Namensauflösung auf Client funktioniert nicht.

Hallo,
ich habe Suse 9.3 als DHCP-Server und Router laufen, alles funktionerte reibungslos, bis ich den Provider gewechselt habe. Seitdem kann ich auf dem Client, der IP und Gateway per DHCP korrekt zugewiesen bekommt. nicht mehr ins Internet - die Namensauflösung geht nicht mehr. Der Router hat dieses Problem nicht. In der dhcpd.conf habe ich die DNS-Server-IPs des neuen Providers eingegeben, Firewall mit Masquerading läuft auch - ich bin ratlos. Bin leider Laie, woran kann es liegen?
Danke für alle Antworten.

Wird dem Client auch der Richtige DNS-Server mitgeteilt
bzw. kannst du den DNS-Server anpingen?

Das solltest du erst mal prüfen.

Den aktuellen Nameserver findest du in der /etc/resolv.conf

Nein, der Client kann den DNS-Server nicht anpingen. Was muß ich machen?

die dhcpd.conf sieht so aus:

option domain-name-servers 217.9.16.24, 217.9.17.25;
option routers 192.168.4.1;
ddns-update-style none;
default-lease-time 14400;
subnet 192.168.4.0 netmask 255.255.255.0 {
range 192.168.4.20 192.168.4.99;
default-lease-time 14400;
max-lease-time 172800;
}

Laut deiner dhcpd.conf soll der Router die IP 192.168.4.1 haben.

a) stimmt das?
b) kannst du die anpingen?
c) was bringt "traceroute 217.9.16.24"?
d) kannst du vom Router aus den DNS-Server anpingen?

Die DNS Server werden an den Client übermittelt, sind trotzdem nicht erreichbar.

Danke für deine Antwort.

nobbiew schrieb:

Laut deiner dhcpd.conf soll der Router die IP 192.168.4.1 haben.

a) stimmt das?
korrekt

b) kannst du die anpingen?
ja
c) was bringt "traceroute 217.9.16.24"?

1 <10ms <10ms <10ms ROUTER [192.168.4.1]
2 ***** Zeitüberschreitung der Anforderung
3 "
usw.

d) kannst du vom Router aus den DNS-Server anpingen?

Zum Vergrößern anklicken....

ja

route:

Kernel IP Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
tx016105.in-add * 255.255.255.255 UH 0 0 0 dsl0
192.168.4.0 * 255.255.255.0 U 0 0 0 eth1
192.168.0.0 * 255.255.255.0 U 0 0 0 eth0
link-local * 255.255.0.0 U 0 0 0 eth0
loopback * 255.0.0.0 U 0 0 0 lo
default tx016105.in-add 0.0.0.0 UG 0 0 0 dsl0


ifconfig:

dsl0 Protokollunkt-zu-Punkt Verbindung
inet Adresse:85.25.104.25 P-z-P:217.118.16.98 Maske:255.255.255.255
UP PUNKTZUPUNKT RUNNING NOARP MULTICAST MTU:1456 Metric:1
RX packets:1016 errors:0 dropped:0 overruns:0 frame:0
TX packets:1028 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 Sendewarteschlangenlänge:3
RX bytes:534548 (522.0 Kb) TX bytes:103652 (101.2 Kb)

eth0 Protokoll:Ethernet Hardware Adresse 00:07:E9:741:E7
inet Adresse:192.168.0.1 Bcast:192.168.0.255 Maske:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:7419 errors:0 dropped:0 overruns:0 frame:0
TX packets:8617 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 Sendewarteschlangenlänge:1000
RX bytes:3686093 (3.5 Mb) TX bytes:2698123 (2.5 Mb)

eth1 Protokoll:Ethernet Hardware Adresse 00:50:BF:39:CA:94
inet Adresse:192.168.4.1 Bcast:192.168.4.255 Maske:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1577 errors:0 dropped:0 overruns:0 frame:0
TX packets:1869 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 Sendewarteschlangenlänge:1000
RX bytes:184467 (180.1 Kb) TX bytes:928414 (906.6 Kb)
Interrupt:10 Basisadresse:0xcf00

lo Protokoll:Lokale Schleife
inet Adresse:127.0.0.1 Maske:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:923 errors:0 dropped:0 overruns:0 frame:0
TX packets:923 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 Sendewarteschlangenlänge:0
RX bytes:124602 (121.6 Kb) TX bytes:124602 (121.6 Kb)

susefirewall2 config:

