[Debian] IP masquerading - Linux en overige clients

woensdag 2 juli 2003 14:43

Acties:

Verwijderd

Topicstarter

Ik kom er ff niet meer uit.. Ben nu al een tijdje bezig om m'n internet te delen maar dat wil niet echt lukken.

Naar mijn gevoel heb ik alles goed ingevuld mbv verschillende howto's en de search maar no-go..

Ik heb hier een debian server staan (stable, kernel 2.2.20).

In /etc/network/options heb ik ipforward op "yes" gezet.

Vervolgens heb ik in /etc/init.d/networking onder het kopje ip_forward het volgende gezet:

ipchains -P forward DENY
echo 1 > /proc/sys/net/ipv4/ip_forward
ipchains -F forward
ipchains -A forward -s 192.168.0.0/16 -j MASQ

M'n etc/network/interfaces ziet er als volgt uit:

code:

# The loopback interface
auto lo
iface lo inet loopback

iface eth0 inet static
address 212.120.***.***
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255
gateway 212.120.***.1

iface eth1 inet static
address 192.168.0.1
netmask 255.255.255.0
broadcast 192.168.0.255

Ik kan bijvoorbeeld wel www.tweakers.net pingen maar 192.168.0.2 weer niet.

Weet iemand wat ik fout doe of vergeten ben

woensdag 2 juli 2003 15:16

Acties:

Buffy

Fire bad, Tree pretty

Verwijderd schreef op 02 July 2003 @ 14:43:
Vervolgens heb ik in /etc/init.d/networking onder het kopje ip_forward het volgende gezet:

ipchains -P forward DENY
echo 1 > /proc/sys/net/ipv4/ip_forward
ipchains -F forward
ipchains -A forward -s 192.168.0.0/16 -j MASQ

Wat zijn de instellingen van de INPUT en OUTPUT chains. Pakketjes gaan bij IPchains namelijk ook door deze chains als ze geforward worden.
Check de output van ipchains -L -n -v om te zien welke regels er werkelijk in de INPUT, FORWARD en OUTPUT chains staan.

M'n etc/network/interfaces ziet er als volgt uit:

code:

# The loopback interface
auto lo
iface lo inet loopback

iface eth0 inet static
address 212.120.***.***
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255
gateway 212.120.***.1

iface eth1 inet static
address 192.168.0.1
netmask 255.255.255.0
broadcast 192.168.0.255

Waarom staan de network en broadcast opties bij eth0 ingesteld op 192.158.0.*?
Zover ik weet heb je die opties niet nodig.

Ik kan bijvoorbeeld wel www.tweakers.net pingen maar 192.168.0.2 weer niet.

Bedoel je dat je van je router wel tweakers kan pingen maar niet vanaf 192.168.0.2 of bedoel je dat 192.168.0.2 niet kan pingen vanaf de router?

That which doesn't kill us, makes us stranger - Trevor (AEon FLux)
When a finger points at the moon, the imbecile looks at the finger (Chinese Proverb)

vrijdag 4 juli 2003 22:11

Acties:

Verwijderd

Topicstarter

Dawns_sister schreef op 02 July 2003 @ 15:16:
[...]

Wat zijn de instellingen van de INPUT en OUTPUT chains. Pakketjes gaan bij IPchains namelijk ook door deze chains als ze geforward worden.
Check de output van ipchains -L -n -v om te zien welke regels er werkelijk in de INPUT, FORWARD en OUTPUT chains staan.

Thanks voor je reactie.

Ik krijg dit te zien:

Chain input (policy ACCEPT: 495 packets, 50485 bytes):
Chain forward (policy DENY: 0 packets, 0 bytes):
pkts bytes target prot opt tosa tosx ifname mark outsize source destination ports
0 0 masq all ----- 0xFF 0x00 * 192.168.0.0/16 0.0.0.0/0 n/a
Chain output (policy ACCEPT: 829 packets, 80844 bytes):

Lijkt me in orde, toch?

Waarom staan de network en broadcast opties bij eth0 ingesteld op 192.158.0.*?
Zover ik weet heb je die opties niet nodig.

Hehe

. ff weggehaald maar had helaas geen invloed.

Bedoel je dat je van je router wel tweakers kan pingen maar niet vanaf 192.168.0.2 of bedoel je dat 192.168.0.2 niet kan pingen vanaf de router?

beide

Het lijkt erop alsof er geen dataverkeer tussen de twee pc's plaatsvindt..

Als ik kijk naar m'n ifconfig output dan heeft elke NIC een IP address...

Nog even een vraagje over m'n windows bak (TCP/IP instellingen):
Bij ip address vul ik in: 192.168.0.2
subnet: 255.255.255.0
gateway: 192.168.0.1
moet ik ook nog iets invullen bij DNS server?

vrijdag 4 juli 2003 23:51

Acties:

Verwijderd

Verwijderd schreef op 04 July 2003 @ 22:11:
[...]
moet ik ook nog iets invullen bij DNS server?

De DNS servers die je wilt gebruiken zet je in /etc/resolv.conf
Je hebt DNS niet nodig als je een verbinding maakt via het IP adres, wel als je via de hostname een server benadert.

zaterdag 5 juli 2003 14:14

Acties:

Buffy

Fire bad, Tree pretty

Verwijderd schreef op 04 July 2003 @ 22:11:
[...]

Thanks voor je reactie.

Ik krijg dit te zien:

Chain input (policy ACCEPT: 495 packets, 50485 bytes):
Chain forward (policy DENY: 0 packets, 0 bytes):
pkts bytes target prot opt tosa tosx ifname mark outsize source destination ports
0 0 masq all ----- 0xFF 0x00 * 192.168.0.0/16 0.0.0.0/0 n/a
Chain output (policy ACCEPT: 829 packets, 80844 bytes):

Lijkt me in orde, toch?

[...]
Hehe . ff weggehaald maar had helaas geen invloed.

Daarna heb je toch wel /etc/init.d/networking restart uitgevoerd?

[...]
beide
Het lijkt erop alsof er geen dataverkeer tussen de twee pc's plaatsvindt..

Als ik kijk naar m'n ifconfig output dan heeft elke NIC een IP address...

Tja, als er geen werkende verbinding is tussen de twee pc's dan gaat forwarding ook niet lukken

Controleer dus eerst of je kabel wel in orde is en check de werkelijke netwerk instellingen met ifconfig en route -n (windows ipconfig en route PRINT) en controleer na een ping mbv arp -a of de nic wel wordt gevonden.

Wat is overigens de foutmelding die ping geeft op beide machines (timeout of network not reachable)?

Nog even een vraagje over m'n windows bak (TCP/IP instellingen):
Bij ip address vul ik in: 192.168.0.2
subnet: 255.255.255.0
gateway: 192.168.0.1
moet ik ook nog iets invullen bij DNS server?

De ip('s) van de DNS server(s) van je provider is wel handig

. Of anders het ip van je router als je daar een caching nameserver hebt draaien.

That which doesn't kill us, makes us stranger - Trevor (AEon FLux)
When a finger points at the moon, the imbecile looks at the finger (Chinese Proverb)

zaterdag 5 juli 2003 22:13

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op 04 July 2003 @ 23:51:
[...]

De DNS servers die je wilt gebruiken zet je in /etc/resolv.conf
Je hebt DNS niet nodig als je een verbinding maakt via het IP adres, wel als je via de hostname een server benadert.

thx, nameservers had ik tijdens de installatie al opgegeven. Hostname komt een andere keer wel

Dawns_sister schreef op 05 July 2003 @ 14:14:
[...]

Daarna heb je toch wel /etc/init.d/networking restart uitgevoerd?

Hmmz, denk dat hier het grote probleem zit. Als ik networking restart uitvoer dan krijg ik een error: "command not found"

"network restart" geeft dezelfde error.

Tja, als er geen werkende verbinding is tussen de twee pc's dan gaat forwarding ook niet lukken
Controleer dus eerst of je kabel wel in orde is en check de werkelijke netwerk instellingen met ifconfig en route -n (windows ipconfig en route PRINT) en controleer na een ping mbv arp -a of de nic wel wordt gevonden.

Kabels zijn in orde. Die heb ik inmiddels al tig keer gecontroleerd.

Ifconfig lijkt me ook in orde: elke ethX heeft een ip address en geen errors.

output van route -n:

code:

Kernel IP routing table
Destination       Gateway          Genmask           Flags  Metric Ref Use Iface
212.120.110.0    0.0.0.0             255.255.255.0   U        0     0    0   eth0
192.168.0.0      0.0.0.0             255.255.255.0   U        0     0    0   eth1
0.0.0.0          212.120.110.1       0.0.0.0        UG        0     0    0   eth0

De output van arp -a geeft de gateway weer van m'n @home verbinding op eth0
eth1 wordt niet vermeldt.

Wat is overigens de foutmelding die ping geeft op beide machines (timeout of network not reachable)?

100% packet loss.

Er zitten twee realtekjes in, die met dmesg keurig worden weergegeven. (eth0 een RTL-8029 en eth1 een RTL8139 (vier dagen oud))

/me weet het niet meer..

