| View previous topic :: View next topic |
| Author |
Message |
jack32
n00b
Joined: 01 Nov 2008
Posts: 22
|
 Posted: Sat Nov 01, 2008 7:13 pm Post subject: Seltsames Problem hinter meinem gentoo router... |
 |
|
Hi,
hoffe ihr habt ein paar Tipps für mich. 
Ich habe hier auf meinem server nen router laufen.
Soll heißen mein gentoo Server übernimmt freundlicherweise di funktion eines routers.
Bin auch sehr zufrieden damit.
Das Problem ist folgendes:
Es gibt ein paar Seiten auf die ich aus meinem LAN nicht zugreifen kann.
zb.: wetter.com, apotal.de oder www.stwdo.de
mehr fallen mir gerade nicht ein.
Ein paar Fakten/Daten:
- Die Seiten sind nicht down sondern funktionieren super.
- Mit meinem Server komme ich auf diese Seiten.
- Die genannten Server antworten generell nicht aufs anpingen (egal von wo).
- An irgendwelchen DNS Problemen liegt es auch nicht, die DNSs werden
richtig aufgelöst bzw. wenn ich die richtige ip statt die DNS eingebe habe ich das selbe Problem.
- Wenn ich die Seiten aufrufe bekomme ich einfach keine Antwort. (Einfach garnix (Wireshark))
Zum erfolgreichen routen müsste doch eigendlich
| Code: | Chain POSTROUTING (policy ACCEPT 204K packets, 14M bytes)
pkts bytes target prot opt in out source destination
44473 2734K MASQUERADE all -- any ppp0 anywhere anywhere |
reichen? oder?
Meine Netzwerkconfig ist die folgende:
- eth0 hängt am NTBBA (DSL Modem )
- br0 hängt am LAN
- br0 ist die bridge die auf eth1 läuft (Für Netzwerk in der VM die auf dem Server auch noch läuft)
- ppp0 wählt sich ein
Hier dann noch die gesamte iptables config:
(ich weiß dass man da viel verbessern kann, aber sollange das prob nicht beseitigt ist....)
| Code: |
kassette ~ # iptables -t nat -vL
Chain PREROUTING (policy ACCEPT 4855K packets, 579M bytes)
pkts bytes target prot opt in out source destination
32815 1610K DNAT tcp -- ppp0 any anywhere anywhere tcp dpt:7011 to:192.168.0.138
2 120 DNAT tcp -- ppp0 any anywhere anywhere tcp dpt:ircd to:192.168.0.138
1 60 DNAT tcp -- ppp0 any anywhere anywhere tcp dpt:http to:192.168.0.138
5881 292K DNAT tcp -- ppp0 any anywhere anywhere tcp dpt:20122 to:192.168.0.2
9154 561K DNAT udp -- ppp0 any anywhere anywhere udp dpt:19209 to:192.168.0.2
Chain POSTROUTING (policy ACCEPT 208K packets, 15M bytes)
pkts bytes target prot opt in out source destination
51014 3141K MASQUERADE all -- any ppp0 anywhere anywhere
Chain OUTPUT (policy ACCEPT 916K packets, 58M bytes)
pkts bytes target prot opt in out source destination
kassette ~ # iptables -vL
Chain INPUT (policy DROP 9713 packets, 948K bytes)
pkts bytes target prot opt in out source destination
22709 1964K ACCEPT all -- lo any anywhere anywhere
4630K 321M ACCEPT tcp -- any any 192.168.0.0/16 anywhere tcp dpt:netbios-ssn
46M 38G ACCEPT tcp -- any any 192.168.0.0/16 anywhere tcp dpt:microsoft-ds
30273 2321K ACCEPT tcp -- any any anywhere anywhere tcp dpt:22322
23M 7683M ACCEPT all -- ppp0 any anywhere anywhere state RELATED,ESTABLISHED
4824 2495K ACCEPT tcp -- any any anywhere anywhere tcp dpt:http
123K 5983K ACCEPT tcp -- ppp0 any anywhere anywhere tcp dpt:6984
31872 1421K ACCEPT tcp -- any any anywhere anywhere tcp dpt:5900
2317 230K ACCEPT tcp -- br0 any anywhere anywhere tcp dpt:4080
Chain FORWARD (policy ACCEPT 4788K packets, 2887M bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 154M packets, 103G bytes)
pkts bytes target prot opt in out source destination
|
und die ausgabe von ifconfig
| Code: |
kassette ~ # ifconfig
br0 Link encap:Ethernet HWaddr 00:01:02:9D:4C:C5
inet addr:192.168.0.1 Bcast:192.168.0.255 Mask:255.255.255.0
inet6 addr: fe80::201:2ff:fe9d:4cc5/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:3149958 errors:0 dropped:0 overruns:0 frame:0
TX packets:4735837 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:452097726 (431.1 Mb) TX bytes:913256433 (870.9 Mb)
eth0 Link encap:Ethernet HWaddr 00:40:63:E7:2D:10
inet addr:169.254.202.7 Bcast:169.254.255.255 Mask:255.255.0.0
inet6 addr: fe80::240:63ff:fee7:2d10/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:2824710 errors:0 dropped:0 overruns:0 frame:0
TX packets:2049341 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:2591421658 (2471.3 Mb) TX bytes:438630867 (418.3 Mb)
Interrupt:10 Base address:0xcc00
eth1 Link encap:Ethernet HWaddr 00:01:02:9D:4C:C5
inet6 addr: fe80::201:2ff:fe9d:4cc5/64 Scope:Link
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
RX packets:2869915 errors:0 dropped:0 overruns:1 frame:0
TX packets:4294056 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:484903940 (462.4 Mb) TX bytes:882322763 (841.4 Mb)
Interrupt:11 Base address:0xa000
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:11 errors:0 dropped:0 overruns:0 frame:0
TX packets:11 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:792 (792.0 b) TX bytes:792 (792.0 b)
ppp0 Link encap:Point-to-Point Protocol
inet addr:78.53.191.107 P-t-P:213.191.89.28 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1492 Metric:1
RX packets:2238510 errors:0 dropped:0 overruns:0 frame:0
TX packets:1625121 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:2306185067 (2199.3 Mb) TX bytes:347586517 (331.4 Mb)
tap0 Link encap:Ethernet HWaddr 00:FF:A3:AE:C4:B8
inet6 addr: fe80::2ff:a3ff:feae:c4b8/64 Scope:Link
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
RX packets:281069 errors:0 dropped:0 overruns:0 frame:0
TX packets:447352 errors:0 dropped:94 overruns:0 carrier:0
collisions:0 txqueuelen:500
RX bytes:23352283 (22.2 Mb) TX bytes:33211400 (31.6 Mb)
|
alles weitere bekommt ihr auf anfrage....
irgendwelche lösungsvorschläge?
mfg jack32 |
|
| Back to top |
|
 |
Polynomial-C
Retired Dev
Joined: 01 Jun 2003
Posts: 1432
Location: Germany
|
| Posted: Sun Nov 02, 2008 3:06 am Post subject: |
|
|
Hi,
kannst du auf diese Seiten zugreifen, wenn du folgenden Befehl zu deinen iptables-Regeln hinzufügst? | Code: | | iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu |
Grüße
Poly-C
_________________
The manual said "Requires Windows10 or better" so I installed GNU/Linux...
my portage overlay
Need a stage1 tarball? (Unofficial builds) |
|
| Back to top |
|
|
jack32
n00b
Joined: 01 Nov 2008
Posts: 22
|
| Posted: Sun Nov 02, 2008 9:31 am Post subject: |
|
|
hi.
nachdem ich das TCPMSS target im kernel eingebunden habe, konnte ich die Regel hinzufügen.
nur leider ändert das an der ganzen Sache nix.
mfg |
|
| Back to top |
|
|
dertobi123
Retired Dev
Joined: 19 Nov 2002
Posts: 2679
Location: Oberhausen, Germany
|
| Posted: Sun Nov 02, 2008 9:41 am Post subject: Re: Seltsames Problem hinter meinem gentoo router... |
|
|
| jack32 wrote: | | irgendwelche lösungsvorschläge? |
Mach mal nen traceroute oder mtr auf die nicht zu erreichenden Server um zu schauen, wo genau (also schon am ppp0 oder später) es ins Nirwana läuft.
