[Linux] Statisch IP - PC ziet alleen router, geen andere pc - Linux en overige clients

zondag 19 maart 2006 10:39

Acties:

Mislukt misantroop

Topicstarter

Hallo, ik ben aan het experimenteren met statische IP's op m'n draadloos netwerk. Dat is als volgt geconfigureerd:
- Asus WL-500G Deluxe AP / router
- RaLink RT2500 clients

Het AP / router functioneert ook als DNS server voor het netwerk.

Router heeft IP 192.168.1.1. Een van mijn clients heb ik een IP van 192.168.1.15 gegeven (de server, zodat ik niet altijd naar z'n IP moet zoeken...). Daarvoor heb ik het volgende gedaan:

code:

1
2
3

ifconfig ra0 192.168.1.15
cat "nameserver 192.168.1.1" >> /etc/resolv.conf
route add default gw 192.168.1.1

Hierna krijg ik een functioneel netwerk. Ik kan de server pingen, en ook het web (Google bijvoorbeeld). Downloaden met wget enz. (ik log via SSH in op de server) loopt feilloos. Alleen kan ik blijkbaar geen andere PC's in het netwerk pingen (wat wél werkt wanneer ik mijn ra0 via DHCP laat configureren). Hoe kan ik dat oplossen?

Ik heb dit hier gezet omdat er misschien linux-specifieke commando's en/of config files voor nodig zijn.

Got Leenucks? | Debian Bookworm x86_64 / ARM | OpenWrt: Empower your router | Blogje

zondag 19 maart 2006 14:33

Acties:

cherwin

Hoe probeer je jouw client pc's te pingen? Via de hostnames dat in de dns server staan of via een direct ip? Laat eens de route table zien d.m.v. het commando 'route'.

Tell me your problem, not the solution you think I should build for you.

zondag 19 maart 2006 14:53

Acties:

Borromini

Mislukt misantroop

Topicstarter

Via de IP's zelf. Ik zal als ik thuis ben route es uitvoeren.

Got Leenucks? | Debian Bookworm x86_64 / ARM | OpenWrt: Empower your router | Blogje

zondag 19 maart 2006 16:02

Acties:

Verwijderd

Borromini schreef op zondag 19 maart 2006 @ 14:53:
Via de IP's zelf. Ik zal als ik thuis ben route es uitvoeren.

Doe een route - route print op Windows - op je Linux machine en je op je machines waar je via DHCP een IP nummer krijgt.

Het verschil zal zeer waarschijnlijk zijn, de entry voor het netwerk zijn 192.168.1.0 met als gateway 192.168.1.1

zondag 19 maart 2006 16:55

Acties:

Borromini

Mislukt misantroop

Topicstarter

Ok, mijn excuses... Blijkbaar maakt het geen verschil, statisch of DHCP. Nochtans staat mijn AP dus niet op isolated mode (om pc's van mekaar af te schermen). Ik kan perfect SSH'en naar de server, en nfs shares ervan mounten op m'n laptop.

Het resultaat van route:

code:

root[stijn]# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.1.0     *               255.255.255.0   U     0      0        0 eth0
loopback        *               255.0.0.0       U     0      0        0 lo
default         my.router       0.0.0.0         UG    0      0        0 eth0

my.router = de Asus WL-500G. Er staat inderdaad 192.168.1.0 tussen... Alleen weet ik niet op wat het slaat (is dat het netwerk op zich?). Mijn router heeft 192.168.1.1 als IP, mijn server nu 192.168.1.15, en de laptop 192.168.1.5 (ik heb de veelvouden van vijf toegewezen als statische IP's, werkt makkelijker als er andere pc's op het netwerk komen).

Got Leenucks? | Debian Bookworm x86_64 / ARM | OpenWrt: Empower your router | Blogje

zondag 19 maart 2006 18:23

Acties:

frankivo

cat "nameserver 192.168.1.1" >> /etc/resolv.conf

je moet gebruik maken van echo ipv cat

code:

1 2	cat "hoi" cat: hoi: No such file or directory

dat gaat niet helemaal goed namelijk

iRacing Profiel

zondag 19 maart 2006 18:31

Acties:

cherwin

Dat klopt zeer zeker, maar hij kan de pc's in het netwerk niet pingen als hij een direct ip opgeeft
en daarvoor heb je geen dns nodig. Dus is het even niet van belang of dns wel of niet goed staat ingesteld.

Dit probleem is wel heel vaag, ik neem aan dat je de firewalls uit hebt staan, omdat je normaal wel kan pingen. Vergelijk de statische netwerk instellingen eens met die van de dhcp verkregen instellingen.

Tell me your problem, not the solution you think I should build for you.

zondag 19 maart 2006 18:31

Acties:

Verwijderd

Borromini schreef op zondag 19 maart 2006 @ 16:55:
Ok, mijn excuses... Blijkbaar maakt het geen verschil, statisch of DHCP. Nochtans staat mijn AP dus niet op isolated mode (om pc's van mekaar af te schermen). Ik kan perfect SSH'en naar de server, en nfs shares ervan mounten op m'n laptop.

Het resultaat van route:
code:
1
2
3
4
5
6
root[stijn]# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.1.0     *               255.255.255.0   U     0      0        0 eth0
loopback        *               255.0.0.0       U     0      0        0 lo
default         my.router       0.0.0.0         UG    0      0        0 eth0
my.router = de Asus WL-500G. Er staat inderdaad 192.168.1.0 tussen... Alleen weet ik niet op wat het slaat (is dat het netwerk op zich?). Mijn router heeft 192.168.1.1 als IP, mijn server nu 192.168.1.15, en de laptop 192.168.1.5 (ik heb de veelvouden van vijf toegewezen als statische IP's, werkt makkelijker als er andere pc's op het netwerk komen).

Die router is alleen een router, daar zit geen switch ingebouwd ?

Dan moet je volgens mij,

route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.1.1

toevoegen.

Misschien de oude route weggooien

man route.

standaard gaat Linux er vanuit volgens mij, dat de andere 192.168.1.x addressen bereikbaar zijn, via een hub of een switch.

zondag 19 maart 2006 18:51

Acties:

_root

uhh, ik zie je een ra0 configureren, maar deze kan ik nergens meer terugvinden, wel een eth0

Heb je momenteel een eth0 en een ra0 in hetzelfde segment zitten (192.168.1.x).

PVoutput 3250 WP

zondag 19 maart 2006 20:31

Acties:

Borromini

Mislukt misantroop

Topicstarter

_root schreef op zondag 19 maart 2006 @ 18:51:
uhh, ik zie je een ra0 configureren, maar deze kan ik nergens meer terugvinden, wel een eth0

Heb je momenteel een eth0 en een ra0 in hetzelfde segment zitten (192.168.1.x).

Sorry, verkeerde pc, dit is de juiste:

code:

root[~]# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.1.0     *               255.255.255.0   U     0      0        0 ra0
loopback        *               255.0.0.0       U     0      0        0 lo
default         my.router       0.0.0.0         UG    0      0        0 ra0

Verwijderd schreef op zondag 19 maart 2006 @ 18:31:
[...]

Die router is alleen een router, daar zit geen switch ingebouwd ?

Dan moet je volgens mij,

route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.1.1

toevoegen.

Misschien de oude route weggooien

man route.

standaard gaat Linux er vanuit volgens mij, dat de andere 192.168.1.x addressen bereikbaar zijn, via een hub of een switch.

Voor zover ik weet functioneert de WL-500G ook als switch.

cherwin schreef op zondag 19 maart 2006 @ 18:31:
Dat klopt zeer zeker, maar hij kan de pc's in het netwerk niet pingen als hij een direct ip opgeeft
en daarvoor heb je geen dns nodig. Dus is het even niet van belang of dns wel of niet goed staat ingesteld.

Dit probleem is wel heel vaag, ik neem aan dat je de firewalls uit hebt staan, omdat je normaal wel kan pingen. Vergelijk de statische netwerk instellingen eens met die van de dhcp verkregen instellingen.

Neen

. De firewall staat aan, en er is geen poort geopend voor het ICMP protocol. Maar waarom kan ik mezelf dan pingen? Dat gaat namelijk wel. Of gaat dat over het loopback device?

Ik ga zo'n regel voor ICMP toevoegen in m'n netfilter configuratie, en ik laat iets weten

. Bedankt voor de tip.

@ FrankTM: bedankt, ik zal echo vervangen door cat. Maakt dat dan zoveel uit?

[ Voor 29% gewijzigd door Borromini op 19-03-2006 20:35 ]

Got Leenucks? | Debian Bookworm x86_64 / ARM | OpenWrt: Empower your router | Blogje

zondag 19 maart 2006 23:58

Acties:

Verwijderd

[b][message=25410974,noline]Borromini schreef op zondag 19 maart 2006 @ \
Ik ga zo'n regel voor ICMP toevoegen in m'n netfilter configuratie, en ik laat iets weten . Bedankt voor de tip.

@ FrankTM: bedankt, ik zal echo vervangen door cat. Maakt dat dan zoveel uit?

Het gaat er meer om of je services op de andere PC's, kunt bereiken zijn het Windows PC'S , kijk of je verbinding kunt maken met de shares op die PC's, \\IP nummer.

ICMP lijkt me alleen interessant als je problemen hebt met het netwerk.

maandag 20 maart 2006 00:04

Acties:

jorikc

ping maakt standaard toch ook gebruik van ICMP? En dat gebruikte de TS om te testen.

Verder doen cat en echo wel behoorlijke verschillende dingen ja

Met cat kun je de inhoud van een bestand naar stdout sturen en met echo kun je stdin naar stdout sturen...

maandag 20 maart 2006 14:42

Acties:

Borromini

Mislukt misantroop

Topicstarter

Mijn netwerk is volledig Linux (een dualboot, maar Windows gaat nauwelijks aan daarop, tenzij om te gamen).

