• Diese Seite verwendet Cookies. Indem du diese Website weiterhin nutzt, erklärst du dich mit der Verwendung von Cookies einverstanden. Erfahre mehr

Router will nicht router

Berufspenner

Well-Known Member
Themenstarter #1
Hi@all

Ich bin seit ein paar Tagen dabei FreeBSD etwas besser kennen zu lernen. Hab auch schon ein paar Jahre Linuxerfahrung. Bis jetzt gefällt mir FreeBSD auch recht gut. Nur routen will die Kiste noch nicht. Ich hab mir mehrere Artikel darüber aus diesem Forum und von anderen Seiten angeguckt. Unter anderem auch die Artikel auf folgender Seite: http://www.mbpublish.de/index.php?open=6__FreeBSD
http://www.ruhr.de/home/nathan/FreeBSD/tdsl-freebsd.htmlDie Internetverbindung über DSL funktionier auch super.
Hier meine /etc/rc.conf
Code:
# -- sysinstall generated deltas -- # Mon Jun  9 16:05:46 2003
# Created: Mon Jun  9 16:05:46 2003
# Enable network daemons for user convenience.
# Please make all changes to this file, not to /etc/defaults/rc.conf.
# This file now contains just the overrides from /etc/defaults/rc.conf.
kern_securelevel_enable="NO"
moused_enable="YES"
nfs_reserved_port_only="YES"
sendmail_enable="NO"
sshd_enable="YES"
tcp_extensions="YES"
usbd_enable="YES"
# -- sysinstall generated deltas -- # Wed Jun 11 21:02:49 2003
linux_enable="YES"
check_quotas="YES"
keymap="german.iso"
# -- sysinstall generated deltas -- # Thu Jun 12 12:53:11 2003
gateway_enable="YES"

ppp_enable="YES"
ppp_mode="ddial"
ppp_profile="default"

ppp_nat="NO"
natd_enable="YES"
natd_interface="tun0"
natd_flags="-dynamic -f /etc/firewall/natd.conf"
natd_program="/sbin/natd"


firewall_enable="YES"
firewall_script="/etc/firewall/my-firewall"
und hier meine /etc/firewall/my-firewall:
Code:
# NATd erlauben
ipfw add 10 divert natd all from any to any via tun0

# Alle lokalen Verbindungen erlauben
ipfw add allow tcp from me to any out via lo0 setup keep-state
ipfw add deny tcp from me to any out via lo0
ipfw add allow ip from me to any out via lo0 keep-state

# Alle Daten durch localhost und der NIC erlauben
ipfw add allow ip from any to any via lo0

# Alles über dieses Interface wird erlaubt
ipfw add allow ip from any to any via xl0

# Alle Verbindungen welche von hier initialisiert werden erlauben
ipfw add allow tcp from any to any out xmit tun0 setup

# Verbindung offen halten, wenn offen
ipfw add allow tcp from any to any via tun0 established

# Bestimmte ICMP Pakete erlauben (z.B. fuer Ping)
ipfw add allow icmp from any to any icmptype 3,4
ipfw add allow icmp from any to any out icmptype 8
ipfw add allow icmp from any to any in icmptype 0

# This sends a RESET to all ident packets.
ipfw add reset log tcp from any to any 113 in recv tun0

# Zum Schluss alles andere verbieten
ipfw add 65534 allow ip from any to any

# allow http from net
# von aussen kann http auf port 80 erreicht werden
ipfw add pass tcp from any to 192.168.0.10 80

ipfw add pass tcp from any to 192.168.0.10 21
ipfw add pass tcp from any to 192.168.0.10 22
#ipfw add pass tcp from any to 192.168.0.10 80

# allow https from net
# von aussen kann https auf port 443 erreicht werden
ipfw add pass tcp from any to 192.168.0.10 443

# allow dns
# dns ist fuer udp durchgehen erlaubt
ipfw add pass udp from any 53 to any
ipfw add pass udp from any to any 53
Wenn noch weitere Informationen gebraucht werden, einfach nachfragen. Ich kann mir schon gut vorstellen, dass es wieder nur irgend eine Kleinigkeit ist, an der es hapert.

Cu
André
 

asg

push it, don´t hype
#2
Was genau funktioniert nicht?
Versuchst Du mit Clients hinter dem Router auch ins Internet zu gelangen?
Hast Du dort das Gateway auf die internet IP Deines Routers gesetzt?
Wie sieht Konfiguration der Netzwerkkarten auf dem Router aus?

Wo ist in Deiner rc.conf der Eintrag für die Netzwerkkarten?
Also:

ifconfig_xl0="up"
--> Das ist dann das Interface welches mit dem DSL Modem verbunden ist (virtuelle interface tun0)

ifconfig_$NIC="$IP_internes_Netz"
 

Berufspenner

Well-Known Member
Themenstarter #3
Hi
Was genau funktioniert nicht?
Versuchst Du mit Clients hinter dem Router auch ins Internet zu gelangen?
Genau das ist es. Ich hab es mit einem simplen ping z.B. auf 194.25.2.129 bzw. auch auf die eine oder andere Domain versucht. Vom Router aus funktioniert das alles. Vom Client aus nicht.
Hast Du dort das Gateway auf die internet IP Deines Routers gesetzt?
Natürlich :) genau so wie die zwei DNS-Server von der Telekom.
Wie sieht Konfiguration der Netzwerkkarten auf dem Router aus?
Code:
xl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=3<rxcsum,txcsum>
        inet6 fe80::201:2ff:feb7:69db%xl0 prefixlen 64 scopeid 0x1
        inet 192.168.0.10 netmask 0xffffff00 broadcast 192.168.0.255
        ether 00:01:02:b7:69:db
        media: Ethernet autoselect (100baseTX)
        status: active
Die Funktioniert ja auch einwandfrei.

Cu
André

Edit: IP Forwarding hab ich natürlich auch aktiviert.
 
Zuletzt bearbeitet:
#4
Hi!
Ich hab irgendwie das dumpfe gefühl, dass da was mit der Firewall nich stimmt - füge doch einfach mal
ipfw add 11 allow ip from any to any
ein.
Wenn es danach geht - ok. Dann solltest du eine Deny-Regel hinzufügen, die loggt welche Pakete geblockt werden und dann mittels tail -f /var/log/security neue Regeln basteln.
Alternativ schalte doch einfach mal die Firewall und natd ab. Diese brauchst du nicht, wenn deine Rechner "hinter dem Router" bloß surfen sollen oder so.
Gruß
 

Berufspenner

Well-Known Member
Themenstarter #5
Hi@all

Ne, funktioniert immer noch nicht. Ich hab die Packetfilterregeln mal komplett abgedreht, einzellne Regeln versucht, etc. und es passiert immer noch nichts :( Am Kernel kann es ja eigentlich auch nicht liegen:
Code:
options         IPFIREWALL            	      
options         IPFIREWALL_VERBOSE     
                                      			       
options         IPFIREWALL_VERBOSE_LIMIT=100
options         IPFILTER                	     
options         IPDIVERT                                
options         IPFILTER_LOG            	      
options         TCP_DROP_SYNFIN            
options         ICMP_BANDLIM
options         DUMMYNET
options         BRIDGE

options          NETGRAPH
options          NETGRAPH_ETHER
options          NETGRAPH_SOCKET
options          NETGRAPH_PPPOE
Ich will hier ja auch nicht nerven oder so. Nur wäre es schon toll, wenn das Klappen würde. Neben Linux möchte ich schliesslich auch noch andere Ufer erkunden und deshalb wäre es schon wichtig, dass es läuft.
Was wären denn das Minimum, was man einstellen muss, um das LAN ins Netz zu bekommen?

Cu
André
 
#6
Hallo!

Keine Sorge, du nervst hier sicherlich keinen :)

Also, um mal auf das mit der "minimalsten Konfiguration" einzugehen.
Ich habs gerade mal getestet. Es funktioniert bei mir in folgender Konstellation:

1. GENERIC Kernel, nichts hinzugefügt/geändert
2. PPP mit folgender ppp.conf: http://www.bsdforen.de/forums/attachment.php?s=&postid=1236
3. gateway_enable="YES" in /etc/rc.conf, bzw. net.inet.ip.forwarding: 1

Das hat gereicht. Ich konnte von einem Client aus pingen, surfen usw usf - ohne Probleme.

Also, hier nochmal meine Konfigurationsdateien:
/etc/rc.conf
Code:
kern_securelevel_enable="NO"
nfs_reserved_port_only="YES"
sendmail_enable="YES"
sshd_enable="YES"
usbd_enable="YES"
font8x8="iso15-8x8"
font8x14="iso15-8x14"
font8x16="iso15-8x16"
keymap="german.iso"
hostname="saintjoe.bsdforen.de"
linux_enable="YES"
gateway_enable="YES"
hostname="saintjoe.bsdforen.de"
ifconfig_vr0="up"
ppp_profile="default"
ppp_mode="ddial"
ppp_enable="YES"
/etc/ppp/ppp.conf
Code:
default:
 #PPP over Ethernet
 set device PPPoE:vr0
 set speed sync
 set mru 1492
 set mtu 1492
 set ctsrts off
 enable lqr
 log phase tun
 add default HISADDR
 enable dns
 set authname xyz
 set authkey 123
Der Kernel ist wie gesagt der GENERIC.
Getestet unter FreeBSD 4.8-RELEASE.

Gruß