Diese Website existiert nur weil wir Werbung mit AdSense ausliefern.
Bitte den AdBlocker daher auf dieser Website ausschalten! Danke.

Zugriffsprobleme auf bestimmte WWW-Seiten mit Linux-Router

Alles rund um das Internet, Internet-Anwendungen (E-Mail, Surfen, Cloud usw.) und das Einrichten von Netzwerken einschl. VPN unter Linux

Moderator: Moderatoren

Antworten
macbeth
Newbie
Newbie
Beiträge: 24
Registriert: 10. Mai 2004, 22:09
Wohnort: Berlin
Kontaktdaten:

Zugriffsprobleme auf bestimmte WWW-Seiten mit Linux-Router

Beitrag von macbeth »

Hallo,

ich habe ein kleines LAN (6 Maschinen), welches über einen Linux-Router per DSL am Internet hängt. Der Router läuft unter SuSE 9.0, wobei entsprechendes Masquerading (NAT) über iptables abgefeiert wird. Das ganze wird über folgendes Script konfiguriert:

Code: Alles auswählen

echo -n Enabling dynamic IP address support...
echo 1 > /proc/sys/net/ipv4/ip_dynaddr
rc_status -v; rc_reset

echo -n Enabling outbound masquerading...
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
rc_status -v; rc_reset
Seit einigen Tagen habe ich nun auf einmal Probleme, auf bestimmte Seiten bzw. Dienste zuzugreifen. Insbesondere betrifft das die Seite www.snogard.de und den MSN Messenger (der wohl auch über Port 80 Verbindung zum Server aufbaut).

Die Zugriffsprobleme bei www.snogard.de habe ich mir genauer angeguckt. Hierbei stelle ich fest, dass keine Probleme auftauchen, wenn ich diese Seite mit "wget www.snogard.de" direkt vom Router aus anfordere. Fordere ich diese Seite allerdings auf gleiche Art und Weise von einer Maschine im LAN an, dann wartet sich wget zu Tode (wie auch der Internet Explorer auf einer Windows-Maschine oder der Konqueror auf einer SuSE-Maschine - beide jeweils hinter dem Router im LAN).

Das ganze sieht fast so aus, als ob www.snogard.de und der MSN-Server maskierte IP-Pakete ignorieren oder nichts mit dynamisch vergebenen Adressen zu tun haben wollen (ist darüber evtl. etwas bekannt, man kennt sowas ja z.B. von einigen Servern im IRCNet) oder aber obiges Script hat neuerdings Fehler. Welchen aber? Das ganze lief ja die letzten 2 Jahre ohne die o.g. Probleme und tritt in der Tat auch nur bei diesen beiden Adressen auf - andere WWW-Seiten und Dienste (Yahoo Messenger, IRC, ftp, etc...) sind ohne Probleme von allen Maschinen im LAN erreichbar...

Letztendlich stellt sich noch die Frage, ob es irgendeinen - mir dann offenbar unbekannten - Mechanismus gibt, mit dem ich genau diese beiden o.g. Adressen auf meinem eigenen Router für den Zugriff aus dem LAN gesperrt habe.

Diese Annahme erscheint mir zwar eher abenteuerlich - genauso abenteuerlich ist aber auch die Idee, dass ein Online-Versand wie Snogard auf einmal nicht mehr mit dynamischen IP-Adressen oder maskierten IP-Paketen reden möchte...

*seufz*

Wenn jemandem dazu was schlaues einfällt, bin ich über zielführende Antworten sehr dankbar... Evtl. ist noch zu vermerken, dass der Router über 1&1 ins Netz geht und das LAN die Adresse 192.168.0.0/24 hat, wobei der Router die interne (eth0) Adresse 192.168.0.1 hat und seine externe (eth1 bzw. ppp0) Adresse über 1&1 bezieht.

Gruß, Axel
we have been fucking busy and vice versa
towo
Moderator
Moderator
Beiträge: 3726
Registriert: 15. Feb 2004, 16:42
Wohnort: Nimritz
Kontaktdaten:

Beitrag von towo »

Ich sach nur eins: MTU!
Signatur nach Diktat spazieren gegangen

Bild
macbeth
Newbie
Newbie
Beiträge: 24
Registriert: 10. Mai 2004, 22:09
Wohnort: Berlin
Kontaktdaten:

Beitrag von macbeth »

Ich frage zurück: Bahnhof?
we have been fucking busy and vice versa
[sTm]Diablo
Newbie
Newbie
Beiträge: 13
Registriert: 5. Mär 2004, 21:37
Wohnort: Schwelm

Beitrag von [sTm]Diablo »

google sagt:

MTU = Maximum Transmission Unit :P
towo
Moderator
Moderator
Beiträge: 3726
Registriert: 15. Feb 2004, 16:42
Wohnort: Nimritz
Kontaktdaten:

Beitrag von towo »

Dein Router sollte die MTU auf DSL-spezifische Größe umpacken.
Signatur nach Diktat spazieren gegangen

Bild
macbeth
Newbie
Newbie
Beiträge: 24
Registriert: 10. Mai 2004, 22:09
Wohnort: Berlin
Kontaktdaten:

Beitrag von macbeth »

Ähm... gut... :roll: ich weiss zwar noch nicht ganz, worauf Du hinauswillst, allerdings finde ich in /var/log/localmessage immer wieder folgende Zeilen nach dem Verbindungsaufbau:

Code: Alles auswählen

May 30 16:17:10 lear pppd[692]: Got connection: 19e2
May 30 16:17:10 lear pppd[692]: Connecting PPPoE socket: 00:90:1a:10:27:54 e219 eth0 0x80899b0
May 30 16:17:10 lear pppd[692]: Connect: ppp0 <--> eth0
May 30 16:17:10 lear pppd[692]: Setting MTU to 1492.
May 30 16:17:10 lear pppd[692]: Couldn't increase MRU to 1500
May 30 16:17:10 lear pppd[692]: Setting MTU to 1492.
May 30 16:17:10 lear pppd[692]: Local IP address changed to 80.142.46.191
Ich nehme mal an, dass das was mit dem zu tun hat, worauf Du hinaus willst. Es stellen sich also folgende Fragen:

Was ist ein passender Wert für die MTU?
Wie setze ich diesen Wert?
Und was sagt mir der Fehler mit der MRU

Danke im Voraus,

Axel :D
we have been fucking busy and vice versa
towo
Moderator
Moderator
Beiträge: 3726
Registriert: 15. Feb 2004, 16:42
Wohnort: Nimritz
Kontaktdaten:

Beitrag von towo »

Was ist ein passender Wert für die MTU?
Der ist mit 1492 für T-DSL schon richtig.
Wie setze ich diesen Wert?
gesetzt wird er ja schon, nur bekommen die Clients davon nix mit.
Und was sagt mir der Fehler mit der MRU
Kannst Du ignorieren.

Dir fehlt noch eine iptables-Regel:

Code: Alles auswählen

iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
Dann sollten die Clients alle Seiten anzeigen.
Signatur nach Diktat spazieren gegangen

Bild
macbeth
Newbie
Newbie
Beiträge: 24
Registriert: 10. Mai 2004, 22:09
Wohnort: Berlin
Kontaktdaten:

Beitrag von macbeth »

Na, Heilands Sack! Das nenn' ich mal absolut schnelle Hilfe! Funktioniert bestens! Danke!

Nur - was genau hab ich da jetzt gemacht? :D

Axel (entzückt)
we have been fucking busy and vice versa
towo
Moderator
Moderator
Beiträge: 3726
Registriert: 15. Feb 2004, 16:42
Wohnort: Nimritz
Kontaktdaten:

Beitrag von towo »

Nur - was genau hab ich da jetzt gemacht?
Du hast Deinen Router veranlaßt, alls Packete aus Deinem LAN, welche mit einer MTU von 1500 ankommen, auf eine MTU von 1492 umzupacken.
Signatur nach Diktat spazieren gegangen

Bild
macbeth
Newbie
Newbie
Beiträge: 24
Registriert: 10. Mai 2004, 22:09
Wohnort: Berlin
Kontaktdaten:

Beitrag von macbeth »

Ich denke mal, ich les noch mal genauer die Dokumentation von iptables, was die einzigen optionen genau bedeuten :-) Dennoch vielen Dank noch mal! :-)

Axel
we have been fucking busy and vice versa
Benutzeravatar
Martin Breidenbach
Ultimate Guru
Ultimate Guru
Beiträge: 5632
Registriert: 26. Mai 2004, 21:33
Wohnort: N 50.17599° E 8.73367°

Beitrag von Martin Breidenbach »

Wofür schreib ich eigentlich immer diese HOWTOs wenn's doch keiner liest ?

[TIP] Bei Internetverbindungsproblemen (IPv6, MTU, DNS)

http://www.linux-club.de/viewtopic.php?t=16677
Nicht Böse sein ! Der Onkel macht doch nur Spaß !
macbeth
Newbie
Newbie
Beiträge: 24
Registriert: 10. Mai 2004, 22:09
Wohnort: Berlin
Kontaktdaten:

Beitrag von macbeth »

... weil einer, der froh ist, dass er nen router mit DNS und bla konfiguriert hat und ungefähr kapiert hat, was iptables macht, bei derartigen fehlern nicht auf das stichwort MRU kommt und die stichworte DNS und IPV6 an der stelle nicht auftauchen :-)

und weil man hinterher immer schlauer ist :-) NUN werde ich es lesen :-)

gruß, axel
we have been fucking busy and vice versa
macbeth
Newbie
Newbie
Beiträge: 24
Registriert: 10. Mai 2004, 22:09
Wohnort: Berlin
Kontaktdaten:

Beitrag von macbeth »

ach ja - abgesehen davon, war die lösung von towo eleganter, denn nach der von dir geschriebenen howto hätte ich auf 6 rechnern die MTU geändert - mit towos lösung macht der router das nun direkt nur für die pakete, die mein netz verlassen... :-)

es führen immer so viele wege nach rom - fahren wir nach castrop-rauxel!

axel :-)
we have been fucking busy and vice versa
Benutzeravatar
Martin Breidenbach
Ultimate Guru
Ultimate Guru
Beiträge: 5632
Registriert: 26. Mai 2004, 21:33
Wohnort: N 50.17599° E 8.73367°

Beitrag von Martin Breidenbach »

Dann fasse ich das mal als Verbesserungsvorschlag auf und habe das mit der MTU-Anpassung ins HOWTO assimiliert :D
Nicht Böse sein ! Der Onkel macht doch nur Spaß !
Antworten