Über uns
Know-how
FAQ
Projektverlauf
Technikbereich
Ip-Vergabe
Organisation / Termine
Community
Forum
Karte
Gästebuch
Partner
Sonstiges
Downloads
Gallery
Spenden-Topf
Forum Startseite Wiki Karte Forum
WLanhsh & WLanwse Foren-Übersicht WLanhsh & WLanwse
Forum des WLan Hohenschönhausen und des WLan Weißensee
wlanhsh.freifunk.net
 
 FAQFAQ   SuchenSuchen   MitgliederlisteMitgliederliste   BenutzergruppenBenutzergruppen   RegistrierenRegistrieren 
 ProfilProfil   Einloggen, um private Nachrichten zu lesenEinloggen, um private Nachrichten zu lesen   LoginLogin 

Firewall-Problem

 
Dieses Forum ist gesperrt, du kannst keine Beiträge editieren, schreiben oder beantworten.   Dieses Thema ist gesperrt, du kannst keine Beiträge editieren oder beantworten.    WLanhsh & WLanwse Foren-Übersicht -> WLan Technik
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
ropf



Anmeldedatum: 25.04.2006
Beiträge: 582

BeitragVerfasst am: 18.05.2006, 00:43    Titel: Firewall-Problem Antworten mit Zitat

Hallo, ich hab seit kurzem ein Problem mit der Firewall meines ASUS. Email kann manchmal nicht abgesand weden und uch Postings in dieses Forun klappt machmal nicht. Dabei erscheinen im Log folgende Meldungen:

May 17 22:41:02 (none) user.warn kernel: IN=eth1 OUT=br0 SRC=192.168.255.254 DST=192.168.255.15 LEN=576 TOS=0x00 PREC=0xC0 TTL=61 ID=23658 PROTO=ICMP TYPE=3 CODE=4 [SRC=192.168.255.15 DST=213.203.202.8 LEN=1500 TOS=0x00 PREC=0x00 TTL=60 ID=55266 DF PROTO=TCP SPT=15061 DPT=80 WINDOW=1460 RES=0x00 ACK URGP=0 ] MTU=1492

Kann mir das mal jemand übersetzen?
Gruß ropf

/edit
ich kann hie ehcht keinen Post mit mehr als ein paar Zeilen absetzen. Wärehnd der Browser auf Antwort wartet, klingelt im ASUS die Firewall
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
Imrael



Anmeldedatum: 07.08.2005
Beiträge: 76

BeitragVerfasst am: 18.05.2006, 19:18    Titel: Antworten mit Zitat

bei mir tritt dieses Problem auch auf.

Die meisten Funktionen von webseiten gehen, aber wenn ich in meinem browsergame bestimmte sachen ausführen will (hauptsächlich in formularen)

dann geht nichts. komischerweise geht der rest problemlos.

ich hab allerdings keinen asus sondern nen WRT

Interessanterweise hab ich den eindruck, dass das problem ursächlich mit dem Schul-Uplink zusammenhängt.

Ich hing bis eben noch über die 105 am netz, als auf einma mein nachbar auf den schuluplink umroutete. seitdem tritt das problem wieder auf.

hat das nen hintergrund oder is das zufall??
_________________
3,2GHz|2GB RAM|Radeon x600Pro
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
Imrael



Anmeldedatum: 07.08.2005
Beiträge: 76

BeitragVerfasst am: 19.05.2006, 07:06    Titel: Antworten mit Zitat

sry 4 spam, aber das problem is mir wichtig

*push um wieder auf die hauptseite zu kommen*
_________________
3,2GHz|2GB RAM|Radeon x600Pro
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
ropf



Anmeldedatum: 25.04.2006
Beiträge: 582

BeitragVerfasst am: 19.05.2006, 07:31    Titel: Antworten mit Zitat

Imrael hat Folgendes geschrieben:
sry 4 spam, aber das problem is mir wichtig

Nimm dir doch mal die iptables-Einstellungen vor. Ist nicht ganz trivial, aber selbst ist der Mann!
Gruß ropf
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
Imrael



Anmeldedatum: 07.08.2005
Beiträge: 76

BeitragVerfasst am: 19.05.2006, 07:45    Titel: Antworten mit Zitat

bzgl trivial: ich würd zwar durchaus rausbekommen, wie ich es einstellen muss...

aber ich hab keinen plan was ich einstellen muss

ich häng ja nich selber am schuluplink dran, sondern über 2 hops.
und denen kann ich ja afaik nich vorschreiben, wohin sie zu routen haben
(würde das funkkonzept ad absurdum führen)
_________________
3,2GHz|2GB RAM|Radeon x600Pro
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
Imrael



Anmeldedatum: 07.08.2005
Beiträge: 76

BeitragVerfasst am: 19.05.2006, 08:00    Titel: Antworten mit Zitat

hmm, ich hab jetzt mal testweise meine WRT einstellungen bearbeitet.

ich hab alle LQ-Einstellungen gekillt und den Filter leer gemacht.

keine veränderung der Symptome.


