dinsdag 17 oktober 2023 09:58

Acties:
  • 0 Henk 'm!
  • bassiej19
  • Registratie: Mei 2010
  • Laatst online: 18-12-2024

bassiej19

Topicstarter
Goedemorgen,

Hopelijk zijn hier mensen die me kunnen helpen. Ik ben echt ten einde raad.

Ik gebruikte thuis altijd Mikrotik router en ben naar Ubuntu Server overgestapt zodat het wat meer in lijn ligt met mijn ervaring.

Echter krijg ik het niet werkend zoals ik wil.

Als eerste heb ik een ppp0 connectie naar KPN:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: enp6s18: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 1a:53:e3:4d:24:5e brd ff:ff:ff:ff:ff:ff
    inet6 fe80::1853:e3ff:fe4d:245e/64 scope link 
       valid_lft forever preferred_lft forever
3: enp6s19: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 9a:6a:60:7b:54:15 brd ff:ff:ff:ff:ff:ff
    inet 192.168.10.1/24 brd 192.168.10.255 scope global enp6s19
       valid_lft forever preferred_lft forever
    inet6 fe80::986a:60ff:fe7b:5415/64 scope link 
       valid_lft forever preferred_lft forever
5: ppp0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1492 qdisc fq_codel state UNKNOWN group default qlen 3
    link/ppp 
    inet x.x.x.x peer 195.190.x.x/32 scope global ppp0
       valid_lft forever preferred_lft forever


Dit werkt goed en ik heb toegang tot het internet.

Zoals jullie zien is enp6s19 mijn local LAN met de DHCP server.

Ik heb dit als firewall rules:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22

# Flush bestaande regels en stel default policy in op DROP
iptables -F
iptables -t nat -F

iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT


iptables -A INPUT -i ppp0 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT

#allow icmp
iptables -A INPUT -i ppp0 -p icmp --icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -o ppp0 -p icmp --icmp-type echo-reply -j ACCEPT

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

#deze de disabled om problemen uit te sluiten
#iptables -A INPUT -i ppp0 -j DROP

netfilter-persistent save



De clients hebben toegang tot het internet.

Echter:

ik kan bijv vanaf de router een client pingen via;
ping 192.168.10.99

Echter een SSH verbinding maken lukt niet.

Als ik een traceroute doe, probeert hij over publieke internet te gaan:
code:
1
2

traceroute to 192.168.10.99 (192.168.10.99), 30 hops max, 60 byte packets
 1  static.kpn.net (195.190.x.X)  1.855 ms  2.232 ms  2.210 ms^C


Maar als ik met een interface doe werkt het wel;
code:
1
2
3

root@ubuntu-router:~# traceroute -i enp6s19 192.168.10.99
traceroute to 192.168.10.99 (192.168.10.99), 30 hops max, 60 byte packets
 1  192.168.10.99 (192.168.10.99)  0.136 ms  0.079 ms  0.052 ms


Dan zou je zeggen dat de routes niet kloppen, echter lijken die correct:
code:
1
2
3
4

root@ubuntu-router:~# ip route show
default dev ppp0 scope link 
192.168.10.0/24 dev enp6s19 scope link 
195.190.228.70 dev ppp0 proto kernel scope link src 86.92.x.x


Ik ben al uren bezig ook met behulp van google en chatgpt maar kom er maar niet uit.

Iemand enig idee wat ik mis doe?

dinsdag 17 oktober 2023 10:01

Acties:
  • 0 Henk 'm!
  • xares
  • Registratie: Januari 2007
  • Laatst online: 29-06 21:39

xares

IP routing enablen wellicht?

Wat geeft dit als output:
cat /proc/sys/net/ipv4/ip_forward

?

Indien 0:
echo 1 > /proc/sys/net/ipv4/ip_forward

Werkt het dan wel?


-edit-

Kan je een uitdraai maken van "ip a"?

