(gelöst) NAT/Routing will nicht mehr

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
Benutzeravatar
joker4791
Beiträge: 41
Registriert: 05.02.2009 17:21:44
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: bei Frankfurt/Main

(gelöst) NAT/Routing will nicht mehr

Beitrag von joker4791 » 01.05.2010 09:44:02

Hi,

ich habe folgende Konstellation:
Internet --> Kabelmodem --> Lenny-Server --> weitere Rechner im LAN

dabei erhaelt der Server auf eth2 die IP-Adresse vom ISP via DHCP und soll die Verbindung ueber eth0 teilen, wobei hier die Adressen im LAN ebenfalls ueber DHCP im 192.168.0.0/24'er Netz vergeben werden.

Bis gestern hat das Ganze prima funktioniert, aber nach einem Stromausfall und dem dadurch bedingten Neustart will's nicht mehr.

Ich habe die IP-Tables jetzt auf ein Minimum heruntergebrochen:

Code: Alles auswählen

/sbin/iptables -F POSTROUTING -t nat
/sbin/iptables -A FORWARD -i eth0 -o eth2 -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A FORWARD -i eth2 -o eth0 -j ACCEPT
/sbin/iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
Die Nameserver werden auch sauber in die /etc/resolv.conf eingetragen und surfen auf dem Server klappt - wie man sieht - auch. bind9 ist installiert und laeuft.

Code: Alles auswählen

:~# route -n
Kernel-IP-Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
62.143.180.0    0.0.0.0         255.255.254.0   U     0      0        0 eth2
0.0.0.0         62.143.180.1    0.0.0.0         UG    0      0        0 eth2
Der Browser kann auch bei direkter IP-Adressen-Eingabe die Seite nicht laden.
Erstaunlicherweise funktioniert auf den Clients aber die Namensaufloesung und NAT bei ping (z. B. WinXP):

Code: Alles auswählen

C:>ping www.google.de

Ping www.l.google.com [209.85.135.99] mit 32 Bytes Daten:

Antwort von 209.85.135.99: Bytes=32 Zeit=19ms TTL=55
Antwort von 209.85.135.99: Bytes=32 Zeit=16ms TTL=55
Antwort von 209.85.135.99: Bytes=32 Zeit=17ms TTL=55
Antwort von 209.85.135.99: Bytes=32 Zeit=18ms TTL=55

Ping-Statistik für 209.85.135.99:
    Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0 (0% Verlust),
Ca. Zeitangaben in Millisek.:
    Minimum = 16ms, Maximum = 19ms, Mittelwert = 17ms
daher habe ich versucht, im Browser ipv6 abzuschalten, aber auch ohne Erfolg. Auf den Lenny-Clients ist das aber genauso.
Wahrscheinlich ist es nur eine Kleinigkeit, aber ich bin mit meinem Latein am Ende. Vielleicht faellt ja einem von Euch was auf.

Gruesse joker

Code: Alles auswählen

:~# cat /etc/network/interfaces
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface (onboard, 1000MBit, LAN)
allow-hotplug eth0
iface eth0 inet static
	address 192.168.0.42
	netmask 255.255.255.0
	network 192.168.0.0

# The third network interface (3com)
allow-hotplug eth2
iface eth2 inet dhcp
	up iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE

Code: Alles auswählen

:~# ifconfig eth0
eth0      Link encap:Ethernet  Hardware Adresse 00:24:1d:a9:bc:89  
          inet Adresse:192.168.0.42  Bcast:192.168.0.255  Maske:255.255.255.0
          inet6-Adresse: fe80::224:1dff:fea9:bc89/64 Gültigkeitsbereich:Verbindung
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metrik:1
          RX packets:988864 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1044729 errors:0 dropped:0 overruns:0 carrier:0
          Kollisionen:0 Sendewarteschlangenlänge:1000 
          RX bytes:63571185 (60.6 MiB)  TX bytes:545073875 (519.8 MiB)
          Interrupt:253 Basisadresse:0x8000

Code: Alles auswählen

:~# ifconfig eth2
eth2      Link encap:Ethernet  Hardware Adresse 00:04:76:11:ea:34  
          inet Adresse:62.143.181.xxx  Bcast:255.255.255.255  Maske:255.255.254.0
          UP BROADCAST RUNNING MULTICAST  MTU:576  Metrik:1
          RX packets:29499 errors:533 dropped:0 overruns:1 frame:533
          TX packets:16542 errors:0 dropped:0 overruns:0 carrier:1
          Kollisionen:0 Sendewarteschlangenlänge:1000 
          RX bytes:3673993 (3.5 MiB)  TX bytes:2191524 (2.0 MiB)
          Interrupt:18 Basisadresse:0xe000
Zuletzt geändert von joker4791 am 02.04.2011 03:19:27, insgesamt 1-mal geändert.
Nach oben
Benutzeravatar
snyborg
Beiträge: 256
Registriert: 08.08.2007 22:07:32
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: 127.0.0.1

Re: NAT/Routing will nicht mehr

Beitrag von snyborg » 01.05.2010 13:24:02

Hi,

kann jetzt direkt keinen Fehler sehen, aber hast du die Firewall mal komplett deaktiviert? Also Policy auf ACCEPT und ansonsten leer? (bis auf's NAT natürlich :) )

Hört sich für mich irgendwie nach Firewall an...

HTH
Wenn deine Freunde Linux haben, wechsel zu Linux.
Wenn deine Freunde BSD haben, wechsel zu BSD.
Wenn deine Freunde Windows haben, wechsel deine Freunde.
Nach oben
Benutzeravatar
joker4791
Beiträge: 41
Registriert: 05.02.2009 17:21:44
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: bei Frankfurt/Main

Re: NAT/Routing will nicht mehr

Beitrag von joker4791 » 01.05.2010 14:56:30

Hi,

danke fuer den Tipp, ich habe das System nochmal neu gebootet und das ist das Ergebnis:

Code: Alles auswählen

# iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
LOG        all  --  loopback/8           anywhere            LOG level warning 
DROP       all  --  loopback/8           anywhere            
ACCEPT     all  --  anywhere             255.255.255.255     
ACCEPT     all  --  anywhere             255.255.255.255     
ACCEPT     all  --  anywhere             255.255.255.255     
ACCEPT     all  --  anywhere             255.255.255.255     
ACCEPT     all  --  192.168.0.0/24       anywhere            
ACCEPT     all  --  localnet/24          anywhere            
ACCEPT     all  --  192.168.91.0/24      anywhere            
ACCEPT     all  --  172.16.175.0/24      anywhere            
ACCEPT    !tcp  --  anywhere             BASE-ADDRESS.MCAST.NET/4 
ACCEPT    !tcp  --  anywhere             BASE-ADDRESS.MCAST.NET/4 
ACCEPT    !tcp  --  anywhere             BASE-ADDRESS.MCAST.NET/4 
ACCEPT    !tcp  --  anywhere             BASE-ADDRESS.MCAST.NET/4 
LOG        all  --  192.168.0.0/24       anywhere            LOG level warning 
DROP       all  --  192.168.0.0/24       anywhere            
LOG        all  --  localnet/24          anywhere            LOG level warning 
DROP       all  --  localnet/24          anywhere            
LOG        all  --  192.168.91.0/24      anywhere            LOG level warning 
DROP       all  --  192.168.91.0/24      anywhere            
LOG        all  --  172.16.175.0/24      anywhere            LOG level warning 
DROP       all  --  172.16.175.0/24      anywhere            
ACCEPT     all  --  anywhere             255.255.255.255     
ACCEPT     all  --  anywhere             ip-62-143-181-xxx.unitymediagroup.de 
ACCEPT     all  --  anywhere             255.255.255.255     
LOG        all  --  anywhere             anywhere            LOG level warning 
DROP       all  --  anywhere             anywhere            

Chain FORWARD (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  localnet/24          192.168.0.0/24      
ACCEPT     all  --  192.168.91.0/24      192.168.0.0/24      
ACCEPT     all  --  172.16.175.0/24      192.168.0.0/24      
ACCEPT     all  --  192.168.0.0/24       localnet/24         
ACCEPT     all  --  192.168.91.0/24      localnet/24         
ACCEPT     all  --  172.16.175.0/24      localnet/24         
ACCEPT     all  --  192.168.0.0/24       192.168.91.0/24     
ACCEPT     all  --  localnet/24          192.168.91.0/24     
ACCEPT     all  --  172.16.175.0/24      192.168.91.0/24     
ACCEPT     all  --  192.168.0.0/24       172.16.175.0/24     
ACCEPT     all  --  localnet/24          172.16.175.0/24     
ACCEPT     all  --  192.168.91.0/24      172.16.175.0/24     
ACCEPT     all  --  192.168.0.0/24       anywhere            
ACCEPT     all  --  localnet/24          anywhere            
ACCEPT     all  --  192.168.91.0/24      anywhere            
ACCEPT     all  --  172.16.175.0/24      anywhere            
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 
LOG        all  --  anywhere             192.168.0.0/24      LOG level warning 
DROP       all  --  anywhere             192.168.0.0/24      
LOG        all  --  anywhere             localnet/24         LOG level warning 
DROP       all  --  anywhere             localnet/24         
LOG        all  --  anywhere             192.168.91.0/24     LOG level warning 
DROP       all  --  anywhere             192.168.91.0/24     
LOG        all  --  anywhere             172.16.175.0/24     LOG level warning 
DROP       all  --  anywhere             172.16.175.0/24     
LOG        all  --  anywhere             anywhere            LOG level warning 
DROP       all  --  anywhere             anywhere            

Chain OUTPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             255.255.255.255     
ACCEPT     all  --  anywhere             255.255.255.255     
ACCEPT     all  --  anywhere             255.255.255.255     
ACCEPT     all  --  anywhere             255.255.255.255     
ACCEPT     all  --  anywhere             192.168.0.0/24      
ACCEPT     all  --  anywhere             localnet/24         
ACCEPT     all  --  anywhere             192.168.91.0/24     
ACCEPT     all  --  anywhere             172.16.175.0/24     
ACCEPT    !tcp  --  anywhere             BASE-ADDRESS.MCAST.NET/4 
ACCEPT    !tcp  --  anywhere             BASE-ADDRESS.MCAST.NET/4 
ACCEPT    !tcp  --  anywhere             BASE-ADDRESS.MCAST.NET/4 
ACCEPT    !tcp  --  anywhere             BASE-ADDRESS.MCAST.NET/4 
LOG        all  --  anywhere             192.168.0.0/24      LOG level warning 
DROP       all  --  anywhere             192.168.0.0/24      
LOG        all  --  anywhere             localnet/24         LOG level warning 
DROP       all  --  anywhere             localnet/24         
LOG        all  --  anywhere             192.168.91.0/24     LOG level warning 
DROP       all  --  anywhere             192.168.91.0/24     
LOG        all  --  anywhere             172.16.175.0/24     LOG level warning 
DROP       all  --  anywhere             172.16.175.0/24     
ACCEPT     all  --  anywhere             255.255.255.255     
ACCEPT     all  --  ip-62-143-181-xxx.unitymediagroup.de  anywhere            
ACCEPT     all  --  255.255.255.255      anywhere            
LOG        all  --  anywhere             anywhere            LOG level warning 
DROP       all  --  anywhere             anywhere
Aber das Problem bleibt, ich kann zwar pingen aber der Browser macht immernoch keinen Mucks.
Ich habe jetzt schon sooo viel an den iptables rumprobiert und glaube nicht, dass es daran liegt.

Gruesse joker
Nach oben
Benutzeravatar
joker4791
Beiträge: 41
Registriert: 05.02.2009 17:21:44
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: bei Frankfurt/Main

Re: NAT/Routing will nicht mehr

Beitrag von joker4791 » 01.05.2010 17:07:50

Hi,

eine Auffaelligkeit habe ich im syslog gefunden:

Code: Alles auswählen

May  1 17:01:02 lambda named[9329]: too many timeouts resolving 'j.gtld-servers.net/A' (in 'gtld-servers.net'?): reducing the advertised EDNS UDP packet size to 512 octets
kann mir das jemand uebersetzen?

Gruesse joker
Nach oben
Benutzeravatar
joker4791
Beiträge: 41
Registriert: 05.02.2009 17:21:44
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: bei Frankfurt/Main

Re: NAT/Routing will nicht mehr

Beitrag von joker4791 » 01.05.2010 17:17:36

... und ipmasq habe ich auch noch entfernt:

Code: Alles auswählen

# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
Gruesse joker
Nach oben
Benutzeravatar
joker4791
Beiträge: 41
Registriert: 05.02.2009 17:21:44
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: bei Frankfurt/Main

Re: NAT/Routing will nicht mehr

Beitrag von joker4791 » 01.05.2010 18:28:43

ich hab' auch bind9 nochmal komplett entfernt (=purge) und neu eingespielt.

Code: Alles auswählen

Stopping domain name service...: bind9rndc: connection to remote host closed
This may indicate that
* the remote server is using an older version of the command protocol,
* this host is not authorized to connect,
* the clocks are not syncronized, or
* the key is invalid.

Code: Alles auswählen

:~# ps ax|grep named
 9329 ?        Ssl    0:00 /usr/sbin/named -u bind
15350 pts/1    S+     0:00 grep named
Wie soll ich das nun wieder deuten.
Ich bin echt am verzweifeln, so lange habe ich noch nie gebraucht, um das ICS aufzusetzen.

Gruesse joker
Nach oben
Benutzeravatar
joker4791
Beiträge: 41
Registriert: 05.02.2009 17:21:44
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: bei Frankfurt/Main

Re: NAT/Routing will nicht mehr

Beitrag von joker4791 » 01.05.2010 20:22:49

keiner 'ne Idee?
Nach oben
Danielx
Beiträge: 6419
Registriert: 14.08.2003 17:52:23

Re: NAT/Routing will nicht mehr

Beitrag von Danielx » 01.05.2010 22:39:39

joker4791 hat geschrieben:... und ipmasq habe ich auch noch entfernt:

Code: Alles auswählen

# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
Also ist jetzt der Weg komplett frei. :mrgreen:

Hast du danach MASQUERADE und ip_forward wieder aktiviert?
Nach oben
Benutzeravatar
joker4791
Beiträge: 41
Registriert: 05.02.2009 17:21:44
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: bei Frankfurt/Main

Re: NAT/Routing will nicht mehr

Beitrag von joker4791 » 01.05.2010 23:24:57

yep.

Aber ich hab' jetzt keinen Bock mehr (14 Stunden Fehlersuche reichen mir jetzt erstmal).
Ich hab' noch 'ne zweite (DSL)-Leitung, die brachliegt, die im Oktober abgeschaltet wird auf eth1.
Mal schnell alles auf eth1 umgemodelt und innerhalb von 5 Min. ging der Browser wieder. :evil: :evil: :evil: :evil: :evil:
Wie ich das mit dem Kabelmodem/DHCP vom ISP hinbekomme: keine Ahnung...

Grüße joker
Nach oben
Benutzeravatar
joker4791
Beiträge: 41
Registriert: 05.02.2009 17:21:44
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: bei Frankfurt/Main

Re: NAT/Routing will nicht mehr

Beitrag von joker4791 » 28.05.2010 16:19:56

Hi,

nachdem der Frust allmählich verflogen ist, möchte ich die Sache nun am Wochenende nochmal von vorne angehen.
Also, was muss wo konfiguriert werden, um folgendes Ziel zu erreichen?
  • Debian Lenny Server mit Internet-Zugang per Kabel-Modem an eth2 und mit DHCP
  • Netzwerk A 192.168.0.0/24 mit Zugang zum Internet über den Server an eth0
  • Netzwerk B 192.168.0.1/24 mit Zugang zum Internet über den Server an eth1
  • Zugang von Netzwerk A auf B und umgekehrt soll nicht möglich sein
wie gesagt: im Moment läuft's so, dass an eth1 eine Fritzbox mit Internet-Zugang über DSL hängt und der Server über eth0 diese Verbindung mit dem Netzwerk A teilt. Netzwerk B hängt am zweiten Port der Fritzbox, die ebenfalls Teilnehmer des Netzwerkes B ist.

Grüße joker
Nach oben
Benutzeravatar
joker4791
Beiträge: 41
Registriert: 05.02.2009 17:21:44
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: bei Frankfurt/Main

Re: NAT/Routing will nicht mehr

Beitrag von joker4791 » 02.04.2011 03:18:58

Hi,

also ich hab' das Problem nicht wirklich gelöst, aber mit einer Umstrukturierung des Netzwerkes habe ich die gewünschte Funktion:
Internet --> Kabelmodem --> (DHCP) - Fritz.Box - (statische IP) --> Lenny-Server (statische IP) --> weitere Rechner im LAN (über Dual-LAN-Karte br0 :D )

Grüße joker
Nach oben
Antworten

Zurück zu „Netzwerk“