merkwürdiges Routing

[glasfaserauge]

Hallo,

ich betreibe einen gentoo-PC als Router. An diesen ist ein WLAN-Router angeschlossen, der das Internet dann im Haus verteilt. Auf einem Laptop (meinem ) geht alles einwandfrei. Auf anderen aber funktionieren einige Seiten nicht, d.h. sie werde nicht geladen. Firewalls auf den Laptops sind aus. Es scheint also ob der gentoo-Router einfach nicht die angeforderten Seiten rüberschiebt, aber eben nur auf einigen Laptops. Wenn ich diese aber direkt an die Telefonleitung anschließe und über das interne Modem einwähle funtkioniert alles. Deswegen kam ich auf den Trichter, dass es der gentoo-Router sein muss. Auf den Laptpos ist Win XP SP2 installiert.
Bei gentoo handelt es sich um den 2.6er Kernel.
Wenn zur Lösung dieses Mysteriums noch irgendwelche Infos gebraucht werden rücke ich die selbstverständlich raus

[kopfsalat]

Da es ja auf einem Client einwandfrei funktioniert würde ich ja eher auf eine Fehlkonfiguration der XP-Kisten tippen

Wenn ein ping ins Internet mit IP Adresse funktioniert aber nicht mit hostnamen dann ist es höchstwahrscheinlich ein DNS Problem.

Ich nehme an die Clients beziehen ihre Konfiguration via DHCP vom WLAN router. Ich würde mal versuchen die IP-Adresse und insbesondere die Nameserver (die vom Provider) manuell einzutragen. Kann man wahrscheinlich auch in der Router-Konfiguration machen, so daß diese via DHCP weitergereicht werden. Der integrierte Nameserver im Router ist nicht selten mangelhaft - z.B. bei Auflösung von vhosts.

[glasfaserauge]

Neue Erkenntisse:
Am DNS kanns nicht liegen, denn die IP-Adressen werden beim Pingversuch korrekt angezeigt. Ein Ping mit der entsprechenden IP bleibt genau wie das direkte Anpingen/Aufrufen der Seite unbeantwortet. Es sind seltsamerweise auf allen beiden Laptops, auf denen das Problem auftritt, die gleichen Seiten: Quelle, eBay, Otto.. mehr hab ich noch nicht gefunden
Wenn ich z.B. einen trace zu eBay machen lasse geht der fröhlich aus dem Netzwerk, zum Provider und über ein paar andere Server, bleibt dann aber stecken. Und es ist auch nicht zufällig so, dass die traces von allen Seiten an der gleichen Stelle stecken bleiben.
Ich bin verwirrt
Kann man sich von den iptables irgendwo eine logfile anschauen?

[kopfsalat]

Ich weiss ja nicht so genau wie das bei Dir aussieht. Versuche mal auf der Linux-Kiste ein

[think4urs11]

[glasfaserauge]

@kopfsalat:
Wa genau soll denn das

[kopfsalat]

Die mss ist ein Wert der IP-Paketen auf die Reise mitgegeben wird und bestimmt die maximale Datengröße mit der die Gegenstelle antwortet. Ist diese zu groß für die maximale Paketgröße (mtu) irgendwo auf dem Rückweg, müssten Pakete aufgeteilt werden, was die Knoten im Internet so nicht mitmachen.

Das IP-Protokoll sieht für diesen Fall vor das mittels entsprechender Mechanismen die maximale mtu auf dem Weg herausgefunden werden kann und daß das Paket mit entsprechender mtu neu versendet wird. Da aber viele Sites aus Paranoia die dafür notwendigen ICMP-Pakete mit ihrer Firewall blockieren, kriegen Sie davon nichts mit und denken alles wäre prima angekommen.

Die Symptome sind zumindest typisch für diesen Effekt.

Also muss gewährleistet sein daß

mss + Protokolloverhead <= kleinste mtu auf dem Weg zur Gegenstelle

gilt.

Durch obigen Befehl wird die mss gerouteter Pakete auf die mtu der Provider-Gegenstelle - dem Flaschenhals bei DSL-Verbindungen - "geclampt", so daß eine Paketfragmentierung von Antworten vermieten wird.

Eine Alternative zu obigen Befehl ist die Umstellung aller betroffenen Clients auf eine kleinere mtu - üblicherweise wird dann auch eine entsprechende mss verwendet. Keine Ahnung wie das bei XP geht. Das am Router zu lösen erscheint mir ohnehin eleganter.

Ich hoffe das erklärt es einigermaßen.

[glasfaserauge]

Habs verstanden
Gilt das auch für Modemverbindungen? Also 56k?

[kopfsalat]

Die mtu für Ethernet ist 1500, PPPoE hat einen Overhead von 8 Bytes. Effektiv hat eine DSL-Verbindung somit nur 1492 für ein Paket zur Verfügung. Die mss eines LAN Rechners wird allerdings üblicherweise von der Netzwerkkarte, dementsprechend Ethernet, ausgehend gesetzt auf 1500 - 40. 40 ist der Protokoll-Overhead durch IP- und TCP-Header.

Möglicherweise hattest Du auf dem funktionierenden Client mal DSL konfiguriert.

Prinzipiell gibt es auch bei analogen Verbindungen mtu und mss. Wenn ich mich recht entsinne musste man diese damals in grauer Vorzeit (Win 3.1 und Trumpet Winsock) korrekt einstellen: mss=mtu-40. Die Modemverbindung selbst hat demnach keinen Overhead.

Durch richtige Abstimmung der mtu konnte man höchstens ein wenig Leistung aus seinem Modem kitzeln. Die Technik ist mittlerweile ausgereift genug, daß man sich darum heutzutage nicht mehr kümmern muß

Aber viel wichtiger: Funktioniert denn nun alles?

[glasfaserauge]

Heureka! Es geht! Danke kopfsalat!!!
Was es nicht alles gibt...
Seltsam ist jetzt nur: otto, eBay, quelle werde ordnungsgemäß aufgebaut, aber ich kann sie von keinem Rechner aus mehr anpingen... aber wer will das schon?
Also großes Danke!

edit: Und dass das auf meinem Laptop alles ging liegt wahrscheinlich wirklich daran, dass er mal für DSL konfiguriert gewesen sein muss. Zumindest stehen bei mir in der Registry Schlüssel für MTU-Werte was bei einem anderen Client nicht der Fall war.

nochmal edit: Wie ich gerade festgestellt habe, muss man diese Zeile jedes mal eingeben, wenn gentoo neustartet. Wie und wo sage ich gentoo, dass er das jedes mal beim starten ausführen soll? mit rc-update add iptables [...] default?

[glasfaserauge]

Hat jemand eine Idee, wie ich gentoo dazu überreden kann die magische Codezeile von kopfsalat bei jedem Start auszuführen?

Das Hinzufügen dieser Zeile in etc/conf.d/local.start hat nichts gebracht

[kopfsalat]

Am besten ans Ende eines vorhandenen iptable scripts - die meisten fangen nämlich mit dem Löschen aller Regeln an.

[glasfaserauge]

Wäre rc-firewall-2.4 so ein Skript?

[kopfsalat]

Ich habe unter Gentoo speziell noch nie einen Router betrieben, wo also die scripte für die Firewall abgelegt werden weiß ich nicht. Wenn viele iptables Aufrufe in dem Script sind, halte ich die Wahrscheinlichkeit für groß.

Einfach Zeile anfügen

[glasfaserauge]

Und diese zwei Befehle bewirken das gleich wie die "magische Codezeile"?

[kopfsalat]

Oh nein, war vielleicht etwas missverständlich. Ich meinte die Datei editieren und die iptables Zeile anfügen, >anschliessend< mit init 1 und init 5 das Netzwerk neu starten - geht schneller als ein reboot. init wechselt zwischen den Runleveln. Siehe

[glasfaserauge]

Ah, Okay. Die Init-Befehle kannte ich nicht. So kann man das ja wirklich komfortabler testen
Ich werds ausprobieren.

[glasfaserauge]

Ich habe die magische Codezeile am Ende des Firewall-Skripts eingefügt und es geht jetzt alles wunderbar!
Danke