W2k und SuSE7.3 [Archiv] - linuxforen.de -- User helfen Usern

Archiv verlassen und diese Seite im Standarddesign anzeigen : W2k und SuSE7.3

TUXER2000

21.11.01, 08:59

Hallo Helfer!
Ich habe einen neuen PC gekauft und dazu ein neues System: SuSE 7.3 !
An sich bin ich ja ganz zufrieden, ABER 2 Problem machen mich fast bekloppt:

1. Mein SuSE 7.1 bekomme ich noch nichtmal installiert! Der PC bootet bis zu einem bestimmten Punkt in der Installationsroutine und macht dann automatisch einen RESET...

Der Rechner ist ein MBO eforce (falls das wichtig ist....)

2. SuSE7.3 installiert und läuft. Nachdem ich dieses Forum und die SuSE-Supportdatenbank durchforstet habe, konnte ich auch das berüchtigte MTU problem für meinen Server ausmerzen. Vom Server her komme ich nun an alle Seiten im Internet heran, ABER

ein im Netz hängender Win2k Rechner und mein mit Win98 ausgerüstetes Notebook kommen an die entsprechenden Seiten (z.B. GMX) NICHT dran. Nun habe ich mit Hilfe der SuSE7.2 Live-Eval versucht an die Seiten zu kommen, was gelang, nachdem ich die MTU der Netzwerkkarte ebenfalls auf 1492 korrigiert habe. Wie also mach ich dies unter W2K????

Danke für eure Hilfe!!!

Tuxer2000

rfi

24.11.01, 17:24

hi,
an dem Ding habe ich auch lange herumgebastelt.

Es kommt auf die Installationsart an.

Wie hast du T-DSL eingerichtet. Welchen pppd usw...

Grüße
rfi

TUXER2000

25.11.01, 11:11

Hi rfi,
ich habe ADSL mit YAST2 ganz normal eingerichtet.

Einfach YAST2 als SuperUser und dann die entsprechenden Einträge gemacht....!

Wie hast du es gelöst?

Gruß
Tuxer2000

rfi

25.11.01, 15:35

Hi Tuxer2000

Ich nehme an, du hast in in /etc/ppp/options
und in /etc/ppp/peers/pppoe die folgenden Einträge:

mtu 1492
mru 1492

Ich gehe mal davon aus, dass du iptables installiert hast.

Setze in /etc/ppp/ip-up in der Section für das ppp0-device folgenden Eintrag:

ppp*)
.
.
.
ip-up)
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
.
.
.
ip-down)
.
.
.
iptables -D FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

Den ersten Aufruf kannst du auch in einem Startscript einmalig beim Booten aufrufen oder in dein Firewallscript integrieren.

Dadurch wird auf deinem Router MSSClamping gemacht. Die (zu großen) TCP-Diagramme werden auf deinem Router zerschnitten und mit der korrekten Größe wieder zusammengesetzt.

Grüße
rfi

TUXER2000

26.11.01, 08:48

Hi rfi,
zunächstmal vielen Dank, daß du dich um die Sache kümmerst!

Ich habe es so probiert wie du geschrieben hast, aber es funktioniert nicht. Was ist clamss? muß ich das vielleicht noch installieren?

Gruß

TUXER2000

rfi

26.11.01, 12:35

Hi,

ich glaube, du willst nur mit einem Rechner an den Router. Dann kannst du das Problem auf dem Cient lösen. Unten folgt die Lösung.

Es gibt zwei Möglichkeiten.

- Den T-Online Proxy-Server bei den Clients eintragen
- MTU richtig einstellen.

Ich habe mal die zweite Möglichkeit gewählt.

Du kannst dfü-speed2.2 verwenden, um WIN-Clients jeder Version recht optimal auf DSL einzustellen. Ich habe es bereits mit Erfolg getestet.
Einfach rechts unten DSL anwählen und die MTU auf 1472 stellen (nicht 1492!). Änderung schreiben und neu starten.

Proggi gibts unter: www.wintotal.de/softw/netz.htm

Falls du die zentrale Lösung am Router willst, melde dich nochmal!

Grüße
rfi

sigpao

27.11.01, 09:35

Hi,
ich habe so zimlich das gleiche Problem, nur das ich ca. 15 windof pc´s im netz habe und über den Linux Rechner ins Netz will.

Das mit dem mtu und mru habe ich auf dem Linux Rechner auf 1492 gesetzt. Jetzt gehen auch seiten wie gmx von Linux Rechner. Nur das mit dem tool (dfü-speed) die mtu auf 1492 oder besser auf 1472 setzen bringt nix.

Wie sieht den deine zentralle lösung für den Router aus?

Danke

jensundweck

rfi

27.11.01, 11:15

Hi,

dass DfüSpeed nicht funktionieren soll, kann ich kaum nachvollziehen. Ich habe es erfolgreich mit WIN95/98/NT/2000 getestet. Lediglich mit WinME habe ich noch keine Erfahrung. Man muss allerdings eine mtu von 1472 einstellen (1492 funktioniert nicht). Eventuell hast du noch ein anderes Problem.

Meine Erfahrungen mit T-DSL-Routern habe ich nur unter SueSE 7.2/7.3 gemacht. Je nach Installationsform hat man es da mit verschiedenen Konfigurationsfiles zu tun.
(man müsste da mal ne Übersicht zusammenschreiben).

Wenn du die Original-SuSE7.3 Installation über YAST2 wählst, solltest du die vorangegangenen Postings lesen. Hier ist bereist fast alles geklärt.

Wenn du die Installationsform von ADSL4linux (heißt die Seite so?) nimmst, musst du den pppd ab 2.4.1 verwenden. Wer sich gnadenlos an die Anleitung hält, vorher den alten Mist entfernt, kommt damit zum Ziel.

Ich habe jetzt für die Firma die Original-SuSE7.3-Installation mit all den darauf befindlichen Originalpaketen verwendet. Sie war auch im Dauerbetrieb mit hohem Datenaufkommen sehr stabil.

Um dir da weiterzuhelfen, bräuchte man also Informationen darüber, was du bereits gemacht hast (mit welchem System).

Grüße
rfi

sigpao

27.11.01, 14:18

Also erst mal danke für die schnelle Antwort.
Was ich gemacht habe:

Erst mal Suse 7.3 mit Yast2 installiert.
Danach das erste mal T-DSL mit Yast2 konfiguriert was auch sofort funktionierte. Danach aber alles andere manuell (soweit ich?s kapiert hab) konfiguriert.

Smpppd angeschaltet
in der rc.config start_pppoed =yes

die Personal firewall eingeschalter /etc/rc.config.d/security.rc.config
Eintrag:
rejekt_all_ingoming_connections=?ppp0 masq? (denke das müsste so stimmen sonst würde ja eigentlich gar nichts gehen ?)

dial on demand und t-DSL Zugang und 2x T-online DNS eingetragen in
/etc/pppoed.conf

dann hatte ich noch mal in der route.conf stehen gehabt
default 0.0.0.0
das habe ich auch raus geschmissen.....

und all die anderen dinge die ich jetzt vergessen habe?..

denke das Problem ist ?vielleicht ? zu viel experimentiert ??

und du meinst das tool (dfü-speed) funktioniert ??
sicher ist der Anwender das Problem ??.

Jensundweck

rfi

28.11.01, 11:30

Hi,

also ich beschreibe hier mal die SuSE7.3-Grundinstallation.
Teilweise habe ich das schonmal im Forum (Routing) gemacht.
Das Spiel gilt für einen Verbindungsaufbau mit T-Online, dürfte
aber für andere Provider ähnlich abgehen.

Hoffentlich fliege ich wegen der Länge des Postings nicht raus!

Notwendige Pakete
==============
Serie n : ppp (ppp-Daemon 2.4.1-34)
Serie n : smpppd (SuSE Meta ppp Daemon 0.49-4)

Serie sec : iptables (1.2.2.-60)

Nicht installieren
============
Serie sec : ipchains
Serie sec : SuSEfirewall
Serie sec : SuSEfirewall2
Serie sec : personal-firewall

Wenn die Firewall bereits installiert wurde, kann sie in
/etc/rc.config. inkativ geschaltet werden. Nach dem Wort
-firewall- suchen und "no" eintragen.

Ich würde die Firewall deshalb noch nicht aktivieren, da ja zunächst
einmal die pure Verbindung klappen soll. Außerdem muss ich zu-
geben, dass ich nicht weiß, was sie macht, da ich sie noch nie
verwendet habe.

Netzwerkkarte
==========
Hier: eth0
Ein Ping zum Clientrechner muss bereits in beide Richtungen
funktionieren. Ansonsten hier aufhören zu lesen und Kaffee
trinken (oder es liegt am folgenden Punkt).

Statische Routing
============
Nicht alle Routen löschen!
In /etc/route.conf muss zumindest die Route des Netzes auf das
richtige Device (die Netzwerkkarte zeigen). Die erste IP endet
mit einer Null, da hier nicht die Netzwerkkarte, sondern das
gesamte Netz gemeint ist.

10.0.0.0 0.0.0.0 255.0.0.0 eth0

Dieser Routing-Eintrag muss natütlich an deinen IP-Adressraum
angeglichen werden.

Nameserver für den Router
===================
In /etc/resolv.conf sollen zwei Nameserver stehen. Sie werden
dann zwar durch die vom Provider zugewiesenen Nameserver ersetzt,
sollen aber für den Verbindungsaufbau vorteilhaft sein (!?).
Diese beiden Einträge bitte vornehmen:

nameserver 217.5.115.7
nameserver 194.25.2.129

T-DSL installieren
============
Ich habe es mir leicht gemacht und mit YAST2 T-DSL installiert.
Die Fragen, die man da gestellt bekommt, sind eigentlich selbst-
erklärend.
Im Wesentlichen hat man es dann mit drei Konfigurationsdateien
zu tun (da gibt es natürlich noch mehr):

/etc/ppoed.conf
/etc/ppp/options
/etc/ppp/peers/pppoe

Für einen sauberen Verbindungsaufbau genügen Änderung in diesen
drei Dateien, die durch YAST2 bereits angelegt wurden.

/etc/pppoed.conf
============
Meine Datei sieht folgendermassen aus:

# ppp over ethernet
# autogenerated for T-DSL from SuSE YaST2

# the interface
interface = "eth1"

# user and password
user = "daswüsstetihrwohlgern@t-online.de"
password = "sagichnicht"

# dial on demand
demand = "yes"
idle = "360"
dns1 = "217.5.115.7"
dns2 = "194.25.2.129"

Demand nur dann auf "yes" stellen, wenn ein automatischer
Verbindungsaufbau erwünscht ist (Kann bei Nicht-Flatrate sonst
recht teuer werden).

/etc/ppp/options
============
Um das mtu-Problem in den Griff zu bekommen die beiden, bereits
vorhandenen mtu-Einträge wie folgt ändern:

#mru 542
mru 1492
.
.
#mtu <n>
mtu 1492

Weitere Änderungen sind nicht notwendig.

/etc/ppp/peers/pppoe
================
Auch hier tun wir was für das mtu-Problem. Die beiden mtu- und
mru-Werte müssen natürlich mit den Einträgen in der vorangegangenen
Beschreibung übereinstimmen.
Also folgendes ändern:

# mru 1490
# mtu 1490
mtu 1492
mru 1492

Ich habe in beiden Dateien die Originalwerte stehen lassen, damit du
sie besser findest.

ppp-Daemon automatisch starten
========================
In /etc/rc.config start_pppoed =yes einstellen.
Dadurch wird der Daemon bei jedem Neustart mitgestartet.

Überprüfung
=========
Nach einem Neustart (oder Restart der entsprechenden NetzwerkServices)
sieht man schon an den Meldungen, dass die entsprechenden Daemon gestartet
werden. Wer Demand auf "yes" stehen hat, sieht nach Eingabe des Befehls
ifconfig bereits sein ppp0-device. Jetzt kann man schon händisch eine
Verbindung vom Router aus zum Provider vornehmen - oder hier weitermachen.

Firewall und Forwarding usw.
=====================
Was man jetzt noch braucht ist folgendes:

- Durchreichen der Pakete von einem Netzwerkdevice (eth0) zum
Anderen (ppp0) durch Forwarding.
- Eine einigermassen lauffähige Firewall
- Lösung des mtu-Problemes in der nat-Tabelle
- Ein Mechanismus, der bei jeder Neueinwahl beim Provider die
aktuell zugewiesene Provider IP in das Firewall-Script einträgt.

Einstellungen beim Verbindungsaufbau/Verbindungsabbau
=========================================
Das kann man sehr flexibel lösen. In /etc/ppp/ gibt es die Datei ip-up,
die jeweils beim Verbindungsab/aufbau vom ppp-Daemon aufgerufen wird.
Jetz kommt was, was ich bereits schon mal gepostet habe. Ich kopier das
einfach mal hier rein:

In /etc/ppp/ip-up schreibt man die Start- und Stop-Bedingung der Firewall
rein:

ppp*)
.
.
ip-up)
/etc/myFirewall start
.
.
.
.
ip-down)
/etc/myFirewall stop
.
.
.

Achte darauf, dass diese Script-Aufrufe gleich am Anfang stehen.
Der erste Aufruf startet deine Firewall, wenn du die Verbindung herstellst.
Der zweite Aufruf löscht deine Firewall-Regeln, wenn aus irgendeinem
Grund die Verbindung beendet wird (das ist nicht unbedingt unumstritten,
wenn sich hier auch Firewallregeln für das Intranet befinden).

Forwarding usw.
============
Das Durchreichen der Pakete, Filtern und die automatische IP-Zuordung habe
ich in mein Firewall-Script gepackt. Es gibt also dann in /etc/ das
Script: myFirewall. Auch hier mach ich mal eine Kopie von einem vorangegangenen
Posting:

In /etc muss das Firewall-Script: myFirewall, wie später folgt, erstellt werden.
Ich habe hier eine abgespeckte Version meiner Firewall beigepackt.
Sie macht so das Notwendige.

Zunächst holt sie deine vom Provider aktuell zugewiesene IP.
In LOCALNET= schreibst du deinen internen Netzwerk-IP-Bereich rein.
IF_INT ist dein internes Interface (Netzwerkarte Intranet).

Dann werden einige Kernel-Parameter gesetzt, die man auch in /etc/rc.config
setzen könnte.

Nun kommt so ein bisschen Weiterleiten und Wegwerfen. BattleCom zeigt, wie man
Ports in das Intranet an einen Rechner weiterleiten kann.

Natürlich findest du hier im Forum jede Menge Firewalls, die wesentlich besser
sind als diese Rumpflösung. Das wäre dann dein Ding, dich da schlau zu machen.

Kopiere die folgenden Zeilen also nach /etc/myFirewall und mache das Script
myFirewall mit: chmod +x myFirewall startbar.

#!/bin/sh

IPTABLES=/usr/sbin/iptables
SBIN=/usr/sbin
IF_INT=eth0
IF_EXT=ppp0
LOCALNET="10.0.0.0/24"
EXT_IP=`ifconfig ppp0|grep "inet addr"|cut -d':' -f2|cut -d' ' -f1`

base=${0##*/}
link=${base#*[SK] [0-9] [0-9]}
#
case "$1" in

start)

#
# reset the default policies
#
$IPTABLES -F
$IPTABLES -t nat -F

# Kernel
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/ip_dynaddr

#
# Default Policy auf DENY
#
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP
#
# Postrouting
#
$IPTABLES -A POSTROUTING -t nat -o $IF_EXT -j SNAT --to $EXT_IP
#
# Prerouting
#
$IPTABLES -A PREROUTING -t nat -i $IF_INT -s $LOCALNET -j ACCEPT
$IPTABLES -A PREROUTING -t nat -i $IF_EXT -p tcp -m state --state related,established -j ACCEPT
$IPTABLES -A PREROUTING -t nat -i $IF_EXT -p udp -m state --state related,established -j ACCEPT
#
# BattleCom
#
$IPTABLES -A PREROUTING -t nat -d $EXT_IP -p tcp --destination-port 2300:2400 -i $IF_INT -j DNAT --to 10.0.0.5
$IPTABLES -A PREROUTING -t nat -d $EXT_IP -p udp --destination-port 2300:2400 -i $IF_INT -j DNAT --to 10.0.0.5
$IPTABLES -A PREROUTING -t nat -d $EXT_IP -p tcp --destination-port 47624 -i $IF_INT -j DNAT --to 10.0.0.5:47624
#
# Forward
#
$IPTABLES -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
$IPTABLES -A FORWARD -t filter -i $IF_INT -o $IF_EXT -j ACCEPT
$IPTABLES -A FORWARD -t filter -i $IF_EXT -o $IF_INT -m state --state related,established -j ACCEPT
#
# zusätzliche OUTPUT rules
#
$IPTABLES -A OUTPUT -p all -o $IF_EXT -j ACCEPT
#
# zusätzliche INPUT rules (icmp)
#
$IPTABLES -A INPUT -p icmp -m icmp --icmp-type 0 -i $IF_EXT -j ACCEPT
$IPTABLES -A INPUT -p icmp -m icmp --icmp-type 3 -i $IF_EXT -j ACCEPT
$IPTABLES -A INPUT -p icmp -m icmp --icmp-type 4 -i $IF_EXT -j ACCEPT
$IPTABLES -A INPUT -p icmp -m icmp --icmp-type 8 -i $IF_EXT -j ACCEPT
$IPTABLES -A INPUT -p icmp -m icmp --icmp-type 11 -i $IF_EXT -j ACCEPT
$IPTABLES -A INPUT -p icmp -m icmp --icmp-type 12 -i $IF_EXT -j ACCEPT
#
# zusätzliche INPUT rules
#
$IPTABLES -A INPUT -i $IF_INT -j ACCEPT
$IPTABLES -A INPUT -p tcp --destination-port 22 -m tcp -i $IF_EXT -j ACCEPT
$IPTABLES -A INPUT -p udp --destination-port 22 -m udp -i $IF_EXT -j ACCEPT
$IPTABLES -A INPUT -p tcp --source-port 42 -m state --state ESTABLISHED -i $IF_EXT -j ACCEPT
$IPTABLES -A INPUT -p udp --source-port 42 -m state --state ESTABLISHED -i $IF_EXT -j ACCEPT
$IPTABLES -A INPUT -p tcp --source-port 21 -m state --state ESTABLISHED -i $IF_EXT -j ACCEPT
$IPTABLES -A INPUT -p tcp --source-port 20 -m state --state ESTABLISHED -i $IF_EXT -j ACCEPT
#$IPTABLES -A INPUT -p udp -s icq.mirabilis.com --source-port 4000 -i $IF_EXT -j ACCEPT
$IPTABLES -A INPUT -p tcp --source-port 1024: -m state --state ESTABLISHED -i $IF_EXT -j ACCEPT
$IPTABLES -A INPUT -p tcp --source-port 25 -m state --state ESTABLISHED -i $IF_EXT -j ACCEPT
$IPTABLES -A INPUT -p udp --source-port 25 -m state --state ESTABLISHED -i $IF_EXT -j ACCEPT
$IPTABLES -A INPUT -p tcp --source-port 110 -m state --state ESTABLISHED -i $IF_EXT -j ACCEPT
$IPTABLES -A INPUT -p udp --source-port 110 -m state --state ESTABLISHED -i $IF_EXT -j ACCEPT
#
$IPTABLES -A INPUT -t filter -p 50 -j ACCEPT
$IPTABLES -A INPUT -t filter -p 51 -j ACCEPT
$IPTABLES -A INPUT -t filter -p udp --dport 500 -j ACCEPT
#
$IPTABLES -A OUTPUT -o $IF_INT -j ACCEPT
$IPTABLES -A INPUT -p all -i lo -j ACCEPT
$IPTABLES -A OUTPUT -p all -o lo -j ACCEPT
$IPTABLES -A FORWARD -p all -o lo -j ACCEPT
$IPTABLES -A INPUT -p all -i dummy0 -j ACCEPT
$IPTABLES -A OUTPUT -p all -o dummy0 -j ACCEPT
$IPTABLES -A FORWARD -p all -o dummy0 -j ACCEPT
#
# alles was rausfällt ins Log schreiben
#
$IPTABLES -A INPUT -p all -j LOG --log-level info --log-prefix "firewall"
$IPTABLES -A OUTPUT -p all -j LOG --log-level info --log-prefix "firewall"
$IPTABLES -A FORWARD -p all -j LOG --log-level info --log-prefix "firewall"
;;

stop)

#
# reset the default policies in the filter table
#
$IPTABLES -F INPUT
$IPTABLES -F OUTPUT
$IPTABLES -P FORWARD
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -t nat -F

;;

status)
$IPTABLES -v -L|less
;;

*)
echo "usage $0 start | stop"
;;

esac

exit 0

Einstellungen bei den WIN-Clients
========================
Die Win-Clients, die über den Router in's Internet sollen, brauchen auch
Einträge in den Netzwerkeigenschaften.

Netzwerk->Internetprotokoll (TCP/IP)->Eigenschaften

IP-Adresse : 10.0.0.1 Lokale Adress des WinClients
Subnetz Maske : 255.0.0.0 (Subnetz) - Eigenes Subnetz eingeben!
Standardgateway : 10.0.0.3 (Adresse des Routers (etho)) - Eigenen Wert eingeben!

Bevorzugter DNS-Server : 194.25.2.129
Alternativer DNS-Derver : 212.185.253.136

Die beiden DNS-Server M Ü S S E N bei jedem Client eingetragen werden.
Eine mtu-Anpassung ist nicht mehr notwendig, da der Router das übernimmt.

Beten
=====
So ich nichts vergessen habe, sollte alles funktionieren. Das war das
längste Posting meines Lebens. Wenn irgendwo Blödsinn steht, bitte eine
Antwort schreiben. Das hilft dann wohl allen weiter.

Grüße
rfi

MrIch

28.11.01, 11:43

wieso stellt du auf den Client nicht den Router als DNS Server ein, ...

Dafür müßtet du doch nur einen forwarding dns einrichten!