netzrouter routet nur in eine richtung

[karl]

hallo zusammen

bin bsd-frischling und hab ein problem mit dem routing.
wollte mir einen internen netz-router mit freebsd 6.0 basteln,
der irgend wann mal mein w-lan absichern soll (das kommt aber erst spähter
drann).
nun hab ich das problem, das er nur in eine richtung
die ip-pakete durch lässt. hab im handbuch nun einiges dazu gelesen, auch
feste routen eingetragen, das ip-routing aktiviert, kontrolliert, ob auch keine
firewall drauf ist und und und, aber es will nicht.
wie gesagt, in eine richtung gehts, aber in die andere richtung kann ich nur
die netzwrkkarte des routers anpingen, aber nicht einen anderen client.
hab ich da noch was übersehen?

netz a = 192.168.3.0/24, netz b = 192.168.4.0/24
lnc0 = 192.168.3.1, lnc1 = 192.168.4.1

im momment seit ihr meine letzte hoffnung :-))
hoffe jemand kann mir einen tipp geben.
gruss
karl

 

[Frank D.]

Hallo Karl,

1. Kannst Du Clients im jeweiligen Subnetz vom Router aus anpingen ?
2. Routingeinträge auf den Clients ? Fur einen Client in x.x.4.x Netz müsste es z.B. lauten: route add default gw 192.168.4.1

Nach meiner Erfahrung (vor allem mit C***o-Routern) ist es sinnvoll, sich im OSI-Modell von Layer 0 nach oben zu arbeiten, also: sind es die richtigen Kabel (bei Netzwerkkarte zu Netzwerkkarte brauchst Du CrossOver-Kabel, hast Du einen Switch dazwischen 1:1-Kabel) ?, sind die Kabel o.k. ? (Kabeltester), sind die Einstellungen der Karten korrekt (10 Mbit/s, 100 Mbit/s, Full- oder HalfDuplex) ? etc ...

Sobald Du physikalische Probleme ausschalten kannst(und anscheinend ist dei Physik ja nicht der begrenzende Faktor), hilft Dir entweder Ethereal (heißt aber neuerdings anders) oder tcpdump weiter. Hier im Forum gabs mal ein HOWTO für OpenBSD und Netzwerke mit dem Schwerpunkt Fehlersuche.

Gruß

Frank

 

[Frank D.]

Hallo Karl,

liegt es vielleicht am Routingeintrag /32 statt /24, als o daß Du nicht das ganze Netz freigegeben hast, sondern nur den Router oder einen anderen Netzbereich ?

Gruß

Frank

 

[walt]

[...]
hilft Dir entweder Ethereal (heißt aber neuerdings anders)
[...]

So ?
Auf http://www.ethereal.com/ ist davon aber nichts zu merken.

 

[Frank D.]

So ?
Auf http://www.ethereal.com/ ist davon aber nichts zu merken.

Ethereal-Entwickler Gerald Combs hat bekannt gegeben, dass er und seine Mitstreiter den Netzwerk-Protokoll-Analyzer nun unter dem Namen Wireshark weiterentwickeln. Damit wird die erst Ende April freigegebene Version Ethereal 0.99 die letzte auf www.ethereal.com sein. Denn mit dem Namenswechsel zieht auch die gesamte Website des Projekts um. Neben der Prerelease Wireshark 0.99.1pre1 sind bereits sämtliche Ressourcen samt Mailingliste, Bugtracker, SVN-Repository und Buildbot unter der neuen Domain wireshark.org zu finden.
Anzeige

Also zumindest, was Entwicklungen nach 0.99 betrifft.

 

[mark05]

hi

also grundsaetzlich wuerde ich erstmal schauen
ist if.forwarding an ? kann per sysctl geprueft werden
ist keine firewall aktiv ( mit ipfw sho oder pfctl -si sollte das rauszubekommen sein )

holger

 

[kafazov]

Hallo Karl,

scheint wie das Default Router auf die Client Maschinen falsch ist. Das wäre mindestens eine Möglichkeit.

Gruß,
Angel

 

[karl]

hallo zusammen
danke für euren schnellen tipps, war auch was dabei, dachte ich hab an der bsd-büchse was falsch gemacht, aber es waren doch die clients.
hab in meinen netzwerk nun zwei router, einer intern, der andere fürs i-net.
hatte einen denkfehler, ein ping von einen client über den router zu einen anderen client kann natürlich nur funktionieren, wenn alle die richtigen routereinträge haben. kurz, der angepingte client konnte natürlich die antwort nicht zurücksenden, da zwar alle routereinträge vorhanden waren aber ich sie falsch konfiguriert hatte. jedenfalls dank an alle, für das zurechtbiegen meiner synapsen
gruss
karl

 

[Stefan_Herrmann]

ok, ich habe das selbe Problem und weiss nicht mehr wirklich weiter...
das heisst:

externes Netz: 192.168.1.0/24
internes Netz: 192.168.2.0/24
Router/Firewall hat IP 192.168.1.2 und 192.168.2.1
Testrechner: 192.168.2.11 (Standardgateway ist 192.168.2.1), 192.168.1.51 (standardgateway 192.168.1.2)
DSL-Gateway 192.168.1.1

hier die rc.config

# -- sysinstall generated deltas -- # Fri Dec 22 16:21:53 2006
# Created: Fri Dec 22 16:21:53 2006
# Enable network daemons for user convenience.
# Please make all changes to this file, not to /etc/defaults/rc.conf.
# This file now contains just the overrides from /etc/defaults/rc.conf.
gateway_enable="YES"
hostname="fw.intern"
ifconfig_sk0="inet 192.168.1.2 netmask 0xffffff00"
ifconfig_sk1="inet 192.168.2.1 netmask 0xffffff00"
keymap="german.iso"
linux_enable="YES"
moused_enable="NO"
moused_port="/dev/psm0"
moused_type="auto"
router_enable="NO"
sshd_enable="YES"
usbd_enable="YES"
pf_enable="YES"
pflog_enable="YES"
pflog_logfile="/var/log/pflog"
pf_rules="/etc/pfnet.conf"

Hier der IPv4-Teil von netstat -nr

Internet:
Destination Gateway Flags Refs Use Netif Expire
127.0.0.1 127.0.0.1 UH 0 0 lo0
192.168.1 link#1 UC 0 0 sk0
192.168.1.1 00:13:49:7f:6d:cb UHLW 1 20 sk0 1058
192.168.1.51 00:05:5d:74:5d:a1 UHLW 1 126 sk0 1055
192.168.2 link#2 UC 0 0 sk1

Das Problem: Die Kiste routet problemlos vom 1er-Netz ins 2er-Netz, aber nicht andersrum (der routet sogar auch ins Internet, sobald ich in der Freebsd-Firewall den DSL-Router als default-gateway eingestellt habe, also eigentlich alles so, wie's funktionieren sollte). Hat man einmal eine Verbindung zu einem Rechner im internen Netz aufgebaut, kann dieser nach aussen verbinden, aber: nur zu dem Rechner, mit dem vorher eine Verbindung bestand.
Des weiteren kann man die nächste Station immer anpingen, der Testrechner (192.168.2.1) kann auch die 192.168.1.2 anpingen, also die 2. IP vom Gateway.

Meine Vermutung: irgendwo läuft noch 'nen Filter, der das ganze blockiert. Ich weiss nur 100%ig: Es liegt nicht an PF! (wenn ich pf abschalte, besteht das Problem immer noch).

Also: wer hat noch eine Idee, die ich noch nicht hatte?

 

[uli.karl]

hi stefan

hab so ne ähnliche konstellation. hab den rechner (bei mir xp) zwei gateways mitgegeben (z.b. 192.168.1.2 und 192.168.1.1, metrik auf auto), desweiteren die nötigen routen im router und im dsl-router eingetragen. eventuell hilfts.

gruss
karl