[ Voor 13% gewijzigd door xares op 17-10-2023 10:02 ]

dinsdag 17 oktober 2023 10:06

Acties:
  • 0 Henk 'm!
  • bassiej19
  • Registratie: Mei 2010
  • Laatst online: 18-12-2024

bassiej19

Topicstarter
@xares

Bedankt voor je antwoord. Deze ben ik vergeten te melden maar heb ik wel ingeschakeld. Dit werkt ook omdat clients wel kunnen internetten via de ubuntu router.

dinsdag 17 oktober 2023 10:22

Acties:
  • 0 Henk 'm!
  • xares
  • Registratie: Januari 2007
  • Laatst online: 29-06 21:39

xares

Kan je een uitdraai maken van "ip a"?

dinsdag 17 oktober 2023 10:31

Acties:
  • 0 Henk 'm!
  • bassiej19
  • Registratie: Mei 2010
  • Laatst online: 18-12-2024

bassiej19

Topicstarter
xares schreef op dinsdag 17 oktober 2023 @ 10:22:
Kan je een uitdraai maken van "ip a"?
Die zie je in het eerste code blok :).

Thanks alvast voor het meedenken!

dinsdag 17 oktober 2023 10:48

Acties:
  • 0 Henk 'm!
  • bassiej19
  • Registratie: Mei 2010
  • Laatst online: 18-12-2024

bassiej19

Topicstarter
Iedereen bedankt voor het meedenken. Ik heb de volledige machine nogmaals restart na al mijn trial en error. En met bovenstaande config lijkt het na opstarten wel goed te werken. Dus blijkbaar heb ik iets gesloopt tijdens trial en error waarbij bovenstaande niet meer werkte.

dinsdag 17 oktober 2023 14:21

Acties:
  • +1 Henk 'm!
  • MasterL
  • Registratie: Oktober 2003
  • Laatst online: 04-07 22:57

MasterL

Moderator Internet & Netwerken
Alles leuk en aardig maar ehm:
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

?? Ik neem aan dat je dit wel gaat aanpassen toch?

dinsdag 17 oktober 2023 22:25

Acties:
  • 0 Henk 'm!
  • bassiej19
  • Registratie: Mei 2010
  • Laatst online: 18-12-2024

bassiej19

Topicstarter
MasterL schreef op dinsdag 17 oktober 2023 @ 14:21:
Alles leuk en aardig maar ehm:
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

?? Ik neem aan dat je dit wel gaat aanpassen toch?
Als je onderaan kijkt zie je een drop op de WAN welke ik uitgecomment heb met een #. Dit was enkel voor testing. Inmiddels drop ik de WAN alle input.

woensdag 18 oktober 2023 22:05

Acties:
  • +2 Henk 'm!
  • jurroen
  • Registratie: Mei 2012
  • Laatst online: 09:17

jurroen

Security en privacy geek

Ik denk dat je er verstandig aan doet om even wat meer in firewalling of iptables te duiken. Want zelfs met die ene uitgecommente regel enabled is je ruleset ... onwenselijk.

[ Voor 6% gewijzigd door jurroen op 18-10-2023 22:06 ]

Ongevraagde verzoeken per DM beantwoord ik niet, sorry

woensdag 18 oktober 2023 23:19

Acties:
  • 0 Henk 'm!
  • ChaserBoZ_
  • Registratie: September 2005
  • Laatst online: 24-06 15:50

ChaserBoZ_

jurroen schreef op woensdag 18 oktober 2023 @ 22:05:
Ik denk dat je er verstandig aan doet om even wat meer in firewalling of iptables te duiken. Want zelfs met die ene uitgecommente regel enabled is je ruleset ... onwenselijk.
Ik kan je shorewall aanraden om makkelijk met iptables om te gaan.

'Maar het heeft altijd zo gewerkt . . . . . . '

donderdag 19 oktober 2023 13:06

Acties:
  • +1 Henk 'm!
  • MasterL
  • Registratie: Oktober 2003
  • Laatst online: 04-07 22:57

MasterL

Moderator Internet & Netwerken
bassiej19 schreef op dinsdag 17 oktober 2023 @ 22:25:
[...]


Als je onderaan kijkt zie je een drop op de WAN welke ik uitgecomment heb met een #. Dit was enkel voor testing. Inmiddels drop ik de WAN alle input.
Yes maar zie opmerking @jurroen .
Ik zie ook dat je firewall stateless is (in de forward chain), is dit expres?
"Normaal" gebruik je een statefull firewall, nu allow je alles "door" de firewall heen dus het "werkt" wel maar ik zou hier toch even naar kijken.
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq