8.04 router

[Dr_Muesli]

L.S.

Ik probeer een netwerk te bouwen maar daarbij stuit ik op een koppig probleem.

De situatie is als volgt:

Experiabox (=ADSLmodem/router/switch) intern 192.168.2.1
    |
server (Ubuntu 8.04 server edition) 192.168.2.2   eth1  dit nummer staat vast in de Experiabox!
nogmaals server                           192.168.5.1   eth0  DHCP
    |
mijn LAN met daarin PC (Ubuntu/Windows) krijgt steeds 192.168.5.249
                            Fon wi-fi routertje     krijgt steeds 192.168.5.250

Vanaf de pc kan ik succesvol pingen naar de Fon, naar de server op 192.168.5.1, naar de server op 192.168.2.2 ook maar naar 192.168.2.1 (Experiabox) wil niet.

Als ik met Firefox naar 192.168.5.1 surf dan krijg ik wel in vette letters te zien: It works.
Maar ik heb dus geen verbinding met het internet 

Ik heb al veel gelezen op de diverse fora en how-to's maar ik kom er niet uit. Het lijkt er op dat de DHCP mijn LAN netjes voorziet van een ip-adres, dat ik vanaf het LAN ook de externe connectie van de server kan bereiken, maar niet verder. Oja, vanaf de server kan ik met apt-get keurig het internet op en ook pingen vanaf de server naar pak'mbeet www.ubuntu.com gaat ook prima.

Voor de geinteresseerden wat bestandjes:

----------------------------------------------------------------------------------------------
dhcpd.conf

#
# Sample configuration file for ISC dhcpd for Debian
#
# Attention: If /etc/ltsp/dhcpd.conf exists, that will be used as
# configuration file instead of this file.

ddns-update-style none;

# If this DHCP server is the official DHCP server for the local
# network, the authoritative directive should be uncommented.
authoritative;

log-facility local7;

# Erik's  LAN
subnet 192.168.5.0 netmask 255.255.255.0 {
  range 192.168.5.100 192.168.5.250;
  option domain-name-servers 192.168.2.1;
  option domain-name "bommelnet.nl";
  option routers 192.168.5.1;
  option subnet-mask 255.255.255.0;
  option broadcast-address 192.168.5.255;
  default-lease-time 86400;  # 24 uur
  max-lease-time 172800;     # 48 uur
}

---------------------------------------------------------------------------

het volgende is het bestand interfaces:

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth1
iface eth1 inet static
   address 192.168.2.2
   netmask 255.255.255.0
   network 192.168.2.0
   broadcast 192.168.2.255
   gateway 192.168.2.1
   # dns-* options are implemented by the resolvconf package, if installed
   dns-nameservers 192.168.2.1
   dns-search bommelnet.nl

# Het LAN
auto eth0
iface eth0 inet static
   address 192.168.5.1
   network 192.168.5.0
   netmask 255.255.255.0
   broadcast 192.168.5.255

---------------------------------------------------------------------

en dhcp3-server:


# Defaults for dhcp initscript
# sourced by /etc/init.d/dhcp
# installed at /etc/default/dhcp3-server by the maintainer scripts

#
# This is a POSIX shell fragment
#

# On what interfaces should the DHCP server (dhcpd) serve DHCP requests?
#   Separate multiple interfaces with spaces, e.g. "eth0 eth1".
INTERFACES="eth0"

----------------------------------------------------

De output van command ipconfig

eth0      Link encap:Ethernet  HWaddr 00:1f:d0:36:3e:be 
          inet addr:192.168.5.1  Bcast:192.168.5.255  Mask:255.255.255.0
          inet6 addr: fe80::21f:d0ff:fe36:3ebe/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:2103 errors:0 dropped:0 overruns:0 frame:0
          TX packets:173 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:299292 (292.2 KB)  TX bytes:23249 (22.7 KB)
          Interrupt:253 Base address:0x8000

eth1      Link encap:Ethernet  HWaddr 00:17:3f:cf:43:73 
          inet addr:192.168.2.2  Bcast:192.168.2.255  Mask:255.255.255.0
          inet6 addr: fe80::217:3fff:fecf:4373/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:20377 errors:0 dropped:0 overruns:0 frame:0
          TX packets:9115 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:25883363 (24.6 MB)  TX bytes:648963 (633.7 KB)
          Interrupt:20 Base address:0xa000

lo        Link encap:Local Loopback 
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:540 errors:0 dropped:0 overruns:0 frame:0
          TX packets:540 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:254681 (248.7 KB)  TX bytes:254681 (248.7 KB)


----------------------------------------------------------------------------

output van command route:

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.5.0     *               255.255.255.0   U     0      0        0 eth0
localnet        *               255.255.255.0   U     0      0        0 eth1
default         192.168.2.1     0.0.0.0         UG    100    0        0 eth1

------------------------------------------------------------------------

Wie o wie weet waar het hier misgaat?

Bedankt voor een goed antwoord!

Erik

[rja]

Heb je forwarding aan gezet ?

sudo echo 1 > /proc/sys/net/ipv4/ip_forward

als je dat permanent wilt maken moet je /etc/sysctl.conf aanpassen

Zit er op die experia box een firewall, anders zou je een firewall opmoeten zetten.

vuurmuur wordt veel gebruikt schijnbaar - www.vuurmuur.org

[Dr_Muesli]

Hallo rja,

Ja, forwarding staat aan. Als ik met sysctl opvraag krijg ik keurig de waarde 1 terug.
De Experiabox heeft inderdaad de firewall aan staan, maar als ik met een pc die aan de Experiabox hangt ping naar 192.168.2.2 krijg ik keurig antwoord. Dan doet de firewall dus niets. Als ik vanaf de server ping naar die PC (of de Dreambox of een NAS) krijg ik ook keurig antwoord en doet de firewall dus ook niets. Als ik een pc aansluit op het subnet 192.168.5.0 dan kan ik naar alles op het subnet succesvol pingen, maar ik kan niet verder naar de Experiabox en wat daar aanhangt.

Ik heb dus zelf ook gedacht aan die forwarding, maar die aanzetten..dat doet de truc dus nog niet.
Zo langzamerhand weet ik het ook niet meer. 
Het is vast iets heel simpels in een configuratiebestandje, maar welk?

Kan dit "probleem" veroorzaakt worden door iptables?

Groet'n,  Erik

[rja]

Kan dit "probleem" veroorzaakt worden door iptables?

Dat kan, dat kun je zien  met

sudo iptables -L

[Dr_Muesli]

Hoi rja,

Ja, iptables -L genereert inderdaad een hoop informatie, maar met mijn huidige staat van Ubuntu-dienst is dat eigenlijk nog betekenisloze informatie.
Ik heb wel uit de Ubuntu Server Guide de volgende regel overgetypt:

sudo iptables -t nat -A postrouting -s 192.168.5.0/16 -o eth0 -j MASQUERADE     

 en enkele varianten. (in die guide stond ppp0 i.p.v. eth0  o.a.) Dat verhielpt de zaak niet echt, maar na een reboot van mijn server  kon ik plotseling het internet op vanaf  een aan de server hangende pc...
In zoverre is het doel wel bereikt, maar ik weet niet goed hoe! Ik weet dus ook niet als ik de server reboot of het weer werkt. Dus ik wil graag de configuratie vastleggen en eventueel precies zo kunnen herstellen.
Ook het Fonera routertje aan de server werkt nu prima, zowel het publieke deel als het private part.

Dus als je tips hebt houd ik me aanbevolen.

Groet'n,  Erik

[rja]

Zoiets :

https://help.ubuntu.com/community/IptablesHowTo#Configuration%20on%20startup

[Scormen]

Wegens tijdsgebrek heb ik het onderwerp niet volledig gelezen, maar het kan inderdaad aan IP tables liggen.
In een router die ik zopas heb opgezet voor de release party in Hasselt heb ik volgende onderdelen staan (niet de volledige IPtables, enkel hetgeen jij zou nodig hebben):

Code: [Selecteer]

# IPtables binary
IPT=/sbin/iptables

# External interface
EXTIF=eth2

# Internal interface
INTIF=bond0

# Everyone, the world
UNIVERSE=0/0

# LAN
LAN=192.168.0.0/0

$IPT -P OUTPUT ACCEPT
$IPT -P INPUT DROP
$IPT -P FORWARD ACCEPT

# Edit kernel to allow IP forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

## Squid HTTP cache-proxy
# Redirect traffic for the local website to port 81 (see /etc/apache2/ports.conf)
# -- heb je wellicht niet nodig, maar altijd handig om te weten --
$IPT -t nat -A PREROUTING -i $INTIF -s $LAN -d 192.168.1.1 -p tcp --dport 80 -j REDIRECT --to-port 81

# Masquerading to make machines from the LAN get the IP address of the EXIT of the router
$IPT -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE