Habe folgendes problem will von einem internen netzwerk über einen suse rechner ins internet weiterrouten!

Aufbau sieht folgend aus:

internes netz (192.168.2.xxx) -- Suse (intern 192.168.2.2, extern 192.168.242.30) -- router (192.168.242.140)

Konfiguration is so gewünscht!

Das problem ist nun folgendes, ich kann vom linux pc ins internet und auch der ping funktioniert local in alle richtungen!
Vom client pc aus kann ich aber nur noch die interne und externe ip anpingen, der ping zum router funktioniert schon nicht mehr!

Kennt einer das problem?

ip_forward ist aktiviert

Bin schon völlig verzweifelt!

Joe

was sagt netstat -rn auf dem Router und auf dem client?

Auf dem router direkt darf ich nicht drauf!
Habe nur die router adresse!

Also was netstat anzeigt sieht am server in ordnung aus, nur am win xp client kommt er anscheinend nicht raus!

Was sollte er anzeigen, bzw. nicht anzeigen?
Ich kenne den netstat befehl nicht so gut!

danke schonmal

Joe

Susefirewall schon deaktiviert?
Wie sehen denn deine ifconfig und routingtables aus auf den beiden Hosts?

Thomas

Firewall ist deaktiviert!

Bin jetz schon ein stück weiter, mein client kann jetz bei einem ping auf ne webseite schon den namen auflösen, ging vorher nicht!
Das heißt doch das ich schon mal über die richtige route raus komme!
Nur irgendwas blockiert den datenverkehr zurück!

Oder was denkt ihr!

Werd jetz mal in den tables nachsehn!
Kann ich dort auch irgendwo eintragen welchen weg eine anfrage ins internet nehmen muss?

danke

Joe

Kann ich dort auch irgendwo eintragen welchen weg eine anfrage ins internet nehmen muss?

danke

Joe

Ja, das macht man über das Default Gateway. Am Client muß die interne IP der Linux-Box stehen und auf der Linuxbox die IP des Routers an das externe Interface gebunden.

Thomas

Das hab ich ja!

An meinem client is die ip 192.168.2.2 als gateway und als dns!
Und die netzwerkkarte is am linux rechner so konfiguriert das 192.168.242.140 als gateway ist, also der router!

Das witzige ist ja, wenn ich den ie am winpc öffne und als suchanfrage z.B.: www.google.at eingebe löst er mir den namen auf aber er läd die seite nicht!

Hab mal versucht an der anderen seite statt dem router einen laptop anzuschließen und einige pings versucht!

192.168.242.30 (externe seite des linux rechners) funktioniert
192.168.2.2 (interne seite linux) funktioniert nicht!

Vom Linux pc kann ich aber überall hin pingen!
Und von der internen seite erreiche ich ja wenigstens noch die externe nummer des linux rechners!
Normal müsste das pingen doch in alle richtungen gleich funktionieren! Oder?

Joe

Theoretisch ja, aber bevor hier weiter spekuliert wird, poste mal die gefordeten Ausgaben (ipconfig /all bzw. ifconfig und route -n).
Und noch ein tracert [router-ip] (heisst das so unter win?)

Thomas

So also

ipconfig /all (vom client):

Windows IP-Konfiguration
Hostname..............: Servicelaptop
Primärer DNS Suffix.:
Knotentyp.............: Broadcast
IP-Routing aktiviert : Nein
Wins-Proxy aktiviert: Nein

Ethernetadapter Lan-Verbindung:
Verbindungsspezifische DNS-Suffix :
Beschreibung........................... : Realtek RTL8139
Physikalische Adresse................. : 00-0A-E4-47-4F-28
DHCP aktiviert............................: Nein
IP-Adresse................................: 192.168.2.1
Subnetzmaske...........................: 255.255.255.0
Standardgateway.......................: 192.168.2.2
DNS Server...............................: 192.168.2.2
195.3.96.67

Tracert sieht so aus:

Routenverfolgung zu 192.168.242.140 über maximal 30 Abschnitte

1 * * * Zeitüberschreitung der Anforderung
so gehts die ganze schneiße runter


Soweit mal der client!

