Ubuntu als router issue - Linux en overige clients

Vraag

zaterdag 25 maart 2017 02:27

Acties:

0 Henk 'm!

Topicstarter

Alvast excuses voor de beknopte post maar ik moet dit op een telefoon schrijven omdat ik op dit moment alleen mobiel toegang heb tot internet. Ook hoop ik dat dit de juiste plek is voor dit probleem.

Ik draai ubuntu 16.04.2 LTS als server welke ook dienst doet als router voor mijn LAN, en verder gebruik ik vaak webmin voor beheer (zoals firewall rules) . Eht0 is rechtstreeks verbonden met het modem en p5p1 met een netwerk switch.

Deze setup werkt al jaren goed. Nu was ik aan het spelen met wat alternatieve DNS servers in webmin maar eea werkte niet lekker. Ik probeerde nog even mijn eth0 op statische ip te zetten maar toen merkte ik dat mijn desktop (windows) alsmede mijn telefoon via WiFi (Android) geen internet meer heeft.

Alles terug gezet maar dit mocht niet baten. Vreemde is dat de server wel gewoon internet heeft, en dat de server via p5p1 (Lan side vanaf de Windows bak) ook gewoon te benaderen is. Verder krijg ik als ik vanaf mij Windows pc bijvoorbeeld google.com ping wel een IP adres te zien, maar komen de pakketjes niet door. Dit klinkt wat mij betreft als een firewall issue maar daar heb ik helemaal niet aangemeten. Btw alles is ipv4, ipv6 staat uit.

Herft iemand een idee wat het zou kunnen zijn?

Alvast dank.

When someone beats you with a flaslight, you make light shine in all directions.

Beste antwoord (via Berrick op 25-03-2017 21:15)

zaterdag 25 maart 2017 14:53

_root

Ok , je kan internetten op de Ubuntu bak.. --> netwerk en routering ubuntu in orde.
Je kan vanaf een client eth0 pingen... ---> eigen netwerk en gateway in orde.

Blijft er 1 ding over --> iptables op de ubuntu bak.
zet eens allle default actions in webmin op accept en vooral in het filter stuk.
Kijk ook overal of Forward in iptables goed staat, daar gaat het in dit geval over..

[ Voor 12% gewijzigd door _root op 25-03-2017 14:56 ]

PVoutput 3250 WP

Alle reacties

zaterdag 25 maart 2017 06:33

Acties:

+1 Henk 'm!

_root

doe eens eens cat /proc/sys/net/ipv4/ip_forward op de server.
Moet een 1 uitkomen, anders even een echo 1 >/proc/sys/net/ipv4/ip_forward

PVoutput 3250 WP

zaterdag 25 maart 2017 07:04

Acties:

0 Henk 'm!

Berrick

Topicstarter

_root schreef op zaterdag 25 maart 2017 @ 06:33:
doe eens eens cat /proc/sys/net/ipv4/ip_forward op de server.
Moet een 1 uitkomen, anders even een echo 1 >/proc/sys/net/ipv4/ip_forward

Thanks, maar helaas: stond al op 1.

When someone beats you with a flaslight, you make light shine in all directions.

zaterdag 25 maart 2017 07:18

Acties:

+1 Henk 'm!

_root

Heb je in de iptables wel een masquerade aanstaan op eth0 ?

Kan je eens een tracert doen naar 8.8.8.8 vanaf een client in je netwerk?

[ Voor 39% gewijzigd door _root op 25-03-2017 07:22 ]

PVoutput 3250 WP

zaterdag 25 maart 2017 08:14

Acties:

+1 Henk 'm!

SadisticPanda

Heet patatje :o

Begin al eens met je firewall uit te schakelen als je deze verdenkt.

Sudo ufw disable

Als het dan werkt, dan kan je verder zoeken.

Marstek 5.12kw v151, CT003 v117, Sagecom Xs212 1P,

zaterdag 25 maart 2017 08:16

Acties:

+2 Henk 'm!

_root

azz_kikr schreef op zaterdag 25 maart 2017 @ 08:14:
Begin al eens met je firewall uit te schakelen als je deze verdenkt.

Sudo ufw disable

Als het dan werkt, dan kan je verder zoeken.

Volgens mij heb je firewall nodig voor een masquerade, dus uitschakelen gaat niet werken...

PVoutput 3250 WP

zaterdag 25 maart 2017 09:40

Acties:

0 Henk 'm!

Berrick

Topicstarter

_root schreef op zaterdag 25 maart 2017 @ 07:18:
Heb je in de iptables wel een masquerade aanstaan op eth0 ?

Kan je eens een tracert doen naar 8.8.8.8 vanaf een client in je netwerk?

Volgens webmin staat masquerade nog steeds ingesteld voor output interface eth0. Ik zal zo even een tracert draaien vanaf mijn Windows bak maar wat ik me herinner van vannacht stopt deze bij het ip van de p5p1 (slechts 1 stap dus)

Overigens kan ik ook het ip van eth0 (dhcp van isp) niet pingen van binnen het netwerk.

Edit: inderdaad wat ik me herinnerde:

code:

C:\Windows\System32>tracert 8.8.8.8

Tracing route to google-public-dns-a.google.com [8.8.8.8]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  NEXUS [192.168.1.1]
  2     *        *        *     Request timed out.
  3     *        *        *     Request timed out.
  4     *        *        *     Request timed out.

Ik snap er helemaal niets van..

[ Voor 27% gewijzigd door Berrick op 25-03-2017 11:08 ]

When someone beats you with a flaslight, you make light shine in all directions.

zaterdag 25 maart 2017 11:40

Acties:

0 Henk 'm!

Berrick

Topicstarter

Even een correctie, ik kan vanaf de Windows bak WEL het ip van eth0 pingen, on tegenstelling tot wat ik hier boven zei

When someone beats you with a flaslight, you make light shine in all directions.

zaterdag 25 maart 2017 12:45

Acties:

+1 Henk 'm!

iTeV

offtopic: relevant: http://isitdns.com
Maar, heb je /etc/resolv.conf gecheckt op je Ubuntu server?

[ Voor 13% gewijzigd door iTeV op 25-03-2017 13:04 ]

Are you a one or a zero

zaterdag 25 maart 2017 12:52

Acties:

0 Henk 'm!

Berrick

Topicstarter

Ik weet niet precies wat ik met die link moet.

code:

:~$ cat /etc/resolv.conf
# Dynamic resolv.conf(5) file for glibc resolver(3) generat
d by resolvconf(8)
#     DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE
OVERWRITTEN
nameserver 213.46.228.196
nameserver 62.179.104.196
search arnhem.chello.nl

Lijkt me redelijk normaal?

When someone beats you with a flaslight, you make light shine in all directions.

zaterdag 25 maart 2017 14:19

Acties:

+2 Henk 'm!

NowayIndustries

Berrick schreef op zaterdag 25 maart 2017 @ 12:52:
Ik weet niet precies wat ik met die link moet.

Lijkt me redelijk normaal?

Die link dat is een systeembeheerder's grapje; het is nooit dns. Tot het een keer wel dns is.

De nameservers zien er normaal uit, maar alleen snap ik niet waarom je search op arnhem.chello.nl staat? Maar dat ligt denk ik eerder aan mij.
Heb je al in de logfiles van je firewall/iptables gekeken? Anders moet je die even instellen op een hogere verbositeit?

zaterdag 25 maart 2017 14:53

Acties:

Beste antwoord ✓
+1 Henk 'm!

_root

[ Voor 12% gewijzigd door _root op 25-03-2017 14:56 ]

PVoutput 3250 WP

zaterdag 25 maart 2017 14:58

Acties:

+1 Henk 'm!

iTeV

_root schreef op zaterdag 25 maart 2017 @ 14:53:
Ok , je kan internetten op de Ubuntu bak.. --> netwerk en routering ubuntu in orde.
Je kan vanaf een client eth0 pingen... ---> eigen netwerk en gateway in orde.

Blijft er 1 ding over --> iptables op de ubuntu bak.
zet eens allle default actions in webmin op accept en vooral in het filter stuk.

Of nog beter; geef ons de output van de command "iptables -S"
check reactie onder me

[ Voor 3% gewijzigd door iTeV op 25-03-2017 15:02 ]

Are you a one or a zero

zaterdag 25 maart 2017 14:59

Acties:

+1 Henk 'm!

_root

iTeV schreef op zaterdag 25 maart 2017 @ 14:58:
[...]

Of nog beter; geef ons de output van de command
code:
1
iptables -S

Is gedaan met webmin, post eens de file /etc/iptables.up.rules, zitten dan gelijk de masquerate rules in.

[ Voor 7% gewijzigd door _root op 25-03-2017 15:02 ]

PVoutput 3250 WP

zaterdag 25 maart 2017 15:03

Acties:

+1 Henk 'm!

iTeV

_root schreef op zaterdag 25 maart 2017 @ 14:59:
[...]

Is gedaan met webmin, post eens de file /etc/iptables.up.rules, zitten dan gelijk de masquerate rules in.

Oh, totaal over het hoofd gezien dat hij webmin gebruikt

Are you a one or a zero

zaterdag 25 maart 2017 15:10

Acties:

+1 Henk 'm!

_root

Of zou die aan 2 zijden hetzelfde netwerk hebben?? dat is dan laatste mogelijkheid..

dus graag nog een ifconfig erbij !

[ Voor 19% gewijzigd door _root op 25-03-2017 15:11 ]

PVoutput 3250 WP

zaterdag 25 maart 2017 16:04

Acties:

0 Henk 'm!

Berrick

Topicstarter

Dat arnhem.chello.nl vond ik ook vreemd en had ik op een gegeven moment ook weggehaald, maar weer terug gezet toen dingen niet meer werkten.

Local network is 192.168.1.x, deze zit natuurlijk niet in de dhcp pool van Ziggo.

Hier de inhoud van de files.up.rules file. Indien ik logs moet posten laat maar weten. Dit doe ik dan vanavond even.

code:

Generated by iptables-save v1.4.12 on Fri Dec 14 22:34:47 2012
*mangle
:PREROUTING ACCEPT [363:104848]
:INPUT ACCEPT [68:10030]
:FORWARD ACCEPT [295:94818]
:OUTPUT ACCEPT [54:9951]
:POSTROUTING ACCEPT [349:104769]
COMMIT
# Completed on Fri Dec 14 22:34:47 2012
# Generated by iptables-save v1.4.12 on Fri Dec 14 22:34:47 2012
*filter
:FORWARD DROP [0:0]
:INPUT DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -p tcp -m tcp --dport 11223:11233 -j ACCEPT
-A FORWARD -m state -i eth0 -o p5p1 --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A FORWARD -i p5p1 -o eth0 -j ACCEPT
# uTorrent - allow server (TCP)
-A FORWARD -p tcp -m tcp --dport 52457 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22111 -j ACCEPT
# Deluge
-A INPUT -p tcp -m tcp --dport 62222 -j ACCEPT
# Deluge
-A INPUT -p udp -m udp --dport 62222 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
# uTorrent webGUI
-A INPUT -p tcp -m tcp --dport 8080 -j ACCEPT
# Deluge Web
-A INPUT -p tcp -m tcp --dport 8112 -j ACCEPT
# apache
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
# apache
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
# apache
-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
# a
-A INPUT -p udp -m udp --dport 21 -j ACCEPT
# a
-A INPUT -p udp -m udp --dport 20 -j ACCEPT
-A INPUT -i p5p1 -j ACCEPT
# uTorrent - allow server (UDP)
-A FORWARD -p udp -m udp --dport 52457 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state -i eth0 --state ESTABLISHED,RELATED -j ACCEPT
# uTorrent - allow server (UDP)
-A INPUT -p udp -m udp --dport 52456 -j ACCEPT
# MPD- allow server (TCP)
-A FORWARD -p tcp -m tcp --dport 6600 -j ACCEPT
# MPD - allow server (UDP)
-A FORWARD -p udp -m udp --dport 6600 -j ACCEPT
-A FORWARD -m state -i eth0 -o tun0 --state ESTABLISHED,RELATED -j ACCEPT
# uTorrent - allow server (TCP)
-A INPUT -p tcp -m tcp --dport 52456 -j ACCEPT
# Plex TCP
-A INPUT -p tcp -m tcp --dport 32400 -j ACCEPT
# Plex - UDP
-A INPUT -p udp -m udp --dport 32400 -j ACCEPT
# OpenVPN
-A INPUT -p udp -m udp --dport 1194 -j ACCEPT
# OpenVPN
-A INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
-A INPUT -i tun0 -j ACCEPT
# apache
-A INPUT -p udp -m udp --dport 80 -j ACCEPT
-A FORWARD -j LOG
# plexwatch
-A INPUT -p tcp -m tcp --dport 8081 -j ACCEPT
# plexpy
-A INPUT -p tcp -m tcp --dport 8181 -j ACCEPT
# CouchPotato
-A INPUT -p tcp -m tcp --dport 5152 -j ACCEPT
# Koding
-A INPUT -p tcp -m tcp --dport 56789 -j ACCEPT
# plexwatch
-A INPUT -p tcp -m tcp --dport 8082 -j ACCEPT
-A INPUT
COMMIT
# Completed on Fri Dec 14 22:34:47 2012
# Generated by iptables-save v1.4.12 on Fri Dec 14 22:34:47 2012
*nat
:INPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -o eth0 -j MASQUERADE
-A PREROUTING -p udp -m udp --dport 52457 -j DNAT --to-destination 192.168.1.2:52457
-A PREROUTING -p tcp -m tcp --dport 52457 -j DNAT --to-destination 192.168.1.2:52457
# MPD (TCP)
-A PREROUTING -p tcp -m tcp --dport 6600 -j DNAT --to-destination 192.168.1.42:6600
# MPD (UDP)
-A PREROUTING -p udp -m udp --dport 6600 -j DNAT --to-destination 192.168.1.2:6600
-A PREROUTING -p udp -m udp -i eth0 --dport 80 -j REDIRECT --to-ports 32400
-A PREROUTING -p tcp -m tcp -i eth0 --dport 80 -j REDIRECT --to-ports 32400
# FTPd
-A PREROUTING -p tcp -m tcp -i eth0 --dport 12421 -j REDIRECT --to-ports 21
# FTPd
-A PREROUTING -p udp -m udp -i eth0 --dport 12421 -j REDIRECT --to-ports 21
-A PREROUTING -p tcp -m tcp -i eth0 --dport 8081 -j REDIRECT --to-ports 80
COMMIT
# Completed on Fri Dec 14 22:34:47 2012

Edit: hier de ifconfig

code:

eth0      Link encap:Ethernet  HWaddr 00:e0:4c:24:xx:xx  
          inet addr:77.251.xxx.xxx  Bcast:255.255.255.255  Mask:255.255.255.0
          inet6 addr: fe80::2e0:4cff:xxxx:xxxx/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:520392 errors:0 dropped:0 overruns:0 frame:0
          TX packets:871719 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:52445916 (52.4 MB)  TX bytes:1154496875 (1.1 GB)

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:67436 errors:0 dropped:0 overruns:0 frame:0
          TX packets:67436 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1 
          RX bytes:11161987 (11.1 MB)  TX bytes:11161987 (11.1 MB)

p5p1      Link encap:Ethernet  HWaddr bc:5f:f4:77:xx:xx  
          inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::be5f:f4ff:xxxx:xxxx/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:5709 errors:0 dropped:1 overruns:0 frame:0
          TX packets:2565 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:1092647 (1.0 MB)  TX bytes:284654 (284.6 KB)

[ Voor 15% gewijzigd door Berrick op 25-03-2017 16:10 ]

When someone beats you with a flaslight, you make light shine in all directions.

zaterdag 25 maart 2017 16:16

Acties:

0 Henk 'm!

NowayIndustries

Berrick schreef op zaterdag 25 maart 2017 @ 16:04:
Dat arnhem.chello.nl vond ik ook vreemd en had ik op een gegeven moment ook weggehaald, maar weer terug gezet toen dingen niet meer werkten.

Van wat ik even snel kon vinden wordt de search toegepast wanneer je geen domeinnaam aangeeft in je request, als je naar http://servername/pagina gaat zou hij dan dus zoeken naar servername.arnhem.chello.nl als ik het goed begrijp.

Berrick schreef op zaterdag 25 maart 2017 @ 16:04:
code:
1
Generated by iptables-save v1.4.12 on Fri Dec 14 22:34:47 2012

Zet eens de datum/tijd goed (en ook de timezone (dpkg-reconfigure tzdata) ofc) Hoeft niks uit te maken maar niet geschoten...

zaterdag 25 maart 2017 16:18

Acties:

0 Henk 'm!

_root

*filter
:FORWARD DROP [0:0]

Maak er eens van
*filter
:FORWARD ACCEPT [0:0]

Eventueel kan je ook op een client even een ping -t 8.8.8.8 draaien en een tcpdump -ni eth0 host 8.8.8.8 starten...

even kijken of het verkeer ook inderdaad naar buiten gaat...

PVoutput 3250 WP

zaterdag 25 maart 2017 16:38

Acties:

0 Henk 'm!

Berrick

Topicstarter

Dank jullie. Vier nu even mijn verjaardag (helaas noodgedwongen zonder spotify). Kom er op terug!

When someone beats you with a flaslight, you make light shine in all directions.

zaterdag 25 maart 2017 16:40

Acties:

+4 Henk 'm!

NowayIndustries

Berrick schreef op zaterdag 25 maart 2017 @ 16:38:
Dank jullie. Vier nu even mijn verjaardag (helaas noodgedwongen zonder spotify). Kom er op terug!

Veel plezier! Gewoon even flink wat drinken in het begin en dan kunnen jullie zelf gaan zingen

zaterdag 25 maart 2017 16:48

Acties:

0 Henk 'm!

_root

NowayIndustries schreef op zaterdag 25 maart 2017 @ 16:40:
[...]

Veel plezier! Gewoon even flink wat drinken in het begin en dan kunnen jullie zelf gaan zingen

$_/-\o_$

PVoutput 3250 WP

zaterdag 25 maart 2017 21:20

Acties:

0 Henk 'm!

Berrick

Topicstarter

Ok om de één of andere reden werd de firewall niet meer geladen bij boot. Ik heb dit opnieuw ingesteld en alles werkt weer. Beetje een kwestie van "de stekker zat er niet in" dus, sorry...

Hartelijk dank voor jullie hulp allemaal!

When someone beats you with a flaslight, you make light shine in all directions.

zaterdag 25 maart 2017 21:21

Acties:

0 Henk 'm!

_root

Dank voor de terugkoppeling

PVoutput 3250 WP

Pagina: 1

Reageer