Netwerk configuratie probleem - Netwerken

zondag 13 april 2008 11:18

Acties:

0 Henk 'm!

Topicstarter

Context: Ik wil graag een firewall in mijn netwerk. Mijn huidige netwerk is op dit moment als volgt.

Modem/router ----> router -----> switch

Ik zou hem graag als volgt willen hebben:

Modem/router ---> Firewall ---> router ---> switch.
Mijn firewall is gewoon ubuntu met firestarter erop.
De communicatie vanuit de firewall naar modem is goed.
Modem geeft via DHCP een IP en Ubuntu gebruikt dat netjes.
Maar de communicatie tussen Firewall en router/switch/pc werkt niet.

modem/router: 10.0.1.150
firewall eth0: 10.0.1.152
firewall eth1: 10.0.1.153
router: 10.0.1.154
client: 10.0.1.155
client1: 10.0.1.157

Vanaf de firewall eth1 naar de router of de client gaat het dus fout.
Als ik in firestarter aan geef dat hij IP addressen moet uitdelen via DHCP dan
krijgt geen enkel apparaat wat ik erop aansluit een ip (router niet, en pc niet).
Om even te testen of de switch goed werkt heb ik client en client1 aangesloten en deze kunnen perfect naar elkaar pingen.

*als ik pc aansluit op de firewall eth1 zit er altijd een switch tussen ivm straight kabels.
*ik test alles dmv een ping.

firewall:
ifconfig -a
eth0 Link encap:Ethernet HWaddr 00:00:00:00:00:00
inet addr:10.0.1.152 Bcast:10.255.255.255 Mask:255.0.0.0
inet6 addr: fe80::20b:6aff:feeb:556c/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:143 errors:0 dropped:0 overruns:0 frame:0
TX packets:113 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:18069 (17.6 KB) TX bytes:16849 (16.4 KB)
Interrupt:19 Base address:0xd400

eth1 Link encap:Ethernet HWaddr 00:00:00:00:00:00
inet addr:10.0.1.153 Bcast:10.255.255.255 Mask:255.0.0.0
BROADCAST MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
Base address:0xae00

*Mac addressen heb ik aangepast.

Client (via switch dus op firewall):
arp -a:
internet-adres: 10.0.1.153
fysiek adres: 00-00-00-00-00-00 (let op! Dit is niet gewijzigd dit staat letterlijk zo in dos.)
type: Ongeldig.

arp -s 10.0.1.153 00-40-00-00-00-00 (het juiste mac adres dus).
Als ik dit doe veranderd er eigenlijk vrijwel niets, kan nog steeds niet pingen.

Hoe kan ik zoiets simpels als 2 pc's op elkaar aansluiten via een switch niet werkend krijgen.

specs:
Firewall: Ubuntu 7.10
Eth0: 10.0.1.152 (Gekregen van modem).
Eth1: 10.0.1.153 (static)
Eth3: vrij

Switch:
19inch 16ports 3com gigabit switch (unmanaged)

Client:
Windows XP pro SP2
Nic: 10.0.1.155 (static)

[ Voor 17% gewijzigd door battler op 13-04-2008 12:06 ]

Lux.Architectuur | Van Dromen tot Wonen | www.Lux-a.nl

zondag 13 april 2008 12:33

Acties:

0 Henk 'm!

TrailBlazer

Karnemelk FTW

Waarom heb je je router er nog tussen zitten. Je firewall is een veel betere router dan welke consumenten router dan ook als je het goed instelt. Verder lijken je subnets gewoon niet te kloppen.
Eth1 moet je namelijke in een ander subnet stoppen 192.168.0.0/24 ofzo. Vervolgens moet je gaan natten op je firewall of een route aanmaken op je modem dat 192.168.0.0/24 zich achter je firewall begint.

Sloop eerst die router er tussen uit die toch zinloos geworden.

[ Voor 28% gewijzigd door TrailBlazer op 13-04-2008 12:34 ]

zondag 13 april 2008 12:37

Acties:

0 Henk 'm!

battler

Topicstarter

Die router ligt er al tussen uit, maar het mooie van die router is dat ik daar wat dingen op kan instellen die ik nog niet kan met linux (moet dat nog een beetje uitvogelen). Maar ik heb het probleem waarschijnlijk al gevonden. Bij de ETH0 staat UP BROADCAST terwijl dit niet staat bij bv. de ETH1 dus volgens mij is hij niet helemaal up.

Waarom kloppen mijn subnets niet? Alles zit in 1 subnet. Ik zou uiteraard een veel kleiner subnet kunnen kiezen, maar het lijkt me dat daar toch geen probleem in zit.

Hier nog even een /network/interfaces.
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet dhcp

iface eth1 inet static
address 192.168.0.10
gateway 10.0.1.150
netmask 255.255.255.0

iface eth3 inet dhcp

Hmm subnet verhaal:
Dan conf ik het op de volgende manier.
Modem/router: 10.0.1.150
Firewall eth0: 10.0.1.152
Firewall eth1: 192.168.0.10
Client: een ip uit /24
Client1: een ip uit /24

Alleen als ik dan ifconfig -a doe:
eth1 Link encap:Ethernet HWaddr 00:40:F4:F0:41:7A
inet addr:192.168.0.10 Bcast:192.168.0.255 Mask:255.255.255.0
BROADCAST MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
Base address:0xae00

Is hij nog steeds niet up.

* Dit betekent wel dat ik mijn firewall al het router werk moet gaan laten doen.
Ik hoop dat dit niet te hoog gegrepen is mbt nat/pat, iptables enz..

[ Voor 83% gewijzigd door battler op 13-04-2008 12:59 ]

Lux.Architectuur | Van Dromen tot Wonen | www.Lux-a.nl

zondag 13 april 2008 12:53

Acties:

0 Henk 'm!

TrailBlazer

Karnemelk FTW

omdat je nooit wee verschillende netwerken met het zelfde subnet kan hebben.
Met je huidige config
eth0 Link encap:Ethernet HWaddr 00:00:00:00:00:00
inet addr:10.0.1.152 Bcast:10.255.255.255 Mask:255.0.0.0

eth1 Link encap:Ethernet HWaddr 00:00:00:00:00:00
inet addr:10.0.1.153 Bcast:10.255.255.255 Mask:255.0.0.0

Een pc bepaalt aan de hand van zijn routeringstabel via welk interface hij een pakket naar buiten moet sturen. Deze routeringstabel wordt onder andere opgebouwd aan de hand van je interface configuratie.
In jouw geval kan ip adres 10.0.1.200 zowel op het netwerk achter eth0 als op het netwerk achter eth1 zitten.

iface eth1 inet static
address 192.168.0.10
gateway 10.0.1.150
netmask 255.255.255.0

Op deze interface heb je geen gateway nodig die krijg je al via dhcp op eth0. De rest klopt wel.

Tja of het te hoog gegrepen is weet ik niet het ligt eraan hoe veel moeite je erin wil stoppen. Er zijn op tweakers massa's post over iptables en nat en dergelijke een simpele nat config is in 5 minuten gemaakt. Lees ook gewoon op www.netfilter.org dan kom je daar best uit

zondag 13 april 2008 12:59

Acties:

0 Henk 'm!

TrailBlazer

Karnemelk FTW

code:

#!/bin/bash
echo 1 >/proc/sys/net/ipv4/ip_forward
IPTABLES="/sbin/iptables"
$IPTABLES -t filter -P INPUT DROP
$IPTABLES -t filter -F INPUT
$IPTABLES -t filter -A INPUT -i lo -j ACCEPT
$IPTABLES -t filter -A INPUT -i eth0 -j ACCEPT
$IPTABLES -t filter -A INPUT -i eth1 -j ACCEPT

$IPTABLES -t filter -P FORWARD DROP
$IPTABLES -t filter -F FORWARD
$IPTABLES -t filter -A FORWARD -j ACCEPT

$IPTABLES -t filter -P OUTPUT DROP
$IPTABLES -t filter -F OUTPUT
$IPTABLES -t filter -A OUTPUT -j ACCEPT

$IPTABLES -t nat -F POSTROUTING
$IPTABLES -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Als je dit in een bestandje ragt executable maakt en uitvoerd heb je volgens mij alles om te natten op je linux bak. Mischien wat paden aanpassen hier en daar.

[ Voor 3% gewijzigd door TrailBlazer op 13-04-2008 13:00 ]

zondag 13 april 2008 13:01

Acties:

0 Henk 'm!

battler

Topicstarter

Once again bedankt Trailblazer (voor al je hulp tot nu toe).
Ik denk dat ik er wel uit moet komen met het nat gedeelte. Maar ik zou op dit moment al wel moeten kunnen pingen tussen mijn Firewall en client.