Und nun der linux rechner

route -n gibt folgendes aus:

Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref

192.168.242.0 0.0.0.0 255.255.255.0 U 0 0
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0
0.0.0.0 192.168.242.140 0.0.0.0 UG 0 0

Use Iface

0 eth2
0 eth0
0 eth0
0 lo
0 eth2

Und ifconfig

eth0
Link encap: Ethernet HWaddr 00:13:46:99:00:09
inet addr: 192.168.2.2 Bcast: 192.168.2.255 Mask: 255.255.255.0
inet6 addr: fe80:213:46ff:fe99:9/64 Scope: Link
UP Broadcast Running Multicast MTU: 1500 Metric: 1
RX packets: 86 errors:0 dropped:0 overruns: 0 carrier:0
TX packets: 25 errors:0 dropped:0 overruns: 0 carrier:0
collisions: 0 txqueuelen: 1000
RX bytes: 9282 (9.0 Kb) TX bytes: 2272 (2.2 Kb)
Interrupt: 169 Base adress: 0x1000

eth2
Link encap: Ethernet HWaddr 00:17:A4:10:5C:A3
inet addr: 192.168.242.30 Bcast: 192.168.242.255 Mask: 255.255.255.0
inet6 addr: fe80:217:a4ff:fe1d:5ca3/64 Scope: Link
UP Broadcast Running Multicast MTU: 1500 Metric: 1
RX packets: 334 errors:0 dropped:0 overruns: 0 carrier:0
TX packets: 21 errors:0 dropped:0 overruns: 0 carrier:0
collisions: 0 txqueuelen: 1000
RX bytes: 24498 (23.9 Kb) TX bytes: 2097 (2.0 Kb)
Interrupt: 177


Ich hoffe ihr könnt was anfangen damit

danke

Joe

Eigenartig, sieht für mich ok aus (dass der tracert gar nichts zeigt ist schade), auch wenn ifconfig auf der Linuxbox noch fehlt. Grund für das "Mißtrauen" sind die immer wieder vorkommenden Fehlinterpretationen der Fragesteller ("..ist alles richtig konfiguriert..").

Vlt. postest du den ifconfig doch noch.
Und ip_forward ist wirklich aktiviert?

Ich würde dann mal den ethereal auf der Linuxbox anwerfen.

Thomas

Ja ip_forward ist unter routing aktiviert!
Aber gibts nicht irgendwo ne conf datei oder so damit ich nachsehen kann ob es wirklich 100% aktiv ist?
Langsam verlier ich echt die nerven!
Nur stress mit der mühle! Und dann vlt nur wegen einer kleinen einstellung!

Wo kann ich das ethereal einschalten?

danke

Joe

ifconfig sieht leider auch gut aus.

ethereal startest du einfach in einem root-terminal.
Dann einfach Aufzeichnung starten (alle Interfaces auswählen), einen Ping vom Client zum Router starten, Aufzeichnung beenden und das Ergebnis beurteilen.
Da sollte man dann sehen, ob der ICMP Request ankommt und weitergeleitet und ob noch eine Antwort vom Router kommt.

Vielleicht hat ja jemand noch weitere Ideen.

Thomas

Das programm is aber im suse nicht standardmäßig enthalten oder?
Muss ich downloaden?

Joe

Sorry mein fehler!
Schon gefunden!

Das programm is aber im suse nicht standardmäßig enthalten oder?

Doch.


Muss ich downloaden?

Joe

Nein, es sei denn, Du hast keine CD/DVD.

Greetz,

RM

So danke!
Installiert und ausprobiert!

Trotzdem nichts dabei raus gekommen das mir helfen könnte!

Beim ping auf externe seite siehts so aus:

Source Destination

192.168.2.1 192.168.242.30 request
192.168.242.30 192.168.2.1 reply


Beim ping auf router wirds nur noch eintönig:

Source Destination

192.168.2.1 192.168.242.140 request
das mal 4 und das wars!

keine antwort von irgendeiner seite, keine sperrmeldung, nichts!
Also ich denke mal das die externe seite des Linux pcs sperrt! Die frage is nur ob beim rein oder raus senden!

Joe

Also irgendwas stimmt da mit der IP-routing engine / Firewall nicht. Entweder das Ding forwarded gar nicht oder irgendeine netfilter Regel paßt nicht. Aber ich habe hier leider Zero Erfahrungen, wie man da diagnostizieren kann.

Sorry.

Greetz
Thomas

Ok danke trotzdem für deine tipps!

Joe

Das hab ich ja!

An meinem client is die ip 192.168.2.2 als gateway und als dns!


bist du dir sicher das au der dem Linuxrechner ein dnsserver läuft? ich würde eher die adresse des routers angeben.

bist du dir sicher das au der dem Linuxrechner ein dnsserver läuft? ich würde eher die adresse des routers angeben.