_________________
Ganz frisch: Praxisbuch Nagios
Gentoo Linux - Die Metadistribution (2. Auflage) |
|
| Back to top |
|
|
jack32
n00b
Joined: 01 Nov 2008
Posts: 22
|
| Posted: Sun Nov 02, 2008 10:06 am Post subject: |
|
|
vom lan aus? hab ich auch schon gemacht:
kommt sowas:
| Code: | C:\Dokumente und Einstellungen\Administrator>tracert wetter.com
Routenverfolgung zu wetter.com [85.236.205.40] über maximal 30 Abschnitte:
1 <1 ms <1 ms <1 ms jackspc [192.168.0.1]
2 29 ms 15 ms 15 ms lo1.br01.dtm.de.hansenet.net [213.191.89.28]
3 17 ms 17 ms 18 ms ae0-105.crju01.dus.de.hansenet.net [62.109.112.9
3]
4 22 ms 21 ms 21 ms so-3-1-0-0.cr01.fra.de.hansenet.net [213.191.87.
158]
5 21 ms 21 ms 21 ms gi4-0-0.pr02.decix.de.hansenet.net [62.109.109.1
78]
6 23 ms 23 ms 23 ms c12gsr1-4-0.intx.FRA.interscholz.net [80.81.192.
219]
7 27 ms 28 ms 27 ms c12gsr-25g1.z10a.stg.interscholz.net [85.236.200
.1]
8 28 ms 27 ms 27 ms c12gsr-10g1.hl10.leo.interscholz.net [85.236.200
.33]
9 * * * Zeitüberschreitung der Anforderung.
10 * * * Zeitüberschreitung der Anforderung.
11 * * * Zeitüberschreitung der Anforderung.
12 c12gsr-10g1.hl10.leo.interscholz.net [85.236.200.33] meldet: Zielnetz nich
t erreichbar.
Ablaufverfolgung beendet. |
das sieht eigendlich an allen inet zugängen ähnlich aus, da die server nicht aufs anpingen reagieren
so sieht das von einem anderen inet anschluss aus aus:
| Code: |
C:\Dokumente und Einstellungen\JacK>ping wetter.com
Ping wetter.com [85.236.205.40] mit 32 Bytes Daten:
Zeitüberschreitung der Anforderung.
Ping-Statistik für 85.236.205.40:
Pakete: Gesendet = 1, Empfangen = 0, Verloren = 1 (100% Verlust),
STRG-C
^C
C:\Dokumente und Einstellungen\JacK>tracert wetter.com
Routenverfolgung zu wetter.com [85.236.205.40] über maximal 30 Abschnitte:
1 <1 ms <1 ms <1 ms 10.11.13.1
2 10 ms 5 ms 9 ms mh-sw1-vl112.HRZ.Uni-Dortmund.DE [129.217.129.19
0]
3 8 ms 10 ms 10 ms xr-dui1-ge8-1.x-win.dfn.de [188.1.44.81]
4 17 ms 9 ms 28 ms xr-aac1-te1-1.x-win.dfn.de [188.1.145.26]
5 17 ms 19 ms 13 ms zr-fra1-te0-6-0-0.x-win.dfn.de [188.1.146.18]
6 23 ms 16 ms 14 ms c12gsr1-4-0.intx.FRA.interscholz.net [80.81.192.
219]
7 22 ms 22 ms 18 ms c12gsr-25G1.z10a.STG.interscholz.net [85.236.200
.1]
8 23 ms 20 ms 21 ms c12gsr-10g1.hl10.leo.interscholz.net [85.236.200
.33]
9 * * * Zeitüberschreitung der Anforderung.
10 * c12gsr-10g1.hl10.leo.interscholz.net [85.236.200.33] meldet: Ziel
netz nicht erreichbar.
Ablaufverfolgung beendet.
|
mfg |
|
| Back to top |
|
|
Max Steel
Advocate
Joined: 12 Feb 2007
Posts: 2272
Location: My own world! I and Gentoo!
|
| Posted: Sun Nov 02, 2008 10:12 am Post subject: |
|
|
Im Moment sind hier ähnliche Probleme hinter dem Router, ich denke es liegt am ISP, kann es aber nicht festlegen, manchmal läufts gut und manchmal brauche ich 3 oder mehr Anläufe bevor ich hier von einer Fehlermeldung ala "Zeitüberschreitung" wegkomme.
Ich mach auch mal ein traceroute (bin gerade unter Windoof, deshalb tracert)
| Code: | tracert http://www.space-intrusion.de
Routenverfolgung zu http://www.space-intrusion.de [85.214.87.103] über maximal
30 Abschnitte:
1 <1 ms <1 ms <1 ms server.tangomaris.home [192.168.1.10]
2 43 ms 43 ms 43 ms [geheim] [[geheim]]
3 44 ms 43 ms 46 ms [geheim] [[geheim]]
4 50 ms 49 ms * Telefonica.KOE-1-eth0-106.de.lambdanet.net [217.71.107.89]
5 51 ms 50 ms 51 ms freenet-DUS.de.lambdanet.net [217.71.107.2]
6 51 ms 51 ms 51 ms so-0-0-0-0.dus2-j2.mcbone.net [62.104.200.149]
7 55 ms * 55 ms ge-2-0-0-0.hnv2-j2.mcbone.net [62.104.191.194]
8 61 ms 60 ms 62 ms strato-crs1.fdknet.de [62.104.199.90]
9 60 ms 60 ms 60 ms 81.169.160.206
10 60 ms 61 ms 60 ms space-intrusion.de [85.214.87.103]
Ablaufverfolgung beendet.
C:\Dokumente und Einstellungen\Norbert>tracert http://www.space-intrusion.de
Routenverfolgung zu http://www.space-intrusion.de [85.214.87.103] über maximal
30 Abschnitte:
1 <1 ms <1 ms <1 ms server.tangomaris.home [192.168.1.10]
2 43 ms 43 ms 43 ms [geheim] [[geheim]]
3 44 ms 43 ms 46 ms [geheim] [[geheim]]
4 50 ms 49 ms * Telefonica.KOE-1-eth0-106.de.lambdanet.net [217.71.107.89]
5 51 ms 50 ms 51 ms freenet-DUS.de.lambdanet.net [217.71.107.2]
6 51 ms 51 ms 51 ms so-0-0-0-0.dus2-j2.mcbone.net [62.104.200.149]
7 55 ms * 55 ms ge-2-0-0-0.hnv2-j2.mcbone.net [62.104.191.194]
8 61 ms 60 ms 62 ms strato-crs1.fdknet.de [62.104.199.90]
9 60 ms 60 ms 60 ms 81.169.160.206
10 60 ms 61 ms 60 ms space-intrusion.de [85.214.87.103]
Ablaufverfolgung beendet. |
Hier sieht man das irgendwo ein Haken ist, wegen den Sternen, ich vermute mal das dagegen nur abwarten und Tee trinken hilft.
Laut tracert scheint Telefonica Probleme zu machen.
Selbst vom Server aus:
| Code: | #traceroute www.space-intrusion.de
traceroute to www.space-intrusion.de (85.214.87.103), 30 hops max, 60 byte packets
1 [geheim] ([geheim]) 43.722 ms 46.273 ms 52.285 ms
2 [geheim] ([geheim]) 58.602 ms 58.846 ms 58.911 ms
3 Telefonica.KOE-1-eth0-106.de.lambdanet.net (217.71.107.89) 66.134 ms 69.149 ms 71.968 ms
4 freenet-DUS.de.lambdanet.net (217.71.107.2) 75.246 ms 78.114 ms 80.847 ms
5 so-0-0-0-0.dus2-j2.mcbone.net (62.104.200.149) 84.371 ms 87.225 ms 89.444 ms
6 ge-2-0-0-0.hnv2-j2.mcbone.net (62.104.191.194) 96.260 ms 55.406 ms 57.500 ms
7 strato-crs1.fdknet.de (62.104.199.90) 60.903 ms 60.349 ms 63.737 ms
8 81.169.160.206 (81.169.160.206) 65.150 ms 60.280 ms 62.363 ms
9 space-intrusion.de (85.214.87.103) 62.307 ms 60.937 ms 62.266 ms |
Ab telefonica brichts ein.
selbst gentoo.org scheint davon betroffen zu sein..., abereben nicht immer.
_________________
mfg
Steel
___________________
Heim-PC: AMD Ryzen 5950X, 64GB RAM, GTX 1080
Laptop: Intel Core i5-4300U, 16GB RAM, Intel Graphic
Arbeit-PC: Intel i5-1145G7, 16GB RAM, Intel Iris Xe Graphic (leider WSL2) |
|
| Back to top |
|
|
jack32
n00b
Joined: 01 Nov 2008
Posts: 22
|
| Posted: Sun Nov 02, 2008 10:24 am Post subject: |
|
|
hmmm
bei mir liegts nicht am isp.
ich komme ja vom router direkt auf die entsprechenden seiten.
nur vom lan aus nicht.
mfg |
|
| Back to top |
|
|
Max Steel
Advocate
Joined: 12 Feb 2007
Posts: 2272
Location: My own world! I and Gentoo!
|
| Posted: Sun Nov 02, 2008 10:27 am Post subject: |
|
|
Oh okay, sry, dann hab ich wohl falsch verstanden. Entschuldige.
_________________
mfg
Steel
___________________
Heim-PC: AMD Ryzen 5950X, 64GB RAM, GTX 1080
Laptop: Intel Core i5-4300U, 16GB RAM, Intel Graphic
Arbeit-PC: Intel i5-1145G7, 16GB RAM, Intel Iris Xe Graphic (leider WSL2) |
|
| Back to top |
|
|
jack32
n00b
Joined: 01 Nov 2008
Posts: 22
|
| Posted: Sun Nov 02, 2008 10:34 am Post subject: |
|
|
macht nix
kann jede hilfe gebrauchen |
|
| Back to top |
|
|
Melekh
n00b
Joined: 26 Jun 2007
Posts: 20
|
| Posted: Sun Nov 02, 2008 11:04 pm Post subject: |
|
|
Hallo,
ich hab in meiner Konfiguration eine ähnliche Regel wie in Post #2
| Code: |
iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
|
man beachte das -t mangle.
Durch diese Regel wird der MTU-Wert korrekt gesetzt.
Ich hab es hier gerade getestet wenn ich das -t mangle weg lasse komme ich auch nicht auf die Seite http://www.stwdo.de/
wenn es allerdings gesetzt ist funktioniert es problemlos.
Was diese Regel genau macht bzw. warum es mit -t mangle geht und ohne nicht weiß ich leider nicht da ich die Regel auch irgendwo im Internet gefunden habe.
Gruss
Melekh |
|
| Back to top |
|
|
jack32
n00b
Joined: 01 Nov 2008
Posts: 22
|
| Posted: Sun Nov 02, 2008 11:26 pm Post subject: |
|
|
PERFEKT!!!
es funktioniert!!
VIELEN DANK!!! |
|
| Back to top |
|
|
think4urs11
Bodhisattva
Joined: 25 Jun 2003
Posts: 6659
Location: above the cloud
|
| Posted: Mon Nov 03, 2008 8:33 am Post subject: |
|
|
| Melekh wrote: | | Was diese Regel genau macht bzw. warum es mit -t mangle geht und ohne nicht weiß ich leider nicht da ich die Regel auch irgendwo im Internet gefunden habe. |
Es paßt die MTU-Size an die maximale Größe an die 'am Stück' d.h. unfragmentiert zwischen Quelle und Ziel übertragen werden kann.
Das Problem ist das durch PPPoE die max. Größe nicht mehr wie im LAN üblich 1500 sondern nur noch 1492Byte beträgt. (Genaugenommen kann es auf der gesamten Strecke vorkommen aber heutzutage ist eigentlich nur noch am Heimanschluß eine MTU <1500 gebräuchlich, eben wg. des zusätzlichen PPPoE-Headers)
Normalerweise sollte es auch ohne diesen Hack funktionieren aber viele Firewalladmins sind immer noch der Meinung das ICMP generell böse ist. Würden sie es richtig machen würde eine ICMP-Meldung 'Destination unreachable: Fragmentation needed, but DF set.' die Systeme automatisch dazu veranlassen. Da viele aber ICMP komplett droppen klappt der Automatismus nicht mehr.
GMX war lange Zeit 'der' Paradekandidat in Deutschland für dieses Verhalten.
und da das ganze schon mehrfach durchgekaut wurde als DUP geschlossen.
Weitere Infos zum Thema z.B.
https Seiten sind nicht erreichbar
Probleme beim surfen: Kann oft keine Webseiten laden (DSL)
Optimale MTU bestimmen
_________________
Nothing is secure / Security is always a trade-off with usability / Do not assume anything / Trust no-one, nothing / Paranoia is your friend / Think for yourself |
|
| Back to top |
|
|
|
Deutsches Forum (German)