Dann hab ich mal die beiden Hops über die ich vorher mit dem Schuluplink verbunden war in den Filter gesetzt, mit dem Ergebnis, dass ich nur noch über BerTs AP geroutet werde.

Und siehe da: obwohl BerT über den schuluplink routet, sind die symptome auf einmal weg.

Erklären kann ich mir das nicht, auch nicht mit irgendwelchen IPTABLES, denn ich kann ja so gut wie alles andere trotzdem mit hoher geschwindigkeit im netz machen, bis eben auf diese 2 Formulare in meinem Browsergame...

*verwirrtbin*
_________________
3,2GHz|2GB RAM|Radeon x600Pro
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
ali



Anmeldedatum: 16.01.2006
Beiträge: 369
Wohnort: 13086, Behaimstr.

BeitragVerfasst am: 19.05.2006, 10:12    Titel: Re: Firewall-Problem Antworten mit Zitat

ropf hat Folgendes geschrieben:

May 17 22:41:02 (none) user.warn kernel: IN=eth1 OUT=br0 SRC=192.168.255.254 DST=192.168.255.15 LEN=576 TOS=0x00 PREC=0xC0 TTL=61 ID=23658 PROTO=ICMP TYPE=3 CODE=4 [SRC=192.168.255.15 DST=213.203.202.8 LEN=1500 TOS=0x00 PREC=0x00 TTL=60 ID=55266 DF PROTO=TCP SPT=15061 DPT=80 WINDOW=1460 RES=0x00 ACK URGP=0 ] MTU=1492

Kann mir das mal jemand übersetzen?


ICMP type 3 code 4 ist "Fragmentation needed but no frag. bit set", das von 192.168.255.254 an 192.168.255.15 gemeldet wird. Die MTU auf der 192.168.255.254 (ist das wirklich eine gültige IP-Adresse bei Dir?) scheint bei 1492 zu liegen. Das Originalpaket (die Werte in [...]) ging von 192.168.255.15 an 213.203.202.8 und war 1500 Bytes lang, also zu lang für die MTU dort. Du hast nicht zufällig einen MTU-Wert im Asus eingetragen? AFAIK muß das Feld in der graphischen Konfig leer gelassen werden.
Alternativ würde ich mal die MTU auf 192.168.255.15 heruntersetzen.

HTH,
ali
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
ropf



Anmeldedatum: 25.04.2006
Beiträge: 582

BeitragVerfasst am: 19.05.2006, 16:04    Titel: Antworten mit Zitat

Danke, das erkärt warum nur längere Posts und Mails betroffen sind.
Mtu-wert in der Weboberfläche ist leer und es gibt auch keine 192.168.255.254. Es gibt momentan nur die 1 (Router) und 15 (Arbeitsrechner).

Allerdings richtet SUSE ungefragt immer IPV6 ein mit einer Route link-local - das könnte die ominöse 254 sein. Hab das Interface jetzt per Hand aufgesetzt und hoffe das es dann geht. Dann werde ich endlich auch die anderen Posts los.

"Das Originalpaket (die Werte in [...]) ging von 192.168.255.15 an 213.203.202.8 und war 1500 Bytes lang, also zu lang für die MTU dort."

Die 213... ist das Forum, heißt das der Server vertägt keine mtu von 1500byte?

Gruß ropf
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
ropf



Anmeldedatum: 25.04.2006
Beiträge: 582

BeitragVerfasst am: 19.05.2006, 17:11    Titel: Antworten mit Zitat

Juhuu - es geht! Das Runtersetzen der MTU am Arbeitsrechner hat geholfen.

Aber ich ihabe das Gefühl, daß jetzt alles noch zäher geht. Auch die ominöse 192.168.222.254. ist noch da. Kann das nicht eines der internen interfaces des Routers sein? Eines der VLans oder die Brücke?

Schließlich entstehen die Warnmeldungen auch im Syslog des Routers.

Gruß und Danke
ropf
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
ali



Anmeldedatum: 16.01.2006
Beiträge: 369
Wohnort: 13086, Behaimstr.

BeitragVerfasst am: 19.05.2006, 22:17    Titel: Antworten mit Zitat

ropf hat Folgendes geschrieben:

Die 213... ist das Forum, heißt das der Server vertägt keine mtu von 1500byte?

Nein, das heißt, daß die 192.168.255.254 beim Versuch, ein Paket an die 213.... weiterzuleiten, feststellte, daß das Paket größer als die MTU des ausgewählten Interfaces ist und zudem im Paket das "Don't fragment" Bit gesetzt ist (sonst würde das Paket fragmentiert werden).
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
ali



Anmeldedatum: 16.01.2006
Beiträge: 369
Wohnort: 13086, Behaimstr.

BeitragVerfasst am: 19.05.2006, 22:21    Titel: Antworten mit Zitat

ropf hat Folgendes geschrieben:
Juhuu - es geht! Das Runtersetzen der MTU am Arbeitsrechner hat geholfen.

Aber ich ihabe das Gefühl, daß jetzt alles noch zäher geht. Auch die ominöse 192.168.222.254. ist noch da. Kann das nicht eines der internen interfaces des Routers sein? Eines der VLans oder die Brücke?

Schließlich entstehen die Warnmeldungen auch im Syslog des Routers.

Schau' doch mal auf der Kommandozeile des Router nach: per ssh einloggen und dann
Code:
ip addr
Zeigt mtu und IP Adressen an.
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden
ropf



Anmeldedatum: 25.04.2006
Beiträge: 582

BeitragVerfasst am: 21.05.2006, 00:29    Titel: Antworten mit Zitat

ali hat Folgendes geschrieben:
Schau' doch mal auf der Kommandozeile des Router nach...

Hier die Ausgabe, keine 255 weit und breit
Code:
root@minimax:~# ip addr
1: lo: <LOOPBACK,UP> mtu 16436 qdisc noqueue
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
2: eth0: <BROADCAST,MULTICAST,PROMISC,UP> mtu 1500 qdisc pfifo_fast qlen 1000
    link/ether 00:13:d4:d1:ff:94 brd ff:ff:ff:ff:ff:ff
3: eth1: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc prio qlen 1000
    link/ether 00:13:d4:d1:ff:94 brd ff:ff:ff:ff:ff:ff
    inet 104.10.0.2/8 brd 104.255.255.255 scope global eth1
4: br0: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue
    link/ether 00:13:d4:d1:ff:94 brd ff:ff:ff:ff:ff:ff
    inet 192.168.255.1/24 brd 192.168.255.255 scope global br0
5: vlan0: <BROADCAST,MULTICAST,PROMISC,UP> mtu 1500 qdisc noqueue
    link/ether 00:13:d4:d1:ff:94 brd ff:ff:ff:ff:ff:ff
6: vlan1: <BROADCAST,MULTICAST,PROMISC,UP> mtu 1500 qdisc noqueue
    link/ether 00:13:d4:d1:ff:94 brd ff:ff:ff:ff:ff:ff

Die Verbindungen nach draußen erfolgen doch über NAT, dh die Pakete erhalten einen neuen Umsschlag. Ich hab mal auf der ctrom gestöbert und bin auf dasselbe Problem im Zusammenhang mit PPPoE gestoßen. Hier ein Auszug:
ct hat Folgendes geschrieben:
Das Problem hat mit der Maximum Transfer Unit (MTU) zu tun, die beim fr DSL eingesetzten PPPoE die Paketgr�e auf 1492 Byte limitiert. Die Client-Rechner sehen aber lediglich das lokale Netz mit einer MTU von 1500 und verwenden diese, um fr TCP-Verbindungen die Maximum Segment Size (MSS) zu berechnen, die sie den externen Servern mitteilen. So kann es vorkommen, dass der Web-Server Pakete schickt, die zu gro�fr die PPPoE-Verbindung sind. Da mittlerweile fast alle Systeme Fragmentierung untersagen (DF-Bit im IP-Header), sendet der Router eine Kontrollmeldung an den Absender, dass das Paket zu gro�war (ICMP: destination unreachable: need to fragment). Bei den betroffenen Servern verhindert jedoch eine falsch konfigurierte Firewall, dass der Absender das ICMP-Paket erh�t, sodass er es immer wieder versucht - aber eben nur mit den zu gro�n Paketen, die nicht ankommen.
Um das Problem zu beseitigen, muss man auf allen betroffenen Clients die MTU herabsetzen. Ein Wert von 1472 hat sich bei unseren Versuchen als brauchbar erwiesen.
...
Wer einen modernen Linux-Router mit iptables betreibt, kann alternativ auch dafr sorgen, dass dieser mit
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN
-j TCPMSS --clamp-mss-to-pmtu
in die Aushandlung der MSS eingreift und diese entsprechend anpasst. Weitere Tipps fr ICS, Hardware- und Linux-Router sowie zu problematischen Anwendungen wie Spielen und Chat finden Sie in den folgenden Artikeln. (ju)

Bin ich auf dem richtigen Weg?
Gruß ropf
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
Beiträge der letzten Zeit anzeigen:   
Dieses Forum ist gesperrt, du kannst keine Beiträge editieren, schreiben oder beantworten.   Dieses Thema ist gesperrt, du kannst keine Beiträge editieren oder beantworten.    WLanhsh & WLanwse Foren-Übersicht -> WLan Technik Alle Zeiten sind GMT + 2 Stunden
Seite 1 von 1

 
Gehe zu:  
Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst deine Beiträge in diesem Forum nicht bearbeiten.
Du kannst deine Beiträge in diesem Forum nicht löschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.


Powered by phpBB © 2001, 2005 phpBB Group
Deutsche Übersetzung von phpBB.de