Solange der Ping zum Router nicht geht, brauchen wir uns um die Namensauflösung (die übrigens auch funktioniert laut Threadowner) nicht zu sorgen.

Thomas

PS; Das wäre noch ein Workaround: aktiviere den Squid-Proxy auf der Linux-Box und surfe über diesen. Das sollte gehen.

Was muss ich bei der squid proxy aktivierung beachten?
Da muss ich dann ja in der squid.conf was umschreiben oder!

Und muss ich dann bei den networkdevices die route raus nehmen oder sowas?

Danke

Joe

Was muss ich bei der squid proxy aktivierung beachten?
Da muss ich dann ja in der squid.conf was umschreiben oder!

Und muss ich dann bei den networkdevices die route raus nehmen oder sowas?

Danke

Joe

Soweit ich mich erinnere, funnktioniert der Proxy sofort nach Aktivierung durch YAST ohne weitere Einstellungen. Am Client-Browser musst du die IP des Proxy hinterlegen (<IP>:3128). Völlig transparent ginge auch, aber dazu muss man dann etwas mehr tun.
Eine zusätzliche direkte Verbindung stört nicht (selbst wenn sie funktionieren würde :o ) - außer man macht das aus Sicherheitsgründen.

Greetz
Thomas

Ja aber muss ich nicht bei http_acess auf allow all umstellen?

Ja aber muss ich nicht bei http_acess auf allow all umstellen?

War bei mir nicht nötig, YAST hat eine sinnvolle Filterkaskade eingerichtet, die irgendwo ein allow our_networks und am Schluß ein deny all hat. Das hat sofort geklappt, aber wenn es nicht gleich gehen sollte, dann, ja, wäre "allow all" sicher ok.

Diese Access-Policy ist aber im Config-File recht gut erklärt.

Greetz
Thomas

So habe squid nun installiert und gestartet!

Wenn ich am client den browser öffne bekomme ich nur die meldung:

the request url could not be retrieved!

access denied


Ich weiß nicht mehr was ich noch tun soll!
Die zeit drängt immer mehr und es funktioniert einfach nicht wie es soll!

So habe squid nun installiert und gestartet!

Wenn ich am client den browser öffne bekomme ich nur die meldung:

the request url could not be retrieved!

access denied


Ich weiß nicht mehr was ich noch tun soll!
Die zeit drängt immer mehr und es funktioniert einfach nicht wie es soll!

Auf der Linux-Box kannst du die URL aber ansurfen?
Geht das auch, wenn du auch diesen Browser auf den (lokalen) Proxy konfigurierst?
Und wie sieht es (ggf. für alle drei Client-Varianten) aus, wenn du statt einem Namen eine IP ansurfst? (Um die Namensauflösung mal aus dem Spiel zu nehmen).
Und was steht in /var/log/squid/access.log?

Fragen über Fragen....

(kaufe dir doch für 50 Euro einen Router (oder einen Switch für 20, wenn du due Netztrennung doch nicht brauchen solltest), wenn es dir dann zu doof wird....)

Thomas

Zu doof ist es mir eh, nur is diese konfiguration so gefordert, leider!

Habe den auftrag so von meinem boss erhalten!
Und so muss es zum schluss auch laufen!

Habe jetz mal so probiert das ich den Proxy in unser firmennetz hänge und bei einigen clients als gw die proxy ip eingetragen und siehe da, so funktionierts!
Allerdings habe ich im internetexplorer die proxy ip und den port nicht eingetragen!
Wenn ich das mache kann ich die seite zwar anpingen aber nicht surfen!

Langsam fang ich schon an von pings und netzwerkkonfigurationen zu träumen!
Das is nicht mehr lustig!

Joe

Habe jetz mal so probiert das ich den Proxy in unser firmennetz hänge und bei einigen clients als gw die proxy ip eingetragen und siehe da, so funktionierts!


Welches Firmennetz - hatten wir das schon?
GW: das ist doch das, was du urspgl. wolltest: IP-Routing (und die Linux Box war doch da schon als IP-Gateway eingetragen, oder nicht!?)
Habe nicht verstanden, was jetzt der Stand ist.

Wenn das wirklich für deine Firma ist, dann hätte ich schon längst einen kleinen Router gekauft. Allerdings hätte die Proxy-Lösung (mit gekappten Routen) weitergehende Security-Möglichkeiten als ein (IP-filternder) Router (der ja auf Port 80 in der Regel alles durchläßt).

Greetz
Thomas