Verbindung über Router stirbt(?)

miguel · 1 Oktober 2004

Moinsen,

ich benutze FreeBSD als Router/Gateway zum Internet via Tdsl.
Das Problem ist, dass Verbindungen aus dem Lan nach einiger Idle-Zeit sterben (oder hängen), d.h. es sind keine Idle-Disconnects.

Dies trifft auf SSH-Connects zum Router zu, sowie auf Verbindungen aus dem Lan ins Internet.

Verbindungen direkt vom Router aus (als Test) dagegen bereiten keine Probleme.

In meiner ipfw Config kann ich allerdings keinen Grund finden, wieso dies auftritt:

Code:

[...]
$IPFW -f flush

$IPFW add 1 check-state ip from any to any

#
# Rule 0(tun0)
# Anti-spoofing rule
#
$IPFW add 10 drop    log all  from me  to any  in  recv tun0
$IPFW add 20 drop    log all  from 192.168.0.50  to any  in  recv tun0
#
# Rule 1(tun0)
# Anti-spoofing rule
#
$IPFW add 30 skipto 60 all  from me  to any  out xmit tun0
$IPFW add 40 skipto 60 all  from 192.168.0.50  to any  out xmit tun0
$IPFW add 50 drop    log all  from any  to any  out xmit tun0
#
# Rule 0(lo0)
# allow everything on loopback
#
$IPFW add 60 permit all  from any  to any      via  lo0
#
# Rule 0(global)
# block fragments
#
$IPFW add 70 drop    log all  from any  to any   frag
#
# Rule 1(global)
#  access from Notebook to firewall
#
$IPFW add 80 permit  log tcp  from 192.168.0.50  to me 22,80 in  setup keep-state
$IPFW add 85 drop log all from any to me via rl1
#
# Rule 2(global)
# firewall uses DNS server on LAN
#
$IPFW add 90 permit  log tcp  from me  to 192.168.0.50 53 out setup keep-state
$IPFW add 100 permit  log udp  from me  to 192.168.0.50 53 out keep-state
#
# Rule 3(global)
# 'masquerading' rule
#
$IPFW add 110 permit  log all  from 192.168.0.50  to any      keep-state
#
# Rule 4(global)
#
#
$IPFW add 120 permit all  from me  to any  out keep-state
#
# Rule 5(global)
# 'catch all' rule
#
$IPFW add 130 drop    log all  from any  to any
#
# Rule fallback rule
#    fallback rule
#
$IPFW add 140 drop   all  from any  to any

Ich nutze übrigens ppp-nat

Any hints?!

Gruß, Miguel

juedan · 2 Oktober 2004

Hallo niguel,

hast Du mal /var/log/messages parat?

Was für Dienste laufen denn auf Deinem Router?

Viele Grüße

Jürgen

Cédric · 2 Oktober 2004

miguel schrieb:
Moinsen,

ich benutze FreeBSD als Router/Gateway zum Internet via Tdsl.
Das Problem ist, dass Verbindungen aus dem Lan nach einiger Idle-Zeit sterben (oder hängen), d.h. es sind keine Idle-Disconnects.

Dies trifft auf SSH-Connects zum Router zu, sowie auf Verbindungen aus dem Lan ins Internet.

Also, insofern ich das richtig verstehe, kenne ich das Problem...

=> net.inet.tcp.keepidle=70000, oder so ähnlich, hat bei mir Abhilfe geschaffen damals.

I.MC · 2 Oktober 2004

Ich glaube nicht, dass es an dem sysctl Eintrag liegt. Denn der ist per default sehr sehr hoch.

Ein Schuss in's Blaue:

Ich habe zwar kein ipfw, aber soweit ich es beim Übrefliegen erkennen kann, hast du keep-state verwendet bei ssh connects aus dem internen LAN zu SSH auf der Maschine. Es ist bekannt, dass (fragt micht nicht nach Details) ipfw in gewissen Fällen angeblich kein echtes keep-state beherrscht. Evtl. versteht ipfw also etwas falsch und meint, die Verbindung sei zuende -> Sterben der Verbindung. Versuch es mal mit dekativiertem ipfw, um das als Fehlerquelle auszuschalten.

Gruß, I.MC

miguel · 2 Oktober 2004

Erstmal Danke für alle Ratschläge.
Ich habe meine FW-Regeln etwas umgebaut und werde dies erstmal testen.
Es scheint am keepalive zu liegen, welches IPFW1 nicht unterstützt :confused:

Verbindung über Router stirbt(?)

miguel

FreeBSD Frischling

juedan

Guest

Cédric

aka decemplex

I.MC

Watt soll denn hier hin?

miguel

FreeBSD Frischling

Wir schützen deine Privatsphäre