Mijn netfilterconfiguratie ziet er als volgt uit op de client:

code:

# HERE YOU MAY DEFINE YOUR RULES AS IPTABLES COMMANDS
activate_rules() {

  iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT # ssh
  iptables -t filter -A OUTPUT -j ACCEPT
  iptables -t filter -A INPUT -s 192.168.1.2/15 -p icmp --icmp-type echo-reply -m limit --limit 3/s -j ACCEPT
}

Hij zou dus moeten reageren op het ping request van de server.

De configuratie van de server:

code:

# HERE YOU MAY DEFINE YOUR RULES AS IPTABLES COMMANDS
activate_rules() {

  iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT # ssh
  iptables -t filter -A OUTPUT -j ACCEPT
  iptables -t filter -A INPUT -s 192.168.1.2/4 -j ACCEPT
  iptables -t filter -A INPUT -s 192.168.1.2/15 -p icmp --icmp-type echo-reply -m limit --limit 3/s -j ACCEPT
}

Hier staat een extra regel tussen (dat hij alle verkeer van IP's 192.168.1.2 t.e.m. 192.168.1.4 moet aannemen).

Als ik van de server naar de client ping, dan lukt het niet. Schakel ik de firewall uit op de client, dan lukt het wel. Omgekeerd, van de client naar de server, lukt zonder problemen. Dus om de een of andere reden is de icmp-regel niet voldoende.

Enfin, ik weet al dat ik dus wel kan pingen, maar ik vraag me af waarom die ene icmp-regel niet volstaat. voor echo-request moet hij naar buiten toe door de firewall (output) en beide firewalls aanvaarden dat standaard).

Got Leenucks? | Debian Bookworm x86_64 / ARM | OpenWrt: Empower your router | Blogje

maandag 20 maart 2006 16:33

Acties:

jorikc

Borromini schreef op maandag 20 maart 2006 @ 14:42:
...
server:

code:

# HERE YOU MAY DEFINE YOUR RULES AS IPTABLES COMMANDS
activate_rules() {

  iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT # ssh
  iptables -t filter -A OUTPUT -j ACCEPT
  iptables -t filter -A INPUT -s 192.168.1.2/4 -j ACCEPT
  iptables -t filter -A INPUT -s 192.168.1.2/15 -p icmp --icmp-type echo-reply -m limit --limit 3/s -j ACCEPT
}

Ik heb niet veel ervaring met iptables, maar die / achter een ip adres geeft toch het aantal 1'en aan het begin van de subnetmask aan? Dus 192.168.1.2/4 = 192.168.1.2/240.0.0.0 ? Dat zou betekenen dat je pakketjes van heel veel ip-adressen accepteert op je server.
En aangezien je eerst alles accepteert van 192.168.1.2/4 doet die filter regel erna van de server niets meer, toch? Ik denk dat je nog steeds naar de server kunt pingen als die 4e regel er niet bij is...
Misschien moet je proberen je icmp-regel zo simpel mogelijk te beginnen en kijken wanneer het mis gaat, bijvoorbeeld beginnen met:

code:

1	iptables -t filter -A INPUT -p icmp -j ACCEPT

Daarna source-filtering voor je interne netwerk:

code:

1	iptables -t filter -A INPUT -s 192.168.1.0/24 -p icmp -j ACCEPT

[ Voor 1% gewijzigd door jorikc op 20-03-2006 16:33 . Reden: typo ]

maandag 20 maart 2006 19:48

Acties:

Borromini

Mislukt misantroop

Topicstarter

192.168.1.2/4 geeft de range van IP-adressen aan, dat beïnvloedt je subnet mask niet.
Als ik de server alle verkeer laat accepteren van de clients, kan ik natuurlijk zonder problemen pingen

. In netfilter heeft ICMP maar twee mogelijkheden: echo-request of echo-reply, maar in principe zou echo-reply geen probleem moeten geven, aangezien alle uitgaand verkeer toegelaten wordt...

Got Leenucks? | Debian Bookworm x86_64 / ARM | OpenWrt: Empower your router | Blogje

dinsdag 21 maart 2006 01:38

Acties:

jorikc

Ok, het beïnvloedt natuurlijk niet de instellingen van je netwerkkaart (en dus niet je subnetmasker), maar het masker wat iptables gebruikt om te bekijken welke ip adressen je als sourceaddress bedoelt is nu wel die 240.0.0.0, waarmee je dus ipadressen van 192.0.0.0 tot 207.255.255.255 accepteert!
192 = 11000000, met een 11110000.0.0.0 masker accepteer je dus van 11000000 (192) t/m 11001111 (207) en alle onderliggende ip's. (Dit allemaal onder voorbehoud ik probeer alleen deze pagina's goed te begrijpen: link)

Borromini schreef op maandag 20 maart 2006 @ 19:48:
...Als ik de server alle verkeer laat accepteren van de clients, kan ik natuurlijk zonder problemen pingen . ...

Precies, dus eerst maar eens zeker weten dat je niets accepteert, dan alle icmp accepteren en dan kijken of je je icmp-regel zodanig kunt beperken dat het niet te veel toestaat. Om de server zelf te laten pingen, moet de reply geaccepteerd worden en om gepingd te worden moet de server de request accepteren, zou ik denken.