MIKQ
Active Member
Ok. Für heuet nach 10 Stunden bin ich mit meinem Latein am Ende.
Habe grade ein OpenBSD 4.4er nach diversen HowTos als Router/Firewall/DHCP Server ausgesetzt wie immer eigentlich.
Ich plage mich mit einem Haufen seltsamer Fehler die kommen und gehen. Kenne ich eigentlich nur sonst von Windows.
Das größte Problem trotz erfolgreicher Einwahl und Verbindung zum Netz kann ich von den Arbeitsstationen nicht Surfen.
Soll heißen, die Windows Rechner können ebenfalls in das Internet "pingen" und "tracen" aber kein Browser öffnet eine Seite!
Seltsam: Für 2 – 3 Seiten funktionierte es vor 5 Minuten (sehr langsam) (heise.de) für andere NICHT! (spiegel.de)
Im Moment funktioniert keine einzige Seite.
Ping hingegen bis eben kein Problem:
Hier meine pf.conf
Ab und an taucht im dmesg folgender Fehler auf, aber nicht immer!!??!
Route show gibt das aus:
usw.
ifconfig das:
Ich benutze hostname.pppoe0 zur DSL Einwahl.
Noch seltsamer, obwohl es eben ging kann ich mich per Laptop nicht mehr mit PuTTy auf den OpenBSD Rechner verbinden.
PuTTY kriegt einen Connect hin fragt nach dem Usernamen (login as: ) und kommt nicht mehr wieder um ein Passwort abzufragen. (Connection timed out)
Im lokalem Netz?
Also die Thread hier am Anfang befolgt.
Die Firewall mit
deaktiviert und einen
gemacht
Der tcpdump der externen Karte beim Ping auf die IP 193.0.0.193 der übrigens grade NICHT mehr geht ergab folgenden Dump:
Bin ziemlich verzweifelt.
Weiß jemand Rat?
MIKQ
Habe grade ein OpenBSD 4.4er nach diversen HowTos als Router/Firewall/DHCP Server ausgesetzt wie immer eigentlich.
Ich plage mich mit einem Haufen seltsamer Fehler die kommen und gehen. Kenne ich eigentlich nur sonst von Windows.
Das größte Problem trotz erfolgreicher Einwahl und Verbindung zum Netz kann ich von den Arbeitsstationen nicht Surfen.
Soll heißen, die Windows Rechner können ebenfalls in das Internet "pingen" und "tracen" aber kein Browser öffnet eine Seite!
Seltsam: Für 2 – 3 Seiten funktionierte es vor 5 Minuten (sehr langsam) (heise.de) für andere NICHT! (spiegel.de)
Im Moment funktioniert keine einzige Seite.
Ping hingegen bis eben kein Problem:
Code:
C:\Dokumente und Einstellungen\User2>ping www.heise.de
Ping www.heise.de [193.99.144.85] mit 32 Bytes Daten:
Antwort von 193.99.144.85: Bytes=32 Zeit=10ms TTL=247
Hier meine pf.conf
Code:
### VARIABLEN ###
Ext = "tun0" # Device an dem das Internet angeschlossen ist
Int = "xl0" # Device an dem das interne Netz haengt
IntNet = "192.168.0.0/24" # Adressraum des internen Netzes
RouterIP = "192.168.0.4" # IP Adresse des Routers
Loop = "lo0" # Loopback Device
# Adressen die auf dem externen Device nicht geroutet werden
# (Adressbereich des internen Netzes muss man wegen der Weiterleitungen zulassen)
table <NoRoute> { 127.0.0.1/8, 172.16.0.0/12, 192.168.0.0/16, !$IntNet, 10.0.0.0/8, 255.255.255.255/32 }
# Ports die geoeffnet werden sollen
InServicesTCP = "{ ssh, ftp, auth }"
### OPTIONS ###
# Macht Statistiken fuer die DSL-Verbindung (pfctl -s info)
set loginterface $Ext
# Beendet inaktive Verbindungen schneller - geringerer Speicherverbrauch.
set optimization aggressive
# Fragmentierte Pakete saeubern
scrub on $Ext all fragment reassemble random-id
# Queueing
# !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
# !! Achtung: Der unten stehende Wert von 100Kb (Kilobit) macht natuerlich
# !! nur fuer den Standard DSL Anschluss mit 128kb upstream Sinn. Hat man
# !! eine Verbindung mit groesserer Bandbreite beim upload, dann muss
# !! dieser Wert entsprechend angepasst werden.
# !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
altq on $Ext priq bandwidth 550Kb queue { q_pri, q_def }
queue q_pri priority 7
queue q_def priority 1 priq(default)
### NAT & FORWARD ###
# NAT aktivieren (unter Linux als Masquerading bekannt)
#nat on $Ext from $IntNet to any -> $Ext static-port
nat on $Ext from $IntNet to any -> ($Ext) static-port
# Active FTP - Umleitung zu unserem ftp-proxy
#rdr on $Int proto tcp from !$RouterIP to !$IntNet port 21 -> 127.0.0.1 port 8021
#rdr-anchor "redirect/*"
#Mein ftp proxy nach: http://www.openbsd.org/faq/pf/ftp.html
#nat-anchor "ftp-proxy/*"
#rdr-anchor "ftp-proxy/*"
