Probleme mit Internetzugang und DHCPD

f0x

Punk
Hi,
bei der Konfiguration meiner alix 2d3 haben sich nun 2 Probleme ergeben mit denen ich nicht fertig werde.

Erstens steht eine pppoe verbindung, jedoch bekomme ich keine verbindung nach draußen. Ping und ähnliches ergeben immer fehlschläge.
Bei der Konfiguration habe ich mich größtenteils an das tutorial von taunusstein.net gehalten.
Laut meiner ipconfig besteht eine Verbindung, eine IP wurde mir zugewiesen, auch vr0 ist aktiv und up. Hier der Output der ipconfig
Code:
vr0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        lladdr 00:0d:b9:19:f3:9c
        priority: 0
        media: Ethernet autoselect (100baseTX full-duplex)
        status: active
        inet6 fe80::20d:b9ff:fe19:f39c%vr0 prefixlen 64 scopeid 0x1
vr1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        lladdr 00:0d:b9:19:f3:9d
        priority: 0
        media: Ethernet autoselect (100baseTX full-duplex)
        status: active
        inet 10.0.0.1 netmask 0xffffff00 broadcast 10.0.0.255
        inet6 fe80::20d:b9ff:fe19:f39d%vr1 prefixlen 64 scopeid 0x2
vr2: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        lladdr 00:0d:b9:19:f3:9e
        priority: 0
        media: Ethernet autoselect (none)
        status: no carrier
        inet 10.0.0.2 netmask 0xffffff00 broadcast 10.0.0.255
        inet6 fe80::20d:b9ff:fe19:f39e%vr2 prefixlen 64 scopeid 0x3
enc0: flags=0<> mtu 1536
        priority: 0
pppoe0: flags=8851<UP,POINTOPOINT,RUNNING,SIMPLEX,MULTICAST> mtu 1492
        priority: 0
        dev: vr0 state: session
        sid: 0x135 PADI retries: 0 PADR retries: 0 time: 00:13:53
        sppp: phase network authproto pap authname "XXXXXXX"
        groups: pppoe egress
        inet6 fe80::20d:b9ff:fe19:f39c%pppoe0 ->  prefixlen 64 scopeid 0x6
        inet XX.XX.XX.XX --> XX.XX.XX.XX netmask 0xffffffff

Ein nmap scan von meinem Nachbarn aus ergab, dass der Host online ist, jedoch ist keine Verbindung auf ihn möglich.
Die Firewall ist fast genau so wie bei dem tutorial, daran wird's also wohl nicht liegen!

hostname.pppoe0 enthält
Code:
inet 0.0.0.0 255.255.255.255 NONE pppoedev vr0 \
        authproto pap authname XXXXXX authkey XXXXXX up
dest 0.0.0.1
!/sbin/route add default 0.0.0.1

Zur Hardware, die alix ist mit einem arcor modem verbunden, welches wiederum mit meinem nt-split verbunden ist. vr0 ist das device, welches mit dem Modem verbunden ist, vr1 und vr2 sind internes LAN.

Das zweite Problem hängt mit dem dhcpd auf der alix zusammen. vr1 führt zu einem switch an welchen mehrere Rechner + einem Server angeschlossen sind, vr2 zu einem einzelnen PC.

Die ip-vergabe über vr1 funtioniert einwandfrei, als ich jedoch gerade eben zum ersten mal testweise den einzelnen PC an vr2 anschloss, wurde eine auf vr1 fest vergebene IP (10.0.0.9) von diesem überschrieben!
Außerdem hat der PC kein Gateway zugeteilt bekommen, was logisch ist, da er ja als Gateway nicht die 10.0.0.1 nutzen kann, sondern die 10.0.0.2 zugewiesen bekommen muss (oder lieg ich da falsch?).
Müsste ich ein zweites subnet für vr2 schreiben? der PC in vr2 brauch aber Verbindung zum restlichen Netzwerk und so wie ich das sehe, wäre dies dann nicht mehr gewährleistet und höchstens über eine rdr regel in der pf realisierbar...!

Hier noch die dhcpd.conf
Code:
subnet 10.0.0.0 netmask 255.255.255.0 {
range 10.0.0.9 10.0.0.14;
default-lease-time 86400;
max-lease-time 90000;
}
group {
 option broadcast-address 10.0.0.255;
 option domain-name "xxx.xxx.org";
 option domain-name-servers 208.67.222.222, 208.67.220.220;
 option routers 10.0.0.1;
 option subnet-mask 255.255.255.0;

host desktop1 {
 hardware ethernet XX:XX:XX:XX:XX:XX;
 fixed-address 10.0.0.9;
 option host-name "desktop1";
 }
host server {
 hardware ethernet XX:XX:XX:XX:XX:XX;
 fixed-address 10.0.0.10;
 option host-name "server";
 }
host desktop2 {
 hardware ethernet XX:XX:XX:XX:XX:XX;
 fixed-address 10.0.0.11;
 option host-name "desktop2";
 }
host laptopwlan {
 hardware ethernet XX:XX:XX:XX:XX:XX;
 fixed-address 10.0.0.12;
 option host-name "laptopwlan";
 }
host laptoplan {
 hardware ethernet XX:XX:XX:XX:XX:XX;
 fixed-address 10.0.0.13;
 option host-name "laptoplan";
 }
}

Ich hoffe ihr könnt mir helfen, ich bin nämlich mit meinem latein am Ende...


Lg und danke im Vorraus

f0x
 
Zuletzt bearbeitet:

Florian88

Well-Known Member
Hallo f0x,

ich denke bei deinem zweiten Problem kann ich dir helfen.
vr1 und vr2 dürfen nicht im selben subnetz liegen. Wenn du später versuchst z.B. 10.0.0.3 anzupingen weiß der router nicht auf welchem Interface er den entsprechenden Host erreicht. Was du suchst ist eine Bridge.

Ich glaube die Konfiguration sollte in etwa so aussehen, bin mir aber nicht 100 % sicher:

hostname.vr1:
inet 10.0.0.1 255.255.255.0 10.0.0.255

hostname.vr2
up

bridgename.bridge0:
add vr1
add vr2
up

rc.conf.local:
dhcpd_flags="vr1"

Probier das doch einfach mal aus. Ich hoffe es klappt.

Und nochwas:
Poste doch bitte mal ein route show. Vielleicht finden wir da noch einen Fehler.
 

f0x

Punk
Das Ergebnis der bridge war phänomenal katastrophal! Der DHCP ist abgeschmirt, die Firewall sagte beim Startup nur noch Fehler in der .conf an, im boot der punkt "starting network interfaces" funtionierte gar nicht mehr...
Ich musste die alix abbauen und über Nullmodemkabel drauf zugreiden weil sonst nix mehr ging :ugly:
Hab die config drei mal überprüft, stimmte mit der von dir vorgeschlagenen (welche auch in der faq von OBSD steht) überein... Deshalb habe ich dieses Problem erstmal zurück gestellt.
Vorrangig ist nun die Internet-Verbindung.
Hier der output von route show:
Code:
# route show

Routing tables



Internet:

Destination        Gateway            Flags   Refs      Use   Mtu  Prio Iface

default            0.0.0.1            UGS        0      184     -     8 pppoe0

10.0.0/24          link#2             UC         1        0     -     4 vr1

10.0.0.9           00:1a:4d:53:43:93  UHLc       1      845     -     4 vr1

88.70.0.1          88.70.21.128       UH         0        0     -     4 pppoe0

loopback           localhost          UGRS       0        0 33200     8 lo0

localhost          localhost          UH         1        2 33200     4 lo0

BASE-ADDRESS.MCAST localhost          URS        0        0 33200     8 lo0



Internet6:

Destination        Gateway            Flags   Refs      Use   Mtu  Prio Iface

::/104             localhost          UGRS       0        0     -     8 lo0

::/96              localhost          UGRS       0        0     -     8 lo0

localhost          localhost          UH        14        0 33200     4 lo0

::127.0.0.0/104    localhost          UGRS       0        0     -     8 lo0

::224.0.0.0/100    localhost          UGRS       0        0     -     8 lo0

::255.0.0.0/104    localhost          UGRS       0        0     -     8 lo0

::ffff:0.0.0.0/96  localhost          UGRS       0        0     -     8 lo0

2002::/24          localhost          UGRS       0        0     -     8 lo0

2002:7f00::/24     localhost          UGRS       0        0     -     8 lo0

2002:e000::/20     localhost          UGRS       0        0     -     8 lo0

2002:ff00::/24     localhost          UGRS       0        0     -     8 lo0

fe80::/10          localhost          UGRS       0        0     -     8 lo0

fe80::%vr0/64      link#1             UC         0        0     -     4 vr0

fe80::20d:b9ff:fe1 00:0d:b9:19:f3:9c  UHL        0        0     -     4 lo0

fe80::%vr1/64      link#2             UC         0        0     -     4 vr1

fe80::20d:b9ff:fe1 00:0d:b9:19:f3:9d  UHL        0        0     -     4 lo0

fe80::%vr2/64      link#3             C          0        0     -     4 vr2

fe80::20d:b9ff:fe1 00:0d:b9:19:f3:9e  HL         0        0     -     4 lo0

fe80::%lo0/64      fe80::1%lo0        U          0        0     -     4 lo0

fe80::1%lo0        link#5             UHL        0        0     -     4 lo0

fe80::%pppoe0/64   fe80::20d:b9ff:fe1 U          0        0     -     4 pppoe0

fe80::20d:b9ff:fe1 link#6             HL         0        0     -     4 lo0

fec0::/10          localhost          UGRS       0        0     -     8 lo0

ff01::/16          localhost          UGRS       0        0     -     8 lo0

ff01::%vr0/32      link#1             UC         0        0     -     4 vr0

ff01::%vr1/32      link#2             UC         0        0     -     4 vr1

ff01::%vr2/32      link#3             C          0        0     -     4 vr2

ff01::%lo0/32      localhost          UC         0        0     -     4 lo0

ff01::%pppoe0/32   fe80::20d:b9ff:fe1 UC         0        0     -     4 pppoe0

ff02::/16          localhost          UGRS       0        0     -     8 lo0

ff02::%vr0/32      link#1             UC         0        0     -     4 vr0

ff02::%vr1/32      link#2             UC         0        0     -     4 vr1

ff02::%vr2/32      link#3             C          0        0     -     4 vr2

ff02::%lo0/32      localhost          UC         0        0     -     4 lo0

ff02::%pppoe0/32   fe80::20d:b9ff:fe1 UC         0        0     -     4 pppoe0
 

Florian88

Well-Known Member
Also warum die Sache mit der Bridge nicht funktioniert verstehe ich nicht. Ich hab mein Alixboard zeitweise nämlich auch als Bridge betrieben und das hat definitiv funktioniert. Aber da habe ich keine Firewall verwendet. Bridge mit firewall ist etwas schwierig, da macht man leicht Fehler.

Mit pppoe kenn ich mich nicht aus, aber ich würde an deiner Stelle folgendermaßen vorgehen:

vr2 entfernen
firewall abschalten
pppoe konfigurieren und einfach versuchen ob du vom router aus ins internet kommst.
Danach kanns du dich an den dhcp Server machen, da sollte die Konfiguration recht problemlos sein.
Die Firewall würde ich erst ganz am Ende konfigurieren.
Da sollte für den Anfang eine einfache Nat Regel reichen. Wenn das funktioniert kannst du die Firewall entsprechend erweitern. Ich würde am Anfang nicht gleich das komplette ruleset von Taunusstein verwenden.

Viel erfolg!!!
 

Herakles

Profifragensteller
Ich möchte Florian zustimmen - mach es erstmal alles simpler, um Fehler auszuschließen. Dass Du Dir einfach so sicher bist, dass die Firewall dir nichts kaputt macht, halt ich für gefährlich. Mach einfach mal ein

Code:
pfctl -F all

um die kompletten Regeln zu verwerfen. Für ein paar Testminuten darfst Du wohl ohne Firewall online gehen. Dann schau nochmal, ob das funktioniert oder nicht...

HTH,
Herakles
 

f0x

Punk
Ok,
die Firewall hatte ich schon mehrfach deaktiviert, hat sich aber nix getan. Jetzt ist mir gerade aufgefallen ,dass ich auch das interne Netzwerk nicht anpingen kann (mit Firewall vollständig aus (pfctl -d)). Ich bin mir nicht so sicher ob ich das vorher überhaupt mal getestet habe... Von meinem Desktop aus kann ich die alix anpingen und bin auch per ssh draufgeschaltet!
Woran könnt n das wohl liegen, und wie kann ich das beheben?

Achja @Florian: was meinst du mit vr2 entfernen? hostname.vr2 löschen, das Kabel entfernen oder was?
 

Florian88

Well-Known Member
Als erstes würde ich den Inhalt der hostname.vr2 auskommentieren.
Dann gibst du ifconfig vr2 delete ein.

Also du kannst von deinem Desktop (welcher im internen Netz steht) die Alix anpingen und bist auch per ssh auf der Alix. Aber von der Alix kannst du den Desktop nicht anpingen. Hab ich das so richtig verstanden?

Ist auf dem Desktop vielleicht irgendeine Firewall die Pings blockt? Wenn du pingst, kommt dann eine Fehlermeldung (no route to host o.ä.) oder einfach gar nichts?

Ich poste einfach mal die Config von meiner Firewall. Wenn du vr0 auf pppoe anpasst sollte der Rest ohne anpassung klappen.

hostname.vr0
Code:
inet 137.XXX.XXX.XXX 255.255.255.0 137.XXX.XXX.255 media 100baseTX description WAN mediaopt full-duplex

hostname.vr1
Code:
inet 192.168.0.1 255.255.255.0 192.168.0.255 media 100baseTX description LAN mediaopt full-duplex

pf.conf
Code:
ext_if="vr0"
int_if="vr1"
icmp_types="echoreq"


# options
set block-policy return
# set loginterface $ext_if

set skip on lo

# scrub
scrub in

# nat/rdr
nat on $ext_if from ($int_if:network) -> ($ext_if)


# filter rules
block in
pass out
antispoof quick for { lo $int_if $ext_if }


pass in inet proto icmp all icmp-type $icmp_types keep state
pass in quick on $int_if inet to any

dhcpd.conf
Code:
option  domain-name "mein.domaine.de";
option  domain-name-servers 137.aaa.xxx.yyy;

subnet 192.168.0.0 netmask 255.255.255.0 {
        option routers 192.168.0.1;

        range 192.168.0.100 192.168.0.254;


}
 

f0x

Punk
Hey,
also ich habe jetzt aufgrund von boot-problemen (kp woher die kamen) OpenBSD neu auf der alix installiert.

Das mit dem ping lag an meinem Desktop-Rechner... Ich hab jetzt meinen Laptop mit Crunchbang angeschlossen und anpingen des Laptop's von der alix aus als auch anders herrum hat funtioniert.

Hab die Vorschläge befolgt die du geschrieben hast und bin der Sach eine wenig näher gekommen.
ping www.google.de auf der alix ergab:
Code:
# ping www.google.de
PING www.l.google.com (74.125.43.99): 56 data bytes
--- www.l.google.com ping statistics ---
5 packets transmitted, 0 packets received, 100.0% packet loss
#

ping 193.0.0.193 auf dem laptop mit tcpdump -tenvvvi vr0 auf der alix ergab: (ausgabe von der alix)
Code:
# tcpdump -tenvvvi vr0
tcpdump: listening on vr0, link-type EN10MB
00:0d:b9:19:f3:9c 00:30:88:01:7f:4f 8864 106: PPPoE-Session
        code Session, version 1, type 1, id 0x0c13, length 86
        IP: 192.168.20.201 > 193.0.0.193: icmp: echo request (id:ec67 seq:112) (DF) (ttl 63, id 0, len 84)
00:0d:b9:19:f3:9c 00:30:88:01:7f:4f 8864 106: PPPoE-Session
        code Session, version 1, type 1, id 0x0c13, length 86
        IP: 192.168.20.201 > 193.0.0.193: icmp: echo request (id:ec67 seq:113) (DF) (ttl 63, id 0, len 84)
00:0d:b9:19:f3:9c 00:30:88:01:7f:4f 8864 106: PPPoE-Session
        code Session, version 1, type 1, id 0x0c13, length 86
        IP: 192.168.20.201 > 193.0.0.193: icmp: echo request (id:ec67 seq:114) (DF) (ttl 63, id 0, len 84)
00:0d:b9:19:f3:9c 00:30:88:01:7f:4f 8864 106: PPPoE-Session
        code Session, version 1, type 1, id 0x0c13, length 86
        IP: 192.168.20.201 > 193.0.0.193: icmp: echo request (id:ec67 seq:115) (DF) (ttl 63, id 0, len 84)
00:0d:b9:19:f3:9c 00:30:88:01:7f:4f 8864 106: PPPoE-Session
        code Session, version 1, type 1, id 0x0c13, length 86
        IP: 192.168.20.201 > 193.0.0.193: icmp: echo request (id:ec67 seq:116) (DF) (ttl 63, id 0, len 84)
00:0d:b9:19:f3:9c 00:30:88:01:7f:4f 8864 106: PPPoE-Session
        code Session, version 1, type 1, id 0x0c13, length 86
        IP: 192.168.20.201 > 193.0.0.193: icmp: echo request (id:ec67 seq:117) (DF) (ttl 63, id 0, len 84)
00:0d:b9:19:f3:9c 00:30:88:01:7f:4f 8864 106: PPPoE-Session
        code Session, version 1, type 1, id 0x0c13, length 86
        IP: 192.168.20.201 > 193.0.0.193: icmp: echo request (id:ec67 seq:118) (DF) (ttl 63, id 0, len 84)
00:0d:b9:19:f3:9c 00:30:88:01:7f:4f 8864 106: PPPoE-Session
        code Session, version 1, type 1, id 0x0c13, length 86
        IP: 192.168.20.201 > 193.0.0.193: icmp: echo request (id:ec67 seq:119) (DF) (ttl 63, id 0, len 84)
00:0d:b9:19:f3:9c 00:30:88:01:7f:4f 8864 106: PPPoE-Session
        code Session, version 1, type 1, id 0x0c13, length 86
        IP: 192.168.20.201 > 193.0.0.193: icmp: echo request (id:ec67 seq:120) (DF) (ttl 63, id 0, len 84)
^C
9 packets received by filter
0 packets dropped by kernel
Beim Laptop kam kein Packet an!
Das ist doch schon mal ein kleiner Fortschritt :rolleyes:
Internet geht selbstverständlich nicht :D

In hostname.vr0 steht im moment nur up - ich weis nicht ob ich da noch was dran verändern muss.
Ich habe auch des öfteren gelesen, dass in solchen fällen überpfüft werden soll, ob die default route richtig ist - wie stelle ich das denn fest?

Lg
f0x
 

kashee Opeiah

FreeBSD rockz
Hi,
habe noch nie mit OpenBSD gearbeitet, aber der Befehl für die Standartroute lautet

Code:
# route show
Du hast Ihn oben schonmal eingeben.

Die Defaultroute müsste dann:
Code:
Internet:

Destination        Gateway            Flags   Refs      Use   Mtu  Prio Iface

default            0.0.0.0                                           pppoe0
sein. Denk ich. Du hast aber eine Verbindung zum Internet sonst könnte

Code:
# ping www.google.de
PING www.l.google.com (74.125.43.99): 56 data bytes
--- www.l.google.com ping statistics ---
5 packets transmitted, 0 packets received, 100.0% packet loss
#
das nicht funktionieren. Der Name wird ja erfolgreich aufgelösst. Was sein kann, das Ping (ICMP) durch Firewall etc. gespert ist.

Mfg KO
 

f0x

Punk
Hab die Beispiel Firewall von Florian88 übernommen, alles außer "scrub in" (OpenBSD 4.6 hat kein scrub mehr...) ist genau gleich!
 

Kamikaze

Warrior of Sunlight
Das ist ja interessant. Unter FreeBSD habe ich ohne scrub in der Regel massig Paketverluste mit pf. Ich bin mal gespannt wie das portiert wird.
 

Florian88

Well-Known Member
Also ich habe mir mal gerade die manpage zu pppoe durchgelesen.
Deine Interfacekonfiguration scheint zu stimmen. Die ist exakt so wie in der manpage beschrieben.

Zur pf.conf solltest du allerdings noch
Code:
match on pppoe0 scrub (max-mss 1440)
hinzufügen.
Das erklärt allerdings nicht warum der ping auf google nicht funktioniert.

Wenn du irgendwas an deiner Netzwerkkonfiguration änderst, führst du dann /etc/netstart aus? Hast du den router zwischendurch mal neu gebootet?

Deine Routingkonfiguration sieht schlüssig aus.
Hast du mal in /var/log/messages nachgesehen, ob da irgendwelche verdächtigen Einträge zu finden sind?

Was mich ebenfalls stutzig macht: Die namenslaufösung für den ping funktioniert.
Was sagt denn nslookup www.google.de
Welcher dns server wird verwendet und funktioniert ein ping auf diesen?

Bei der weiteren Fehlersuche solltest du immer vom Router aus das Internet anpingen. Wenn das funktioniert kannst du von deinem Laptop aus pingen.
 

f0x

Punk
nslookup gibt:
Code:
# nslookup www.google.de
Server:         145.253.2.203
Address:        145.253.2.203#53

Non-authoritative answer:
www.google.de   canonical name = www.google.com.
www.google.com  canonical name = www.l.google.com.
Name:   www.l.google.com
Address: 74.125.43.105
Name:   www.l.google.com
Address: 74.125.43.106
Name:   www.l.google.com
Address: 74.125.43.147
Name:   www.l.google.com
Address: 74.125.43.99
Name:   www.l.google.com
Address: 74.125.43.103
Name:   www.l.google.com
Address: 74.125.43.104
Ich weis wirklich nicht weiter...
In den messages steht nix, da hab ich regelmäßig kontrolliert!
Reboots gab's auch immer und netstart's ebenfalls...

EDIT:
Achja, bei netstart gibt's:
Code:
# /etc/netstart
ifconfig: SIOCSIFGENERIC(SPPPIOSXAUTH): Device busy
route: writing to routing socket: Network is unreachable
add net default: gateway 0.0.0.1: Network is unreachable
 
Zuletzt bearbeitet:

Florian88

Well-Known Member
Also wenn du den Nameservererreichen kannst, aber nicht alle Rechner im Internet handelt es sich definitiv um ein Routing Problem.
Sieht dein route show immer noch genauso aus wie aus dem Beitrag letzter Wocher?

Folgendes könntest du noch probieren:
Ändere die letzte Zeile in der hostname.pppoe0 wie folgt ab:
Code:
!/sbin/route add default -ifp pppoe0 0.0.0.1

und lösche die Datei /etc/mygate falls diese existiert.

Das sind jetzt wirklich die letzten beiden Ideen die ich noch habe.

Viel Erfolg!!!
 

f0x

Punk
ok, das hat auch nicht geklappt... :ugly:
aber danke für die Hilfe-Versuche von deiner seite... :)

Wie sieht's denn aus, evtl n älteres OpenBSD oder wird das vermutlich auch nix ändern?
 

kili

just me
ok, das hat auch nicht geklappt... :ugly:
aber danke für die Hilfe-Versuche von deiner seite... :)

Wie sieht's denn aus, evtl n älteres OpenBSD oder wird das vermutlich auch nix ändern?

Du solltest wirklich noch mal komplett neu Installieren, und dann eins nach dem anderen konfigurieren und testen, und zwar nach der Doku auf den offiziellen Webseiten und nicht irgendwelchen obskuren Howtos, die ueberhaupt nicht zu Deiner Version von OpenBSD passen. Also

* Lokales Netz zum Laufen bringen, so dass Du auch von der Alix-Kiste wieder auf Deine lokalen Rechner kommst bzw. sie anpingen kannst.

* Wenn das klappt, pppoe zum Laufen bringen und testen, ob Du von dem Alix nach draussen kommst.

* Wenn das klappt, passende NAT-Regeln in die pf.conf werfen und Forwarding anknipsen. Anschliessend testen, ob Du nun von den anderen Rechnern in Deinem Netz nach draussen kommst.

* Und wenn das klappt, kannst Du den dhcpd auf dem Alix anwerfen und testen.
 

f0x

Punk
Ich hab den Fehler gefunden *FREU*!
Das Modem welches an der alix hängt unterstützt kein ADSL mit 16.000... :ugly:

Weis irgendwer woher ich ein Modem (möglichst günstig) bekomme welches mindestens 16.000 unterstützt?

Es soll nur modem-aufgaben ausführen, keine firewall, konfiguration oder ähnliches - brauch ich alles nicht, hab ja ne alix :p

Lg
ein höchst erfreuter f0x


EDIT: Öhm ADSL2 müsste es sein ne?!? :)

EDIT2: das hier müsste doch völlig ausreichen oder?
 
Zuletzt bearbeitet:

d4mi4n

volksoperator on duty
Ich hab den Fehler gefunden *FREU*!
Das Modem welches an der alix hängt unterstützt kein ADSL mit 16.000... :ugly:

Weis irgendwer woher ich ein Modem (möglichst günstig) bekomme welches mindestens 16.000 unterstützt?

Es soll nur modem-aufgaben ausführen, keine firewall, konfiguration oder ähnliches - brauch ich alles nicht, hab ja ne alix :p

Lg
ein höchst erfreuter f0x


EDIT: Öhm ADSL2 müsste es sein ne?!? :)

EDIT2: müsste doch völlig ausreichen oder?

ADSL2 --> Ja
Conrad --> die Links kannst du nicht einfach aus der Adressleiste kopieren, da gibts neben jedem Artikel einen Link zum Produkt.
Nimm ein günstiges. Aber der Conrad verlangt schon ziemlich viel bei manchen Artikeln, schau doch mal bei hardwareschotte.de vorbei
 

f0x

Punk
CONGSTAR ADSL-MODEM für 9,99€ bei conrad
Code:
Optimal als Ersatz für defekte DSL-Modems nach Blitzschaden geeignet. Außerdem sind viele ältere Modems nicht für die aktuelle Maximalgeschwindigkeit ADSL2+ mit 24 000 kBit/s ausgelegt und müssen bei einem Wechsel zu einem neuen DSL-Vertrag ausgewechselt werden. Sofern Sie einen Router ohne integriertem DSL-Modem einsetzen wollen, wird dieses Gerät einfach zwischen Ihrem Router und dem Splitter (an der Telefondose) eingefügt.

find ich ok... oder nicht?
 

f0x

Punk
nönönönönööö

Hallo, da bin ich wieder!
Das Modem ist endlich da, und gerade habe ich versucht, mit dem neuem Modem die alix box zum laufen zu bekommen, ohne erfolg!

Es ist eigentlich alles haargenau so wie zuletzt, ip wird bezogen, dns-server antwortet (nslookup usw) ping geht raus, kein einziges paket kommt rein, Firewall blockt nichts/ist aus, /var/log/messages is leer (abgesehen vom üblichen boot-krams), die pflog zeigt auch nichts was jemals geblockt wurde.
Ich habe mal testweise das internet-device von vr0 zu vr2 gewechselt, (falls die karte kaputt sein sollte), dies hatte allerdings das selbe ergebnis.

Habt ihr noch vorschläge?
Die Route show sieht auch noch genau so aus wie vorher...

Ich werd es Dienstag mal mit ner älteren Version von OpenBSD versuchen, hab heute und morgen erstmal massig was zu tun was ich zu lang aufgeschoben habe, aber diese alix-geschichte schlaucht doch schon ganz schön :ugly:

Lg
f0x
 

f0x

Punk
Es funktioniert, zumindest das internet :)
Ich hatte einen ziemlich dämlichen Fehler: Zahlendreher im Benutzernamen in der hostname.pppoe

Der wäre mir für normal schnell aufgefallen, jedoch hatte ich die acoount-nummer von einem Zettel den ich selbst abgeschrieben habe... :ugly:

Nun kommt zwar die alix ins netz, allerdings das LAN nicht...

ip forwarding ist aktiviert!

Die alix anpingen funktioniert, ping google.de oder ping 193.0.0.193 allerdings nicht.
Leider kann ich keine tcpdump-logs posten, da, wenn ich mit tcpdump etwas sniffen will einfach nichts kommt... sobald man den sniffvorgang dann mit strg-c beendet, kommt z.B.
Code:
25 packets recieved by filter
0 packets dropped by kernel
(halt kein output, warum auch immer...)

Ich habe mich dazu entschlossen ersteinmal nur ein device ins Internet zu lassen, wenn dieses dann funktioniert kann ich das zweite auchnoch hinzufügen. (deshalb die auskommentierten sachen mit $int_if_all)

Meine pf.conf ist:
Code:
# Firewall by f0X 22/12/2009

##########
# Macros #
##########
int_if_all="{ vr1, vr0 }"
int_if1="vr1"
inf_if2="vr0"
#ext_if="vr2"
ext_if="pppoe0"
server="192.168.20.10"
tcpublic="{ 21, 80, 46123, 46255, 47255 }"


##########
# Tables #
##########
# table <blocked> persist file "#"
# table <anti-bruteforce> persist file "#"
table <registered> { 192.168.20.9, 192.168.20.10, 192.168.20.11, 192.168.20.12, 192.168.20.13, 192.168.20.14, 192.168.20.200 }


###########
# Options #
###########
set block-policy return
set loginterface $ext_if
set skip on lo0


##########
# Scrubs #
##########
match on pppoe0 scrub (max-mss 1440)


#################
# NAT's & RDR's #
#################
#nat on $ext_if from $int_if_all to any -> ($ext_if) static-port
nat on $ext_if inet from $int_if1 to any -> $ext_if

# rdr on $ext_if proto tcp from any to any port 21 -> $server
rdr on $ext_if proto tcp from any to any port 80 -> $server
rdr on $ext_if proto tcp from any to any port 46123 -> $server
rdr on $ext_if proto tcp from any to any port 46255 -> $server


###################
# Filter rulesets #
###################
block in all

antispoof log quick for $int_if_all

#pass in on $ext_if inet proto tcp from any to any port $tcpublic flags S/SA synproxy state

# ping
pass out inet proto icmp all icmp-type echoreq keep state

pass out on $ext_if proto esp from any to any keep state
pass out on $ext_if proto tcp all modulate state flags S/SA
pass out on $ext_if proto { udp, icmp } all keep state
pass out on $ext_if proto icmp from any to any keep state

#pass in on $int_if_all from $int_if_all to any keep state
#pass in on $int_if_all from <registered> to any keep state
#pass out on $int_if_all from any to $int_if_all keep state
pass in on $int_if1 from $int_if1:network to any keep state
pass in on $int_if1 from <registered> to any keep state
pass out on $int_if1 from any to $int_if1:network keep state

# block drop in log (all) quick on $ext_if from <blocked> to any


# block drop in log quick from <anti-bruteforce> to any

# pass in log quick proto tcp from any to any port 47255 \
# flags S/SA keep state \
# (max-src-conn-rate 3/30, overload <ssh-bruteforce> flush global)




# asirox 2009

@kili: Sorry! Ich hatte deinen Ratschlag ja schon mehrfach bevolgt, deshalb bin ich nicht drauf eingegangen, und ich war n bisschen frustiert(was denke ich mal nicht unverständlich war), deshalb hab ich die Frage so fordernd gestellt... Außerdem hatte ich gehofft es würd evtl noch wirklich jemandem was einfallen :P

ps: ich frage mich warum man von arcor eine IP zugewiesen bekommt, obwohl man einen falschen benutzernamen angegeben hat, und ich frage mich auch, warum denen nicht ca 200 verkehrte logins von meinem anschluss aus aufgefallen sind, als ich ein 20 minütiges gespräch mit der störungshotline hatte... :confused: alles sehr seltsam...
 
Zuletzt bearbeitet:

f0x

Punk
ahcja, wichtige frage noch, woher bekomme ich denn expiretables?
das wurd wohl noch nicht zu 4.6 als auch zu 4.5 konvertiert, und in den ports kann ich's auch nicht finden...???
Gibt es alternativen?

EDIT: Hat sich erledigt, seid 4.1 ist expire im cronjob enthalten....
 
Zuletzt bearbeitet:

kili

just me
Code:
nat on $ext_if inet from $int_if1 to any -> $ext_if

Die Natregel ist verkehrt, die muss

Code:
nat on $ext_if inet from $int_if1 to any -> ($ext_if)

lauten, sonst bekommt pf nicht mit, wenn sich die Adresse des Interfaces aendert (und das passiert ja gleich beim ersten Verbindungsaufbau).
 

f0x

Punk
Hab ich gemacht, die internen Rechner werden aber immer noch nicht geroutet...

Ich nehm jetzt mal als Beispiel einen Windoof rechner, bei dem hab ich jetzt via DHCP die IP zugewiesen bekommen, Gateway ist 192.168.20.1 - von der Seite her war's das ja auch, oder hab ich da was vergessen?
Ins internet kommen tut der trotzdem nicht... Ich hatte mal genau das selbe Problem an meinem Server, als ich einen Rechner vom Internen LAN ins weitere LAN routen wollte... Ich hab's einfach nicht hhinbekommen, dass ich das restlich Netzwerk ansprechen konnte...

Woran könnte das liegen? Irgendwas muss ich ja falsch eingestellt haben oder?
 
Oben