FW_DEV_INT="eth-id-00:50:bf:39:ca:94"
FW_DEV_DMZ=""
FW_DEV_EXT="dsl0"
FW_SERVICES_INT_TCP=""
FW_SERVICES_INT_UDP=""
FW_SERVICES_INT_RPC=""
FW_SERVICES_INT_IP=""
FW_SERVICES_DMZ_TCP=""
FW_SERVICES_DMZ_UDP=""
FW_SERVICES_DMZ_RPC=""
FW_SERVICES_DMZ_IP=""
FW_SERVICES_EXT_TCP=""
FW_SERVICES_EXT_UDP=""
FW_SERVICES_EXT_RPC=""
FW_SERVICES_EXT_IP=""
FW_PROTECT_FROM_INT="no"
FW_ROUTE="yes"
FW_MASQUERADE="yes"
FW_FORWARD_MASQ=""
FW_ALLOW_FW_BROADCAST_EXT=""
FW_ALLOW_FW_BROADCAST_INT=""
FW_ALLOW_FW_BROADCAST_DMZ=""
FW_IGNORE_FW_BROADCAST_EXT="yes"
FW_IGNORE_FW_BROADCAST_INT="no"
FW_IGNORE_FW_BROADCAST_DMZ="no"
FW_LOG_DROP_CRIT="yes"
FW_LOG_DROP_ALL="no"
FW_LOG_ACCEPT_CRIT="yes"
FW_LOG_ACCEPT_ALL="no"
FW_IPSEC_TRUST="no"

Also ich bin etwas ratlos, was aber daran liegt, dass ich mit der firewallconfiguration keine Ahnung habe aber ich kenn da jemanden der ist absolut fit, also ab zu Martin BreitenbachIch denke das hat was mit FW_MASQUERADE="yes" zu tun. Aber lies den Thread mal nach.

Versuch doch mal ob es etwas hilft wenn Du dem Client alle Infos direkt vergibst (IP, Subnet, GW und DNS ) also ohne DHCP ...

Wenn das funktioniert liegt es wohl am DHCP

Hast Du mal versucht den Router als DNS Server anzugeben bzw einzurichten ?

Wenn "wirklich" nur der ISP geändert wurde kann es wohl auch nicht an der FW liegen ...

Aber wie auch immer solltest Du Dich etwas mit der Firewall auseinandersetzen bzw mit iptables ...

Was sagt denn z.B der Router auf iptables -L -n ?

So long

ThomasF

Ich werde es mal probehalber ohne dhcp versuchen.

iptables -L -n :

Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTAB
LISHED
input_int all -- 0.0.0.0/0 0.0.0.0/0
input_int all -- 0.0.0.0/0 0.0.0.0/0
LOG all -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min bu
rst 5 LOG flags 6 level 4 prefix `SFW2-IN-ILL-TARGET '
DROP all -- 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy DROP)
target prot opt source destination
TCPMSS tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02
TCPMSS clamp to PMTU
forward_int all -- 0.0.0.0/0 0.0.0.0/0
forward_int all -- 0.0.0.0/0 0.0.0.0/0
LOG all -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min bu
rst 5 LOG flags 6 level 4 prefix `SFW2-FWD-ILL-ROUTING '
DROP all -- 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,E
STABLISHED
LOG all -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min bu
rst 5 LOG flags 6 level 4 prefix `SFW2-OUT-ERROR '

Chain forward_int (2 references)
target prot opt source destination
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTAB
LISHED icmp type 0
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTAB
LISHED icmp type 3
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTAB
LISHED icmp type 11
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTAB
LISHED icmp type 12
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTAB
LISHED icmp type 14
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTAB
LISHED icmp type 18
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTAB
LISHED icmp type 3 code 2
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTAB
LISHED icmp type 5
LOG tcp -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min bu rst 5 tcp flags:0x16/0x02 LOG flags 6 level 4 prefix `SFW2-FWDint-DROP-DEFLT '
LOG icmp -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min bu rst 5 LOG flags 6 level 4 prefix `SFW2-FWDint-DROP-DEFLT '
LOG udp -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min bu rst 5 LOG flags 6 level 4 prefix `SFW2-FWDint-DROP-DEFLT '
LOG all -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min bu rst 5 state INVALID LOG flags 6 level 4 prefix `SFW2-FWDint-DROP-DEFLT-INV '
DROP all -- 0.0.0.0/0 0.0.0.0/0

Chain input_int (2 references)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0

Chain reject_func (0 references)
target prot opt source destination
REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 reject-with tcp-res et
REJECT udp -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-po rt-unreachable
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-pr oto-unreachable

Sooo,

auf den ersten Blick sieht das ja ganz gut aus, auch wenn das SuSE Script das ganze natürlich nicht immer so elegant löst ;-)

Wie auch immer jedenfalls sind die Logs aktiv ...

Schau Dir mal bitte die Meldungen in der /var/log/messages an wenn Du versuchst mit dem Client in Internet zu gehen, dann siehst Du welche Pakete geblockt werden ....

So long

ThomasF

Ok, also ich selbst kann damit nicht soviel anfangen.
messages:

Aug 4 13:20:24 thomas nmbd[6372]: [2005/08/04 13:20:24, 0] nmbd/nmbd_browsesync.c:find_domain_master_name_query_fail(353)
Aug 4 13:20:24 thomas nmbd[6372]: find_domain_master_name_query_fail:
Aug 4 13:20:24 thomas nmbd[6372]: Unable to find the Domain Master Browser name TUX-NET<1b> for the workgroup TUX-NET.
Aug 4 13:20:24 thomas nmbd[6372]: Unable to sync browse lists in this workgroup.
Aug 4 13:20:24 thomas nmbd[6372]: [2005/08/04 13:20:24, 0] nmbd/nmbd_browsesync.c:find_domain_master_name_query_fail(353)
Aug 4 13:20:24 thomas nmbd[6372]: find_domain_master_name_query_fail:
Aug 4 13:20:24 thomas nmbd[6372]: Unable to find the Domain Master Browser name TUX-NET<1b> for the workgroup TUX-NET.
Aug 4 13:20:24 thomas nmbd[6372]: Unable to sync browse lists in this workgroup.
Aug 4 13:20:58 thomas kernel: [fglrx:firegl_umm_init] *ERROR* UMM area already initialized!
Aug 4 13:20:58 thomas kernel: [fglrx:firegl_unlock] *ERROR* Process 9384 using kernel context 0
Aug 4 13:20:58 thomas kernel: eth0: link up, 100Mbps, full-duplex, lpa 0x41E1
Aug 4 13:21:04 thomas dhcpd: Wrote 1 leases to leases file.
Aug 4 13:21:05 thomas dhcpd: DHCPREQUEST for 192.168.4.99 from 00:02:dd:00:3c:65 (notebook) via eth0
Aug 4 13:21:05 thomas dhcpd: DHCPACK on 192.168.4.99 to 00:02:dd:00:3c:65 (notebook) via eth0
Aug 4 13:21:30 thomas kernel: SFW2-IN-ILL-TARGET IN=dsl0 OUT= MAC= SRC=207.176.22.50 DST=85.25.104.30 LEN=76 TOS=0x00 PREC=0x00 TTL=121 ID=57172 PROTO=UDP SPT=4674 DPT=4672 LEN=56
Aug 4 13:22:23 thomas gconfd (root-9564): starting (version 2.10.0), pid 9564 user 'root'
Aug 4 13:22:23 thomas gconfd (root-9564): Resolved address "xml:readonly:/etc/opt/gnome/gconf/gconf.xml.mandatory" to a read-only configuration source at position 0
Aug 4 13:22:23 thomas gconfd (root-9564): Resolved address "xml:readwrite:/root/.gconf" to a writable configuration source at position 1
Aug 4 13:22:23 thomas gconfd (root-9564): Resolved address "xml:readonly:/etc/opt/gnome/gconf/gconf.xml.defaults" to a read-only configuration source at position 2
Aug 4 13:22:25 thomas kernel: SFW2-FWDint-DROP-DEFLT IN=eth0 OUT=dsl0 SRC=192.168.4.99 DST=217.9.16.24 LEN=63 TOS=0x00 PREC=0x00 TTL=127 ID=129 PROTO=UDP SPT=1043 DPT=53 LEN=43
Aug 4 13:22:25 thomas kernel: SFW2-FWDint-DROP-DEFLT IN=eth0 OUT=dsl0 SRC=192.168.4.99 DST=217.9.16.24 LEN=63 TOS=0x00 PREC=0x00 TTL=127 ID=135 PROTO=UDP SPT=1044 DPT=53 LEN=43
Aug 4 13:22:26 thomas kernel: SFW2-FWDint-DROP-DEFLT IN=eth0 OUT=dsl0 SRC=192.168.4.99 DST=217.9.17.25 LEN=63 TOS=0x00 PREC=0x00 TTL=127 ID=136 PROTO=UDP SPT=1043 DPT=53 LEN=43
Aug 4 13:22:26 thomas kernel: SFW2-FWDint-DROP-DEFLT IN=eth0 OUT=dsl0 SRC=192.168.4.99 DST=217.9.17.25 LEN=63 TOS=0x00 PREC=0x00 TTL=127 ID=137 PROTO=UDP SPT=1044 DPT=53 LEN=43
Aug 4 13:22:28 thomas kernel: SFW2-FWDint-DROP-DEFLT IN=eth0 OUT=dsl0 SRC=192.168.4.99 DST=217.9.17.25 LEN=63 TOS=0x00 PREC=0x00 TTL=127 ID=138 PROTO=UDP SPT=1043 DPT=53 LEN=43
Aug 4 13:22:29 thomas kernel: SFW2-IN-ILL-TARGET IN=dsl0 OUT= MAC= SRC=66.160.191.167 DST=85.25.104.30 LEN=367 TOS=0x00 PREC=0x00 TTL=53 ID=0 DF PROTO=UDP SPT=41314 DPT=1026 LEN=347
Aug 4 13:24:03 thomas kernel: SFW2-IN-ILL-TARGET IN=dsl0 OUT= MAC= SRC=221.10.201.181 DST=85.25.104.30 LEN=345 TOS=0x00 PREC=0x00 TTL=51 ID=0 DF PROTO=UDP SPT=51329 DPT=1026 LEN=325

dann habe ich noch eine "warn":

Aug 4 13:20:24 thomas nmbd[6372]: [2005/08/04 13:20:24, 0] nmbd/nmbd_browsesync.c:find_domain_master_name_query_fail(353)
Aug 4 13:20:24 thomas nmbd[6372]: find_domain_master_name_query_fail:
Aug 4 13:20:24 thomas nmbd[6372]: Unable to find the Domain Master Browser name TUX-NET<1b> for the workgroup TUX-NET.
Aug 4 13:20:24 thomas nmbd[6372]: Unable to sync browse lists in this workgroup.
Aug 4 13:20:24 thomas nmbd[6372]: [2005/08/04 13:20:24, 0] nmbd/nmbd_browsesync.c:find_domain_master_name_query_fail(353)
Aug 4 13:20:24 thomas nmbd[6372]: find_domain_master_name_query_fail:
Aug 4 13:20:24 thomas nmbd[6372]: Unable to find the Domain Master Browser name TUX-NET<1b> for the workgroup TUX-NET.
Aug 4 13:20:24 thomas nmbd[6372]: Unable to sync browse lists in this workgroup.
Aug 4 13:20:58 thomas kernel: [fglrx:firegl_umm_init] *ERROR* UMM area already initialized!
Aug 4 13:20:58 thomas kernel: [fglrx:firegl_unlock] *ERROR* Process 9384 using kernel context 0
Aug 4 13:21:30 thomas kernel: SFW2-IN-ILL-TARGET IN=dsl0 OUT= MAC= SRC=207.176.22.50 DST=85.25.104.30 LEN=76 TOS=0x00 PREC=0x00 TTL=121 ID=57172 PROTO=UDP SPT=4674 DPT=4672 LEN=56
Aug 4 13:22:25 thomas kernel: SFW2-FWDint-DROP-DEFLT IN=eth0 OUT=dsl0 SRC=192.168.4.99 DST=217.9.16.24 LEN=63 TOS=0x00 PREC=0x00 TTL=127 ID=129 PROTO=UDP SPT=1043 DPT=53 LEN=43
Aug 4 13:22:25 thomas kernel: SFW2-FWDint-DROP-DEFLT IN=eth0 OUT=dsl0 SRC=192.168.4.99 DST=217.9.16.24 LEN=63 TOS=0x00 PREC=0x00 TTL=127 ID=135 PROTO=UDP SPT=1044 DPT=53 LEN=43
Aug 4 13:22:26 thomas kernel: SFW2-FWDint-DROP-DEFLT IN=eth0 OUT=dsl0 SRC=192.168.4.99 DST=217.9.17.25 LEN=63 TOS=0x00 PREC=0x00 TTL=127 ID=136 PROTO=UDP SPT=1043 DPT=53 LEN=43
Aug 4 13:22:26 thomas kernel: SFW2-FWDint-DROP-DEFLT IN=eth0 OUT=dsl0 SRC=192.168.4.99 DST=217.9.17.25 LEN=63 TOS=0x00 PREC=0x00 TTL=127 ID=137 PROTO=UDP SPT=1044 DPT=53 LEN=43
Aug 4 13:22:28 thomas kernel: SFW2-FWDint-DROP-DEFLT IN=eth0 OUT=dsl0 SRC=192.168.4.99 DST=217.9.17.25 LEN=63 TOS=0x00 PREC=0x00 TTL=127 ID=138 PROTO=UDP SPT=1043 DPT=53 LEN=43
Aug 4 13:22:29 thomas kernel: SFW2-IN-ILL-TARGET IN=dsl0 OUT= MAC= SRC=66.160.191.167 DST=85.25.104.30 LEN=367 TOS=0x00 PREC=0x00 TTL=53 ID=0 DF PROTO=UDP SPT=41314 DPT=1026 LEN=347
Aug 4 13:24:03 thomas kernel: SFW2-IN-ILL-TARGET IN=dsl0 OUT= MAC= SRC=221.10.201.181 DST=85.25.104.30 LEN=345 TOS=0x00 PREC=0x00 TTL=51 ID=0 DF PROTO=UDP SPT=51329 DPT=1026 LEN=325

