Internetzugang defekt
Thomas Lauer
ausgetauscht werden (ebenfalls durch einen Linux SusE 8-Rechner).
Seitdem hat ein Klassenraum (stellvertretend: PC 1) keinen
Internetzugang mehr.
Aufbau des Netzwerks:
------- -------
| PC 1 | | PC 2 |
------- -------
| |
| |
------- -------
| Hub 1 | | Hub 2 |
------- -------
| |
| |
---------- ----------
| Server 1 | | Server 2 |
---------- ----------
| |
| |
------- --------- ----------
| Hub 3 |---| Server 3|---|DSL-Modem |<--> www.heise.de
------- --------- ----------
Geht: Internetverbindung Server 1 <---> www.heise.de
Internetverbindung PC 2 <---> www.heise.de
Ping-Verbindung PC 1 <---> Server 3
Ping-Verbindung PC 1 <---> PC 2
Geht nicht: Internetverbindung PC 1 <---> www.heise.de
Ping-Verbindung PC 1 <---> www.heise.de
Die IP-Adressen sind fest eingestellt (und stimmen).
Der route-Befehl auf Server 1 gibt korrekte Routing-Einträge aus,
u.a. mit Server 3 als default-Gateway; allerdings stehen die
use-Einträge immer auf 0
(statt die Zahl der Route-Benutzungen zu zählen).
Obwohl Ping-Pakete von PC 1 nach Server 3 hin und zurücklaufen
(das Routing auf Server 1 also funktionieren müsste),
werden Ping-Pakete nach www.heise.de (bzw. die entsprechende IP-Adresse)
nicht beantwortet.
Ethereal zeigt, dass die Ping-Anfragen von PC1 nach "draußen" Server 1
noch passieren, aber keine Antwort eintrifft.
Ruft man den Firewall-Dialog auf, wird angeblich keine der beiden
Schnittstellen
von Server 1 geschützt.
Ruft man den Runtime-Level-Editor auf, sind Firewall-Dienste "aktiv".
Werden sie dort "deaktiviert", sind sie bei einem erneuten Aufruf wieder
"aktiv".
Wer hat eine Idee?
Thomas Lauer.
Juergen Koenig
Ich muss eingestehn, dass ich nicht alles verstehe. Was meinst Du genau,
wenn Du 'Server' schreibst? Welche Dienste werden angeboten? Ich vermute,
Du meinst das Routing? Oder ist 'Server 1' ein Proxy-Server? Dann kannst Du
das Pingen wahrscheinlich vergessen. Ich kann auch über einen Proxy Server
nicht pingen. Keine Ahnung, ob man das einstellen kann.
Hast Du mal die Routing-Tabelle von #1 und #2 verglichen. Sie müßten
eigentlich fast identisch sein, bis auf die Zeile, die auf den Raum im
jeweiligen Nachbarnetz (PC1 nach PC2 und umgekehrt) verweist.
Gruß
Jürgen
Enno Lenze
> Wer hat eine Idee?
benutzt ihr verschiedne subnetze unterhalb von server1 udn server2?
Wenn ja: benutzt ihr NAT, ode rhabt ihr ein "echtes" ip netz fuer die
schule?
Wenn nat: "weiss" server3, dass er von server 1 und server2 nat machen soll?
gruss, enno
--
. . . . o o o o o http://www.hacktrain.de
_____ o _______
____==== ]OO|_n_n__][. | WTH | http://hand.verbrennung.org
[________]_|__|________)< | 2005|
oo oo 'oo OOOO-| oo\\_ ~~~|~~~
+--+--+--+--+--+--+--+--+-$1-+--+--+--+--+
Thomas Lauer
> Hallo Thomas
>
> Ich muss eingestehn, dass ich nicht alles verstehe. Was meinst Du genau,
> wenn Du 'Server' schreibst? Welche Dienste werden angeboten? Ich vermute,
> Du meinst das Routing? Oder ist 'Server 1' ein Proxy-Server? Dann kannst Du
> das Pingen wahrscheinlich vergessen.
Server 1 ist als Gateway von PC1 eingetragen.
Er enthält alle Benutzerdaten der Schule.
Auf ihm läuft Samba, und zwar als primärer Domänen-Controller, während
Server 2 (ebenfalls mit Samba) seine Authentifizierungsinformationen von
Server 1 holt (hoffe ich).
Routing ist auf Server 1 (laut Yast) aktiviert.
> Hast Du mal die Routing-Tabelle von #1 und #2 verglichen. Sie müßten
> eigentlich fast identisch sein, bis auf die Zeile, die auf den Raum im
> jeweiligen Nachbarnetz (PC1 nach PC2 und umgekehrt) verweist.
Ja, sind sie. Allerdings ist die MSS (oder doch MMS?) bei Server 1 auf 0
(also default), bei Server 2 auf 40 eingestellt. Es ist mir aber nich
gelungen, das zu ändern.
Danke, Thomas.
Thomas Lauer
>
>
> benutzt ihr verschiedne subnetze unterhalb von server1 udn server2?
> Wenn ja: benutzt ihr NAT, ode rhabt ihr ein "echtes" ip netz fuer die
> schule?
> Wenn nat: "weiss" server3, dass er von server 1 und server2 nat machen soll?
Muss ich drüber nachdenken.
Thomas.
Juergen Koenig
Thomas Lauer wrote:
[...]
> Wenn ich das nur genau wüsste.
> Server 1 ist als Gateway von PC1 eingetragen.
> Er enthält alle Benutzerdaten der Schule.
> Auf ihm läuft Samba, und zwar als primärer Domänen-Controller, während
> Server 2 (ebenfalls mit Samba) seine Authentifizierungsinformationen von
> Server 1 holt (hoffe ich).
> Routing ist auf Server 1 (laut Yast) aktiviert.
Aus Deiner Beschreibung schließe ich, dass Du das System nicht selbst
aufgebaut hast. Auf einem Linux Server laufen viele verschiedene Dienste,
die aber meistens nichts miteinander zu tun haben. Wenn da ein Samba läuft,
heißt das nicht, dass er auch als Router laufen muss. Man aktiviert die
Dienste, die man braucht. Z.B. http, ftp, samba, etc. Damit Server 1
richtig routet, benötigt er kein Samba. Ob Du pingen kannst oder nicht, hat
mit Samba überhaupt nichts zu tun.
Du schreibst, dass Routing aktiviert ist. Das heißt nichts. Hast Du für
Deinen Fall eine Routingtabelle angelegt? Dein Aufbau entspricht nämlich
nicht der Standardkonfiguration, die Suse bei der Installation annimmt.
Ich rate Dir im übrigen zu einem Update. Hole Dir die 9.1. Die gibt es
derzeit spottbillig in einigen Zeitungen. SuSE hat bei den
Installationsroutinen seit der 8.0 gewaltige Fortschritte gemacht. 9.2 ist
meiner Meinung nach für Deinen Zweck nicht erforderlich.
Aber am besten aber setzt Du Dich mit dem in Verbindung, der Dir das Netz
aufgebaut hat.
Gruss
Jürgen
Thomas Lauer
>
> Du schreibst, dass Routing aktiviert ist. Das heißt nichts. Hast Du für
> Deinen Fall eine Routingtabelle angelegt? Dein Aufbau entspricht nämlich
> nicht der Standardkonfiguration, die Suse bei der Installation annimmt.
Wir haben die Festplatte aus dem defekten Server in den neuen Server 1
umgebaut, dann ein Update auf SuSE 8 installiert, was die alte
Konfiguration (hoffentlich) übernommen hat.
Nur die beiden Netzwerkkarten (eth0 und eth1) haben wir erst de- und
dann neuinstalliert.
> Ich rate Dir im übrigen zu einem Update. Hole Dir die 9.1. Die gibt es
> derzeit spottbillig in einigen Zeitungen.
Werde danach suchen
> Aber am besten aber setzt Du Dich mit dem in Verbindung, der Dir das Netz
> aufgebaut hat.
Das geht leider nicht so einfach.
Danke erstmal,
Thomas.
Thomas Lauer
>
>>
>>
>> benutzt ihr verschiedne subnetze unterhalb von server1 udn server2?
