Hallo,
nachdem ich nun schon einige Tage ge’googleed habe und trotzdem noch nicht
weiter gekommen bin, muß ich mich doch nun mal an euch wenden (vielleicht
bin ich ja auch nur zu doof die richtige Lösung zu finden?!).
In meinem Netzwerk (192.168.170.0) möchte ich mit meinem Linux-Server
(Suse 9.2) mit ISDN-Modem die Windows-XP-Clients ins Internet bringen. Auf
dem Linux-Rechner ist das kein Problem (er bekommt ohne Probleme die
Verbindung), die Windows-Rechner bekommen aber keine Verbindung. Auf dem
Linux-Server ist ein DHCP und ein DNS am Laufen, die auch funktionieren.
Firewall ist abgeschaltet, da hatte ich meine ersten Probleme… (Da
kümmere ich mich dann später darum, wenn das andere funktioniert). Komisch
ist auch, dass vom XP-Client aus, die Namen mit ping in IP-Adressen
aufgelöst werden können, die Adresse ansich aber nicht gefunden wird:
C:\>ping google.de
Ping google.de [216.239.39.104] mit 32 Bytes Daten:
Zeitberschreitung der Anforderung.
…
Vielleich kann mir ja jemand weiter helfen?!
Grüße
Martin
Hier noch ein paar Infos auf Linux Seite:
ifconfig ohne ISDN-Verbinung:
mf-server:~ # ifconfig
eth0 Link encap:Ethernet HWaddr 00:11:09:C6:C6:71
inet addr:192.168.170.1 Bcast:192.168.170.255
Mask:255.255.255.0
inet6 addr: fe80::211:9ff:fec6:c671/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:7795 errors:0 dropped:0 overruns:0 frame:0
TX packets:8180 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:3992104 (3.8 Mb) TX bytes:3592419 (3.4 Mb)
Interrupt:11 Base address:0xe600
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:5386 errors:0 dropped:0 overruns:0 frame:0
TX packets:5386 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:1391894 (1.3 Mb) TX bytes:1391894 (1.3 Mb)
…und mit ISDN-Verbinung:
mf-server:~ # ifconfig
eth0 Link encap:Ethernet HWaddr 00:11:09:C6:C6:71
inet addr:192.168.170.1 Bcast:192.168.170.255
Mask:255.255.255.0
inet6 addr: fe80::211:9ff:fec6:c671/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:7808 errors:0 dropped:0 overruns:0 frame:0
TX packets:8192 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:3993930 (3.8 Mb) TX bytes:3594016 (3.4 Mb)
Interrupt:11 Base address:0xe600
ippp0 Link encap:Point-to-Point Protocol
inet addr:217.184.118.58 P-t-P:213.20.173.129
Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP DYNAMIC MTU:1500 Metric:1
RX packets:9 errors:0 dropped:0 overruns:0 frame:0
TX packets:9 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:30
RX bytes:152 (152.0 b) TX bytes:180 (180.0 b)
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:5473 errors:0 dropped:0 overruns:0 frame:0
TX packets:5473 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:1405516 (1.3 Mb) TX bytes:1405516 (1.3 Mb)
..und das Routing:
mf-server:~ # route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use
Iface
192.168.170.0 0.0.0.0 255.255.255.0 U 0 0 0
eth0
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0
eth0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
und dann auf Windows (Client) Seite:
C:\>nslookup google.de
*** Der Servername fr die Adresse 192.168.170.1 konnte nicht gefunden
werden: Server failed
*** Die Standardserver sind nicht verfgbar.
Server: UnKnown
Address: 192.168.170.1
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
*** Zeitberschreitung bei Anforderung an UnKnown
C:\>route print
===========================================================================
Schnittstellenliste
0x1 ……………………… MS TCP Loopback interface
0x2 …00 02 e3 20 39 c6 …… NETGEAR FA311-Fast Ethernet-Adapter –
Paketplaner-Miniport
===========================================================================
===========================================================================
Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle
Anzahl
0.0.0.0 0.0.0.0 192.168.170.1 192.168.170.200
20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1
1
192.168.170.0 255.255.255.0 192.168.170.200 192.168.170.200
20
192.168.170.200 255.255.255.255 127.0.0.1 127.0.0.1
20
192.168.170.255 255.255.255.255 192.168.170.200 192.168.170.200
20
224.0.0.0 240.0.0.0 192.168.170.200 192.168.170.200
20
255.255.255.255 255.255.255.255 192.168.170.200 192.168.170.200
1
Standardgateway: 192.168.170.1
===========================================================================
St?dige Routen:
Keine
Hallo Martin,
da fallen mir zwei Möglichkeiten ein. Ist auf dem Linux Rechner IP-Forwarding, also das Weiterleiten der Netzwerkpakete über den Rechner hinweg, aktiviert? Was gibt denn folgender Befehl als Root aus: # cat /proc/sys/net/ipv4/ip_forward 1
Wenn da statt der “1” eine “0” steht, musst Du IP-Forwarding aktivieren.
Zweite Frage: Hast Du auf dem Linux Rechner ein Masquerading konfiguriert? Denn ansonsten gehen die Ping Pakete mit der Absendeadresse 192.168.170.200 ins Internet raus. Die Antwortpakete können natürlich nicht rückwärts geroutet werden. Was ist denn die Ausgabe von: # iptables -t nat -nvL
Harald
Hi,
dein Problem ist recht einfach, du musst NAT oder Masquarding einschalten sonst werden die Win Rechner so nicht ins Internet kommen.
Du hast einen Privaten IP Bereich gewählt und der lässt sich nicht ins Internet routen.
Die DNS Auflösung funktioniert deshalb weil deine Win Rechner den lokalen DNS SErver fragen und dieser DNS Server löst die IP Adresse für die Clients auf und schickt die Antwort an deine Win Rechner.
Du hast 2 Möglichkeiten die Win Rechner surfen zu lassen:
1. Proxy Server (z.B. Squid)
Du Installierst einen Proxy Dienst auf dem Linux Rechner z.B. Squid. So erledigt der Squid dienst die Anfragen an das Internet und liefert die Antwort an die Win Rechner. Hat den Vorteil das die Win Rechner nicht direkt mit dem Internet verbunden sind. Über den Proxy geht aber nur ftp, http usw. kein pop3/smtp.
2. NAT/Masquarading
Du installierst die Firewall und richtest ein Masquarding ein. Das bedeutet das die Privaten IP Pakete aus deinem lokalen Netz mit einer offiziellen IP Adresse vom Linux Rechner gekapselt (Masquarading) und dann ins Internet gesendet.
Bei Nat wird der IP-Header durch einen mit einer offiziellen IP versehenden Header ersetzt.
So bekommst du die Rechner voll ins Internet.
Wenn du noch weitere Hilfe brauchst kannst dich ja bei mir melden.
Gruß
as
Hallo,
erst einmal danke für eure Antworten.
Folgendes habe ich nun geändert:
– Konfiguration Firewall:
interne Schnittstelle eth0
externe Schnittstelle ippp0
Daten weiterleiten und Masquerading durchführen
Traceroute erlauben
Problem ist nun, dass ich nun auch vom Linux-Rechner selber nicht mehr nach aussen komme.
Ich vermute, dass meine Route noch falsch ist (ippp0-P-t-P:213.20.173.129, ippp0-IP-Adresse dynamisch):
/etc/sysconfig/network/routes:
192.168.170.0 0.0.0.0 255.255.255.0 eth0
213.20.173.129 0.0.0.0 255.255.255.255 ippp0
default 213.20.173.129
route -n ohne ISD-Verbindung:
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.170.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
route -n mit ISD-Verbindung:
Destination Gateway Genmask Flags Metric Ref Use Iface
213.20.173.129 0.0.0.0 255.255.255.255 UH 0 0 0 ippp0
192.168.170.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 213.20.173.129 0.0.0.0 UG 0 0 0 ippp0
Habt ich da noch einen Tipp für mich???
Danke
Martin
Noch zur Info:
mf-server:~ # cat /proc/sys/net/ipv4/ip_forward
1
mf-server:~ # iptables -t nat -nvL
Chain PREROUTING (policy ACCEPT 113 packets, 12955 bytes)
pkts bytes target prot opt in out source destination
Chain POSTROUTING (policy ACCEPT 536 packets, 48470 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Hi,
ich habe mal hier auf unserem Server nachgeschaut was gesetzt werden muss.
– FW_Dev_EXT=”ippp0″
– FW_DEV_INT=”eth0″
– FW_Route=”yes”
– FW_MASQ_NETS=”192.168.0.0/24″
Zusätzlich kannst du noch folgendes setzen:
schützt die Firewall vor dem internen Netz
– FW_PROTECT_FROM_INTERNAL=”yes”
schüzt die Dienste (Die Suse Firewall kennt einige Dienst Samba Squid, dann musst du aber die Ports freischalten!!!)
– FW_AUTOPROTECT_SERVICES=”yes”
hier musst du die Ports eintragen die intern benötigt werden:
– FW_SERVICES_INT_TCP=”80,443,” (80=http 443=SSL)
– FW_SERVICES_INT_UDP=”52,” (53=DNS Abfragen)
Die komplette Auflistung der Ports findest du in der Datei Services (/etc)
Damit sollte es eigentlich laufen.
Gruß
as
hab noch was vergessen:
Routen musst du im System nicht mehr setzen. Das erledigt jetzt die Susefirewall.
Private IP-Bereiche (z.B. 192.168.0.1/24) lassen sich nicht ins Internet routen. nur per Masq. oder mit NAT.
Hallo,
danke für eure Hilfe! Dass man nicht mehr Routen muss war ein guter Hinweis! Allerdings habe ich jetzt trotzdem noch tagelang rumprobiert und schon an mir selber gezweifelt. Und dann die profane Idee:
Auf den Windowsrechnern war eine Kerio-Firewall installiert.
Diese angeschaltet und es geht!!! :-)))))
Grüße
Martin
Sorry,
Da hat sich doch wieder ein Tippfehler eingeschlichen!!
Natürlich habe ich die Firewall abgeschaltet!!
Grüße
Martin