Hehe, Du scheinst ja einige Probleme zu haben ...

Du solltest erst mal versuchen die Teile rauszufinden die jeweils wichtig sind.

Die Logdatei hat ja ein Schema : Datum, Uhrzeit, Rechnername und dann der Dienst der den Fehler oder die Meldung erzeugt.

Der nmbd gehört z.B zu Samba. dhcpd ist wohl klar ;-) Und Meldungen vom Kernel sind auch soweit klar, wobei man z.B wissen sollte das iptables auf die Netfilter-Funktionen im Kernel gebrauch macht ...

Also wenn Dich diese Meldungen interessieren kannst Du vollgendes auf einer Konsole mit root-Rechten eingeben : tail -f /var/log/messages | grep SFW2

Dann bekommst Du nur die Meldungen der Filterregeln des Paketfilters.

Schauen wir mal :

Diese Meldungen kommen recht häufig und erklären Dein Problem.
Dieses Paket kommt auf eth0 rein, also von innen und will nach draußen ins Internet auf einen DNS Server (DPT=53) und das ganze per UDP.

War wohl nichts mit DNS Anfragen ;-)

Ich kenne mich jetzt mit der SuSE Firewall nicht so aus weil ich meine Regeln immer selber bzw mit dem fwbuilder baue ...

Aber wenn ich mir das so anschaue sollte zumindest der DNS erlaubt werden : FW_FORWARD_MASQ="DNS"

Dort sollten wohl auch noch andere Dienste stehen ...

Aber mal ehrlich mit dieser Config der FW hat es niemals bei einem anderen Provider geklappt !!!

Lies dir die Doku von SUSE für die Firewall lieber noch mal genau durch

So long

ThomasF

Ich habs: in der fw-config mußte ich unter fw_forward den Adressbereich angeben, der geroutet werden soll, in meinem Fall also der vom dhcp vergebene Bereich 192.168.4.20,192.168.4.99 - und nun läuft es!

Komisch ist nur, das es ja schon ewig bei mir lief, ohne das ich die fw so explizit bearbeiten mußte - bis ich den Provider wechselte.

Vielen Dank für eure Hilfe und Dank auch den Autoren der FAQs dieses Forums.