#rdr on $Int proto tcp from any to any port 21 -> 127.0.0.1 \ port 8021
### FILTER ###
# Zum Debuggen....
#pass quick all # Alles durchlassen
# Generelle Block Regel
block on $Ext
# Freiwillig machen wir keinen mucks ;)
block return log on $Ext
# Wir wollen kein IPv6.0
block quick inet6
# Loopback Device darf alles
pass quick on $Loop
# IP Spoofing verhindern
block in log quick on $Ext inet from <NoRoute> to any
block in log quick on $Ext inet from any to <NoRoute>
# Active FTP erlauben
pass in quick on $Ext inet proto tcp from any to any port > 49151 user proxy flags S/SAFR keep state
# Ping akzeptieren (ablehnen ist uebrigends wenig sinnvoll)
pass in quick on $Ext inet proto icmp all icmp-type 8 code 0 keep state
# Ports nach aussen oeffnen
pass in quick on $Ext inet proto tcp from any to any port $InServicesTCP flags S/SAFR keep state label ServicesTCP
#eMule Anker
anchor "passin/*"
#ftp proxy Regel
anchor "ftp-proxy/*"
# Raus darf (fast) alles
pass out quick on $Ext keep state queue (q_def,q_pri)
#pass out quick on ($Ext) keep state
Code:
[I]pppoe0: pap failure[/I]
Route show gibt das aus:
Code:
root@Zaphod:~\>route show
Routing tables
Internet:
Destination Gateway Flags Refs Use Mtu Prio Iface
default 0.0.0.1 UGS 0 33 - 48 pppoe0
loopback localhost UGRS 0 0 33204 48 lo0
localhost localhost UH 1 0 33204 48 lo0
192.168.0/24 link#2 UC 1 0 - 48 xl0
192.168.0.1 00:1a:4d:4b:d4:e0 UHLc 2 152 - 48 xl0
cras10k-sto1.netco xdsl-78-34-115-158 UH 0 0 - 48 pppoe0
BASE-ADDRESS.MCAST localhost URS 0 0 33204 48 lo0
Internet6:
Destination Gateway Flags Refs Use Mtu Prio Iface
::/104 localhost.blue.sky UGRS 0 0 - 48 lo0
ifconfig das:
Code:
root@Zaphod:~\>ifconfig -a
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 33204
groups: lo
inet 127.0.0.1 netmask 0xff000000
inet6 ::1 prefixlen 128
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4
fxp0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
lladdr 00:30:05:21:32:96
media: Ethernet autoselect (100baseTX full-duplex)
status: active
inet6 fe80::230:5ff:fe21:3296%fxp0 prefixlen 64 scopeid 0x1
xl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
lladdr 00:50:04:6b:37:bd
media: Ethernet autoselect (100baseTX full-duplex)
status: active
inet 192.168.0.4 netmask 0xffffff00 broadcast 192.168.0.255
inet6 fe80::250:4ff:fe6b:37bd%xl0 prefixlen 64 scopeid 0x2
enc0: flags=0<> mtu 1536
rum0: flags=8802<BROADCAST,SIMPLEX,MULTICAST> mtu 1500
lladdr 00:1e:58:fe:74:4f
groups: wlan
media: IEEE802.11 autoselect
status: no network
ieee80211: nwid "" 100dBm
pppoe0: flags=8851<UP,POINTOPOINT,RUNNING,SIMPLEX,MULTICAST> mtu 1492
dev: fxp0 state: session
sid: 0x3515 PADI retries: 0 PADR retries: 0 time: 00:05:40
sppp: phase network authproto pap authname "XYZ@provider.de"
groups: pppoe egress
inet6 fe80::230:5ff:fe21:3296%pppoe0 -> prefixlen 64 scopeid 0x6
inet 78.34.115.158 --> 213.196.239.106 netmask 0xffffffff
Ich benutze hostname.pppoe0 zur DSL Einwahl.
Noch seltsamer, obwohl es eben ging kann ich mich per Laptop nicht mehr mit PuTTy auf den OpenBSD Rechner verbinden.
PuTTY kriegt einen Connect hin fragt nach dem Usernamen (login as: ) und kommt nicht mehr wieder um ein Passwort abzufragen. (Connection timed out)
Im lokalem Netz?
Also die Thread hier am Anfang befolgt.
Die Firewall mit
Code:
pfctl –d
Code:
tcpdump
Der tcpdump der externen Karte beim Ping auf die IP 193.0.0.193 der übrigens grade NICHT mehr geht ergab folgenden Dump:
Code:
03:49:48.794668 192.168.0.127 > 193.0.0.193: icmp: echo request
03:49:49.013622 192.168.0.127.3409 > 94.224.246.219.https: S 3650593396:3650593396(0) win 65535 <mss 1460,nop,nop,sackOK> (DF)
03:49:49.123148 192.168.0.127.3396 > 85.180.2.70.18090: S 2861261728:2861261728(0) win 65535 <mss 1460,nop,nop,sackOK> (DF)
03:49:49.889699 192.168.0.127.3398 > 94.224.246.219.www: S 2060373613:2060373613(0) win 65535 <mss 1460,nop,nop,sackOK> (DF)
03:49:50.327717 192.168.0.127.3399 > 86.22.101.3.61252: S 3416185555:3416185555(0) win 65535 <mss 1460,nop,nop,sackOK> (DF)
03:49:50.641415 Echo-Request, Magic-Number=804907822
03:49:50.641436 Echo-Reply, Magic-Number=385910138
Bin ziemlich verzweifelt.
Weiß jemand Rat?
MIKQ
Zuletzt bearbeitet: