffers     cached
Mem:        125732     121484       4248          0      18292      71316
-/+ buffers/cache:      31876      93856
Swap:       507772       7316     500456

Von der Speicherverwaltung versteh ich ehrlich gesagt nicht viel, für mich siehts ok aus, was meint ihr?

Ich werd nachher mal versuchsweise die eth1 füs Lan nehmen und eth0 nach extern legen, ggf. bringt das ja eine Besserung.

[gms]

ja, vom Speicherverbrauch ist alles ok

Ich werd nachher mal versuchsweise die eth1 füs Lan nehmen und eth0 nach extern legen, ggf. bringt das ja eine Besserung.

gute Idee

[dokle]

Zunächst mal muss ich mich bei allen bedanken, die mich in diesem Thread mit Ideen unterstütz haben.

Das Problem lag hardwaremäßig am USB-LAN Konverter.
Nachdem ich diesen getauscht hatte, traten keinerlei "errors" mehr auf, weder im ifconfig, noch an aktiven Verbindungen.
Selbst die Videostreams laufen nun einwandfrei.

Grüße
dokle