Firewall:
Eth1: 192.168.0.10/24
Client: 192.168.0.12/24
Ik kan geen kant op pingen. Dus blijkbaar heb ik nog een probleem met mijn nic.

Lux.Architectuur | Van Dromen tot Wonen | www.Lux-a.nl

zondag 13 april 2008 13:04

Acties:

0 Henk 'm!

TrailBlazer

Karnemelk FTW

Niet als je default firewall policy dat niet toelaat. Je policy kan je zien met iptables -nvL

zondag 13 april 2008 13:08

Acties:

0 Henk 'm!

battler

Topicstarter

Er stond inderdaad wat in, dus ik heb iptables -F gedaan.
Dus nu zou hij in princiepe leeg moeten zijn.

Alleen een network interface restart geeft de volgende melding:

SIOCSIFFLAGS: Device or resource busy
SIOCSIFFLAGS: Device or resource busy
SIOCSIFFLAGS: Device or resource busy
Failed to bring up eth3.
SIOCSIFFLAGS: Device or resource busy
SIOCSIFFLAGS: Device or resource busy
SIOCSIFFLAGS: Device or resource busy
Failed to bring up eth1.

Is dit samenhangend met iptables of een heel ander probleem?

http://www.thelinuxpimp.com/main/modules.php?op=modload&name=News&file=article&sid=562
Ik heb dezelfde nic als hierboven beschreven in de link, alleen heb ik weer geen PnP functie in de bios

[ Voor 22% gewijzigd door battler op 13-04-2008 13:11 ]

Lux.Architectuur | Van Dromen tot Wonen | www.Lux-a.nl

zondag 13 april 2008 13:16

Acties:

0 Henk 'm!

TrailBlazer

Karnemelk FTW

He heeft in ieder geval niks te maken met iptables.
Heb je al geprobeerd te rebooten mischien door de war door het rotzooien met ip adressen.

zondag 13 april 2008 13:19

Acties:

0 Henk 'm!

battler

Topicstarter

Ja ik heb hem net gereboot (kon ik ook nog een keer goed de bios na lopen). Ik heb nog een andere nic liggen dus ik ga ze maar proberen.

STIKE!: Ik heb een nic gevonden die het wel gewoon doet. (geen error geeft bij het starten).
Alleen is hij toch nog steeds niet helemaal up:

administrator@Perfect-Linux:~$ ping 192.168.0.10
PING 192.168.0.10 (192.168.0.10) 56(84) bytes of data.
64 bytes from 192.168.0.10: icmp_seq=1 ttl=64 time=0.118 ms
64 bytes from 192.168.0.10: icmp_seq=2 ttl=64 time=0.112 ms

--- 192.168.0.10 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 999ms
rtt min/avg/max/mdev = 0.112/0.115/0.118/0.003 ms
administrator@Perfect-Linux:~$ ifconfig -a
eth0 Link encap:Ethernet HWaddr 00:0B:6A:EB:55:6C
inet addr:10.0.1.152 Bcast:10.255.255.255 Mask:255.0.0.0
inet6 addr: fe80::20b:6aff:feeb:556c/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:561 errors:0 dropped:0 overruns:0 frame:0
TX packets:670 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:254913 (248.9 KB) TX bytes:125164 (122.2 KB)
Interrupt:19 Base address:0xd400

eth2 Link encap:Ethernet HWaddr 00:50:BF:60:87:BB
inet addr:192.168.0.10 Bcast:192.168.0.255 Mask:255.255.255.0
BROADCAST MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
Base address:0xae00

Ik ping ik krijg een response vervolgens kijk ik bij RX en TX helemaal niets.
En hij heeft ook nog niet up broadcast running multicast staan.
Maar we komen dichterbij

[ Voor 86% gewijzigd door battler op 13-04-2008 13:32 ]

Lux.Architectuur | Van Dromen tot Wonen | www.Lux-a.nl

zondag 13 april 2008 13:51

Acties:

0 Henk 'm!

battler

Topicstarter

Hmm tot op heden heb ik geen antwoord kunnen vinden voor mijn probleem, Denk dat ik hiervoor maar weer een nieuw topic moet openen. En dan kom ik later wel weer terug hierop.