[ Voor 11% gewijzigd door Verwijderd op 05-07-2003 22:17 ]

zondag 6 juli 2003 00:37

Acties:

Buffy

Fire bad, Tree pretty

Verwijderd schreef op 05 July 2003 @ 22:13:
Hmmz, denk dat hier het grote probleem zit. Als ik networking restart uitvoer dan krijg ik een error: "command not found"

"network restart" geeft dezelfde error.

/etc/init.d/networking komt uit het netbase debian package.
Lijkt me sterk dat je die niet hebt geinstalleerd aangezien het tot de base install behoort (en je routing tabel wel opgezet is).

[...]
Kabels zijn in orde. Die heb ik inmiddels al tig keer gecontroleerd.

Ifconfig lijkt me ook in orde: elke ethX heeft een ip address en geen errors.

output van route -n:
code:
1
2
3
4
5
Kernel IP routing table
Destination       Gateway          Genmask           Flags  Metric Ref Use Iface
212.120.110.0    0.0.0.0             255.255.255.0   U        0     0    0   eth0
192.168.0.0      0.0.0.0             255.255.255.0   U        0     0    0   eth1
0.0.0.0          212.120.110.1       0.0.0.0        UG        0     0    0   eth0
De output van arp -a geeft de gateway weer van m'n @home verbinding op eth0
eth1 wordt niet vermeldt.

[...]

100% packet loss.

Er zitten twee realtekjes in, die met dmesg keurig worden weergegeven. (eth0 een RTL-8029 en eth1 een RTL8139 (vier dagen oud))

/me weet het niet meer..

Als de arp tabel geen entry bevat voor 192.168.0.2 (na een ping!) betekent dat de windows bak geen arp request ontvangt (kapote nic?) of er niet op reageert. Je hebt de windows ip toch wel goed ingesteld? Ik heb ook wel eens een paar dagen zitten zoeken waarom ik geen verbinding kon krijgen met een windows bak. Had ik 192.186.0.5 ipv 192.168.0.5 ingetyped bij het ip

That which doesn't kill us, makes us stranger - Trevor (AEon FLux)
When a finger points at the moon, the imbecile looks at the finger (Chinese Proverb)

zondag 6 juli 2003 01:07

Acties:

Verwijderd

Topicstarter

Dawns_sister schreef op 06 July 2003 @ 00:37:
[...]

/etc/init.d/networking komt uit het netbase debian package.
Lijkt me sterk dat je die niet hebt geinstalleerd aangezien het tot de base install behoort (en je routing tabel wel opgezet is).

ik wou het commando starten vanuit de /etc/init.d/ dir.. Dat mag dus blijkbaar niet

. Vanuit de root gaat hij netjes reconfiguren. _{Lekkere n00b actie}[/quote]

Als de arp tabel geen entry bevat voor 192.168.0.2 (na een ping!) betekent dat de windows bak geen arp request ontvangt (kapote nic?) of er niet op reageert. Je hebt de windows ip toch wel goed ingesteld? Ik heb ook wel eens een paar dagen zitten zoeken waarom ik geen verbinding kon krijgen met een windows bak. Had ik 192.186.0.5 ipv 192.168.0.5 ingetyped bij het ip

Ik zal morgen m'n 4 dagen oude NIC ff in een andere PC proberen (lampjes e.d branden wel..). Iig bedankt!

Ik post m'n resultaten morgen wel ff.

zondag 6 juli 2003 15:59

Acties:

Verwijderd

Topicstarter

Goed, ben net weer de hele middag bezig geweest maar het werkt nog niet. De NIC werkt goed. Op m'n windows bak kan ik daar rustig mee internetten dus dat is het probleem niet.

Verder heb ik een beetje met de 8139 en de 8139too modules zitten te spelen maar ook dat hielp niks.

Netwerkkaarten omgewisseld van PCI slot --> ook niks.

Vervolgens heb ik de route -n en ifconfig en arp -a stappen opnieuw uitgevoerd.

Resultaten van de client (ipconfig):

code:

Windows IP Configuration

Ethernet adapter Local Area Connection:

        Connection-specific DNS Suffix  . :
        IP Address. . . . . . . . . . . . : 192.168.0.2
        Subnet Mask . . . . . . . . . . . : 255.255.255.0
        Default Gateway . . . . . . . . . : 192.168.0.1

Resultaten route -n

code:

===========================================================================
Interface List
0x1 ........................... MS TCP Loopback interface
0x2 ...00 50 04 40 a2 9e ...... 3Com 3C900B-TPO Ethernet Adapter (Generic) - Pac
ket Scheduler Miniport
===========================================================================
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0      192.168.0.1     192.168.0.2       30
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      192.168.0.0    255.255.255.0      192.168.0.2     192.168.0.2       30
      192.168.0.2  255.255.255.255        127.0.0.1       127.0.0.1       30
    192.168.0.255  255.255.255.255      192.168.0.2     192.168.0.2       30
        224.0.0.0        240.0.0.0      192.168.0.2     192.168.0.2       30
  255.255.255.255  255.255.255.255      192.168.0.2     192.168.0.2       1
Default Gateway:       192.168.0.1
===========================================================================
Persistent Routes:
  None

192.168.0.1 kan ik wel pingen vanaf de client maar verder niks. Probeer ik 192.168.0.2 te pingen vanaf de router dan krijg ik een time-out (100% packet loss).

De router geeft de volgende output met arp-a:

code:

1 2	? (192.168.0.2) at <incomplete> on eth1 [gateway gegevens] (212.120.110.1) at [NIC gegevens] [ether] on eth0

Iemand een idee wat hier aan de hand is?

Ik ga morgen sowieso m'n netwerkkaartje ff ruilen, denk niet dat het helpt maar proberen kan geen kwaad.

[ Voor 7% gewijzigd door Verwijderd op 06-07-2003 16:03 ]

maandag 7 juli 2003 14:29

Acties:

grep

meer begrep...

Als ik het dus goed begrijp kan je vanaf de windows pc wel de router pingen maar niet andersom?
Klinkt als een firewall-op-de-win-pc probleem.

Heb je zonealarm (of andere firewall) nu of ooit wel eens geinstalleerd gehad op die windows pc? Heb wel eens gelezen van mensen die zonealarm wel installed hadden waarbij het removen niet helemaal goed gegaan was en nu dus nog steeds liepen te firewallen.

maandag 7 juli 2003 14:50

Acties:

Verwijderd

Voor eth0 staat network en broadcast verkeerd ingevuld.
network moet 212.210.***.0 zijn gezien de netmask
broadcast moet 212.120.***.255 zijn gezien de netmask

Zoals je het nu hebt staan zal de machine de 192.168.0.2 te benaderen via eth0 ipv eth1.

maandag 7 juli 2003 15:15

Acties:

Buffy

Fire bad, Tree pretty

Verwijderd schreef op 06 July 2003 @ 15:59:
[....]

192.168.0.1 kan ik wel pingen vanaf de client maar verder niks. Probeer ik 192.168.0.2 te pingen vanaf de router dan krijg ik een time-out (100% packet loss).

De router geeft de volgende output met arp-a:
code:
1
2
? (192.168.0.2) at <incomplete> on eth1 
[gateway gegevens]  (212.120.110.1) at [NIC gegevens] [ether] on eth0
Iemand een idee wat hier aan de hand is?

Een incomplete arp entry betekent dat 192.168.0.2 geen antwoord geeft op de arp request van 192.168.0.1 (of deze het antwoord niet ontvangt).
Echter aangezien 192.168.0.2 wel 192.168.0.1 kan pingen betekent dat er met de verbinding niks mis is. Denk dus dat grep gelijk heeft dat je op de windows de arp broadcasts geblokeerd worden (of zit er soms een brakke switch tussen?).

Overigens zou na de ping van 192.168.0.2 naar 192.168.0.1 de arp table van de router wel een complete entry voor 192.168.0.2 moeten bevatten zodat voor een korte tijd het wel mogelijk moet zijn om 192.168.0.2 te pingen vanaf de router (tenzij die ook geblockt worden door een firewall

).

That which doesn't kill us, makes us stranger - Trevor (AEon FLux)
When a finger points at the moon, the imbecile looks at the finger (Chinese Proverb)

maandag 7 juli 2003 15:38

Acties:

Verwijderd

Is het niet zo dat je *.*.*.0 je loopback adres is en je *.*.*.255 je broadcast is...
Volgens mij mag je dus geen adres hebben dat op 0 eindigt....Als je je 192.168.0.0 een verandert in een .3 ofzo?

maandag 7 juli 2003 15:49

Acties:

Verwijderd

*.*.*.0 is niet je loopback, maar in dit geval het 'network' waar het IP-adres in voor moet komen.

dinsdag 8 juli 2003 00:31

Acties:

Verwijderd

Topicstarter

Bedank mensen (especially Dawns_sister), het is eindelijk gelukt!

(of zit er soms een brakke switch tussen?).

De oorzaak van het hele probleem. De eerste drie ingangen werken niet.. Gebruik nu de laatste ingang (achtste) en het loopt als een trein!

Morgen maar even kijken als zoiets te maken valt en zoniet, dan maar een nieuwe switch aanschaffen.

dinsdag 8 juli 2003 15:12

Acties:

grep

meer begrep...

LOL!

Op een of andere manier wil je in eerste instantie nooit geloven dat het die hardware is he? Je denkt toch vaak "hmm wat doe IK fout?"