Ja.
Server 1 ist für 10.19.210.0 zuständig, (in dem PC 1 liegt), d.h. bei
PC 1 als Gateway eingetragen.
Server 2 ist für 192.168.101.0 zuständig (in dem PC 2 liegt), d.h. bei
PC 2 als Gateway eingetragen.
>> Wenn ja: benutzt ihr NAT, ode rhabt ihr ein "echtes" ip netz fuer die
>> schule?
Wie kann ich das herausfinden?
Soviel ich verstanden habe, bedeutet NAT, dass nicht unser ganzes LAN
vom Internet aus erreichbar ist, wohl aber umgekehrt.
Bei der Routing-Konfiguration (mit Yast) sind die richtigen Gateways
eingetragen, aber der route-Befehl zeigt nur Einträge, bei denen das
use-Feld auf 0 steht. Heißt das, diese Einstellungen werden garnicht
benutzt?
Außerdem ist dort "IP-Weiterleitung" angekeuzt. Ist das falsch?
>> Wenn nat: "weiss" server3, dass er von server 1 und server2 nat machen
>> soll?
Server 3 ist ein sog. Cube - ein Linux-Rechner als black box, dessen
root-Passwort wir nicht haben.
Man kann ihn nur bedingt von außen konfigurieren.
Wo müsste man dort nachsehen?
Gruß, Thomas.
Enno Lenze
> Wie kann ich das herausfinden?
> Soviel ich verstanden habe, bedeutet NAT, dass nicht unser ganzes LAN
> vom Internet aus erreichbar ist, wohl aber umgekehrt.
fast, das ist ans ich nur ein nebeneffekt.
es gibt "private" ip adressen und "oeffentliche" (oder auch "echte"
genannt). Die privaten kann jeder vergeben und es gibt sie x mal auf der
welt, deswegen werden sie net ins internet geroutet.
10.x.x.x, 192.168.x.x und 172.16.x.x (bim letzen bin ich mir net sicher).
NAT (Network Adress Translation) wird benutzt, wenn man viele pcs aber
nur eine oeffentliche ip adresse hat (bei fast allen privat tarifen der
internetanbieter so). Dann muss man intern private ip adressen vergeben
die dann beim NAT pc in eine oeffentliche umgesetzt werden (dabei merkt
er sich woher die anfrage kam). Kommt dann eine antwort guckt er in
seiner nat tabelle nach und sieht welcher pc das angefragt hatte.
Da aber von der anderen seite her alle pcs quasi die gleiche ip adrese
haben, kann man nicht direkt auf pcs im nat netz zugreifen, was nebenher
ein ganz praktisches sicherheitsfeature ist.
> use-Feld auf 0 steht. Heißt das, diese Einstellungen werden garnicht
> benutzt?
uhh..sorry, ich kenne yast und suse net.
> Außerdem ist dort "IP-Weiterleitung" angekeuzt. Ist das falsch?
nein, das klingt schonmal gut :)
> Server 3 ist ein sog. Cube - ein Linux-Rechner als black box, dessen
> root-Passwort wir nicht haben.
doof das. Booten und wenn lilo kommt einen kernel auswahelen, aber net
enter druecken. dann hinter den kernel ein "init=/bin/sh" machen (die
zeile sollte dann z.b. "Linux init=/bin/sh" sein). NAch dem booten (es
kommt keine passwort abfrage) einmal passwd eintippen udn nus root
passwort setzen.
Wenn kein lilo kommt, bzw. kein promt einfach ovn einer boot diskette
booten und in der /etc/shadow den hashwert vom root passwort gegen den
hash wert eines bekannten passwortes tauschen. dann gehts auch :)
> Man kann ihn nur bedingt von außen konfigurieren.
> Wo müsste man dort nachsehen?
guck dir einfach an, was fuer ip adressen ihr vergebt (s.o.), dann
wiesst du ob ihr oeffentliche oder private nutzt.
Thomas Lauer
SuSE hat beim Update eine Firewall installiert, bei der man die
IP-Weiterleitung explizit erlauben muss; das hatte ich übersehen.
Vielen Dank für die ausführlichen Hinweise.
Thomas.