Lux.Architectuur | Van Dromen tot Wonen | www.Lux-a.nl

zondag 13 april 2008 14:12

Acties:

0 Henk 'm!

TrailBlazer

Karnemelk FTW

Laat je interfaces config eens helemaal zien dan.
edit
Doe eens gewoon ifup eth1
en zet auto eth1 in het interfaces bestand

[ Voor 44% gewijzigd door TrailBlazer op 13-04-2008 14:26 ]

zondag 13 april 2008 14:19

Acties:

0 Henk 'm!

Kippenijzer

McFallafel, nu met paardevlees

Als allebei je nics in hetzelfde subnet zitten zal linux er altijd 1 van gebruiken om elke machine op dat subnet te proberen te bereiken. Als je ene NIC dus rechtstreeks aan je router zit en hij die NIC steeds ervoor gebruikt zal hij dus nooit bij de andere systemen komen, omdat hij gewoon het verkeerde kabeltje gebruikt. 2 opties: 2 *Verschillende* subnets op de 2 NICs plaatsen of (ingewikkelder, google is je vriend) en zogenaamde transparante bridging firewall te maken (al dan niet tevens router).

zondag 13 april 2008 14:29

Acties:

0 Henk 'm!

battler

Topicstarter

Config:

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet dhcp

iface eth2 inet static
address 192.168.0.10
netmask 255.255.255.0

ETH0 zit nu dus in een ander subnet dan ETH2
ETH0= /8 ETH2 =/24
Maar ETH2 kan niet communiceren met een client die ook in /24 ziet en via een switch op ETH2 hangt.

[ Voor 36% gewijzigd door battler op 13-04-2008 14:39 ]

Lux.Architectuur | Van Dromen tot Wonen | www.Lux-a.nl

zondag 13 april 2008 14:35

Acties:

0 Henk 'm!

TrailBlazer

Karnemelk FTW

even auto eth2 erin zetten en dan ifup -a doen.

zondag 13 april 2008 14:43

Acties:

0 Henk 'm!

battler

Topicstarter

administrator@Perfect-Linux:~$ sudo ifup -a
SIOCSIFFLAGS: Device or resource busy
SIOCSIFFLAGS: Device or resource busy
SIOCSIFFLAGS: Device or resource busy
Failed to bring up eth2.
administrator@Perfect-Linux:~$

En weer het zelfde probleem. Dohh...

Lux.Architectuur | Van Dromen tot Wonen | www.Lux-a.nl

zondag 13 april 2008 14:44

Acties:

0 Henk 'm!

TrailBlazer

Karnemelk FTW

kan je die andere nics niet uitschakelen want het kan ook een IRQ conflict zijn namelijk en dan maak je het er niet beter om door steeds meer nics erin te klussen.

Het lijtk sterk op een IRQ conflict moet ik zeggen. De output van ifconfig geeft ook geen irq aan bij je netwerkkaart.

[ Voor 27% gewijzigd door TrailBlazer op 13-04-2008 14:47 ]

zondag 13 april 2008 14:47

Acties:

0 Henk 'm!

battler

Topicstarter

Alle nics waren er al uit. Ik heb ook nog wat geswapped met de nic. Maar ten einde raad ga ik hem vanavond maar reinstalle.

[ Voor 92% gewijzigd door battler op 13-04-2008 15:45 ]

Lux.Architectuur | Van Dromen tot Wonen | www.Lux-a.nl

maandag 14 april 2008 00:00

Acties:

0 Henk 'm!

Anoniem: 95122

een reinstall gaat niets oplossen bij een IRQ conflict hoor. Op redelijk moderne moederborden moet je dat oplossen in de BIOS. Op oudere moederborden heb je hier jumpers voor, maar ik verwacht eigenlijk dat je dit in de BIOS moet vinden.
Een reinstall is overigens zelden een zinnige oplossing in Linux

maandag 14 april 2008 19:58

Acties:

0 Henk 'm!

battler

Topicstarter

Waar zou ik naar moeten zoeken in de bios? Iemand vertelde me ook dat het uitschakelen van de ACPI iets kon doen. Is dit ook iets wat zou kunne helpen?
----------------------------------------------------------------------------
** oplossing gevonden**
Ik had nog een zelfde moederbord liggen, die erin gedaan en alles werkt perfect.
Blijkbaar was het moederbord gewoon brak.
--------------------------------------------------------------------------

[ Voor 50% gewijzigd door battler op 14-04-2008 20:31 ]

Lux.Architectuur | Van Dromen tot Wonen | www.Lux-a.nl

Pagina: 1

Reageer