# Rechner mit "Debian sarge" als Router, Problem mit einigen Internetseiten



## venom (18. Dezember 2004)

Moin Moin,

ich habe folgendes Problem:

Ich nutze einen Rechner nit Debian sarge und der Kernelversion 2.6.7-1-386 als Router für drei Rechner. Auf dem Router ist eine Firewall zwecks Sicherheit und Masquerading installiert. Das Routing funktioniert soweit auch ganz gut, nur kann ich einige Internetseiten nicht aufrufen, wie z.B. http://www.ebay.de , http://www.postbank.de und http://www.starwarsgalaxies.de (hier wird immerhin der title geladen)... Andere Seiten, wie z.B. http://www.amazon.de oder http://www.google.de funktionieren ohne Probleme.

Hat jemand eine Idee, woran das liegt?

MfG

venom


----------



## chris-mg (27. Dezember 2004)

Hi,

ja das Problem ist bekannt. Folgendes bringt abhilfe:

MTU Wert in deiner Config für PPPoE auf 1492 setzen und folgende Zeile zur Firewall hinzufügen:

iptables -A FORWARD -p TCP --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

Gruss,

Christian


----------



## dritter (28. Dezember 2004)

Hallo!
MTU ist schon das richtige Stichwort. Allerdings hängt diese auch von Deinem ISP ab. Manche nutzen einen kleineren Wert als 1492. Die MTU kannst Du rausfinden mit diesem Kommando, wobei du die halt immer inkrementieren, oder dekrementieren musst:

ping -c 1 -M dont -s 1400 http://www.google.de

vorausgesetzt Du hast eine aktuelle ping version. Schau einfach in die man-seite, und guck, ob es die Option -M gibt.

Grüße 3.


----------



## venom (2. Januar 2005)

Hi,

das mit dem Befehl "iptables -A FORWARD -p TCP --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu" reicht leider nicht...

Die Option -M gibts bei mir im Ping Program, aber worauf muss ich achten, wenn ich den richtigen Wert für die MTU dadurch ermitteln will? Wie genau kriege ich den Wert damit raus?

Danke schonmal für die bisherige Hilfe!

MfG venom


----------



## dritter (2. Januar 2005)

Du änderst einfach den Zahlenwert hinter der Option -s. Der beschreibt nämlich die MTU. Wenn Du dann ein Pong zurückbekommst, weißt Du, dass die MTU noch nicht zu groß ist...

Bei mir siehts dann so aus:


```
PING www.google.akadns.net (66.102.11.104) 1400(1428) bytes of data.
64 bytes from 66.102.11.104: icmp_seq=0 ttl=239 (truncated)

--- www.google.akadns.net ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 75.860/75.860/75.860/0.000 ms, pipe 2
```

Und wenn die MTU zu groß ist:


```
PING www.google.akadns.net (66.102.11.99) 1493(1521) bytes of data.

--- www.google.akadns.net ping statistics ---
1 packets transmitted, 0 received, 100% packet loss, time 0ms
```

Mittels ifconfig passt Du dann deine MTU an. Es gibt auch eine Konfigurationsdatei in der Du das Dauerhaft speichern kannst, aber ich weiss leider nicht, wo die bei Debian liegt..


----------



## venom (2. Januar 2005)

So, ich hab das mal ausprobiert, als MTU ist momentan 1492 eingestellt und das kam dabei raus:



> router:~# ping -c 1 -M dont -s 1492 http://www.starwarsgalaxies.de
> PING http://www.starwarsgalaxies.de (217.160.176.28) 1492(1520) bytes of data.
> 1500 bytes from swg-bibliothek.de (217.160.176.28): icmp_seq=1 ttl=58 time=83.9 ms
> 
> ...



Ebay antwortet generell nicht auf pings... Also war das nicht das Problem...

Hat da evtl. noch jemand ne andere Idee

Bin für jede Hilfe dankbar.

MfG venom


----------



## dritter (3. Januar 2005)

Hm. Dann liegt es nicht an der MTU. Evtl. kennen die Nameserver die Seiten nicht... Auch wenn ich es mir schlecht vorstellen kann, da eine Seite von der Größe Ebays von allen Nameservern gekannt werden sollte. 

Es könnte auch an der Firewallkonfiguration liegen..

Funktionieren die Seiten von allen Rechnern im Netzwerk nicht?
bzw. bist Du sicher, dass ein ein Problem des Routers ist?
Hast Du eigene Nameserver konfiguriert?
Welche Firewall verwendest Du?
Betrifft Deine Firewallkonfiguration bestimmte Seiten, oder Paketgrößen?
bzw. dropst Du bestimmte Pakete?

Ich hoffe diese Fragen bringen etwas Licht ins Dunkel


----------



## Namandar (6. Januar 2005)

Ich habe z.Zt. das gleiche Problem das ich manche Internet Seiten HINTER dem Router nicht mehr erreiche.
Erst seit dem Update auf Unstable und der InstallationsCD Sarge.
Vorher hatte ich immer die Debian NetInstallationsCD benutzt und nie diese Probleme gehabt.
Mich wundert das sehr, denn ich hab den gleichen Kernel (die gleiche .config) benutzt, das gleiche Firewall Script und soweiter eben.
Aber es will einfach nicht. Hier ein paar auszuege:
Diese ping sache hatte ich ausprobiert und ich komme da auf MTU 1464.
Sollte ich das nun auch bei eth0 und ppp0 einstellen ? 
Was ist mit den XP-Rechnern hinterm router?Sollte man da auch die selbe MTU einstellen ?


Debian Sarge 2.4.28 


```
root@router:/# ifconfig -a
eth0      Link encap:Ethernet  HWaddr 00:50:FC:61:2F:C0
          UP BROADCAST RUNNING MULTICAST  MTU:1492  Metric:1
          RX packets:15043 errors:0 dropped:0 overruns:0 frame:0
          TX packets:14217 errors:0 dropped:0 overruns:0 carrier:0
          collisions:54 txqueuelen:1000
          RX bytes:11498695 (10.9 MiB)  TX bytes:1738290 (1.6 MiB)
          Interrupt:11 Base address:0x3000

eth1      Link encap:Ethernet  HWaddr 00:30:84:0D:1D:A2
          inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:666 errors:0 dropped:0 overruns:0 frame:0
          TX packets:510 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:61271 (59.8 KiB)  TX bytes:95057 (92.8 KiB)
          Interrupt:5 Base address:0x5000

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:212 errors:0 dropped:0 overruns:0 frame:0
          TX packets:212 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:14872 (14.5 KiB)  TX bytes:14872 (14.5 KiB)

ppp0      Link encap:Point-to-Point Protocol
          inet addr:217.230.85.61  P-t-P:217.5.98.83  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1
          RX packets:13050 errors:0 dropped:0 overruns:0 frame:0
          TX packets:12511 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:9741528 (9.2 MiB)  TX bytes:1312008 (1.2 MiB)
```


```
root@router:/# iptables -L -v
Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
  130  8996 ACCEPT     all  --  lo     any     anywhere             anywhere
   27  7536 ACCEPT     all  --  eth1   any     192.168.1.0/24       anywhere
    0     0 drop-and-log-it  all  --  ppp0   any     192.168.1.0/24       anywhere
12215 9568K ACCEPT     all  --  ppp0   any     anywhere             pD9E6553D.dip.t-dialin.net state RELATED,ESTABLISHED
    0     0 ACCEPT     tcp  --  eth1   any     anywhere             anywhere            tcp spt:bootpc dpt:bootps
    0     0 ACCEPT     udp  --  eth1   any     anywhere             anywhere            udp spt:bootpc dpt:bootps
  205 14508 drop-and-log-it  all  --  any    any     anywhere             anywhere

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
  405 73811 ACCEPT     all  --  ppp0   eth1    anywhere             anywhere            state RELATED,ESTABLISHED
  364 23632 ACCEPT     all  --  eth1   ppp0    anywhere             anywhere
    0     0 drop-and-log-it  all  --  any    any     anywhere             anywhere
    0     0 TCPMSS     tcp  --  any    any     anywhere             anywhere            tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU

Chain OUTPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
  130  8996 ACCEPT     all  --  any    lo      anywhere             anywhere
    0     0 ACCEPT     all  --  any    eth1    pD9E6553D.dip.t-dialin.net  192.168.1.0/24
   18  5904 ACCEPT     all  --  any    eth1    192.168.1.0/24       192.168.1.0/24
    0     0 drop-and-log-it  all  --  any    ppp0    anywhere             192.168.1.0/24
11909 1268K ACCEPT     all  --  any    ppp0    pD9E6553D.dip.t-dialin.net  anywhere
    0     0 ACCEPT     tcp  --  any    eth1    192.168.1.0/24       255.255.255.255     tcp spt:bootps dpt:bootpc
    0     0 ACCEPT     udp  --  any    eth1    192.168.1.0/24       255.255.255.255     udp spt:bootps dpt:bootpc
    0     0 drop-and-log-it  all  --  any    any     anywhere             anywhere

Chain drop-and-log-it (5 references)
 pkts bytes target     prot opt in     out     source               destination
  205 14508 LOG        all  --  any    any     anywhere             anywhere            LOG level info
  205 14508 REJECT     all  --  any    any     anywhere             anywhere            reject-with icmp-port-unreachable
```


----------



## Namandar (6. Januar 2005)

Hab das Problem behoben:

Die Debian 3.0 NetistallCD (woody-i368.iso ca. 180MB) installiert,
auf sarge geUpdatet, und hab seither KEINE probleme.
Auch das python2.3 package wird richtig installiert, was zuvor
immer compiöier-fehler bei der installation brachte.

Auch ein Bekannter von mir, der als NetAdmin taetig ist hatte 
dieses problem nd konnte es auch nur durch eine NeuInstallation beheben.

Natuerlich wuerde mich Intressieren woran es lag, nachdem was ich alles ausprobiert hatte ......

cYa


----------



## ribo (12. Januar 2005)

Hey Leute...

Bin ein absoluter Neuling und bei meinem Router hab ich das selbe Problem mit den Internetseiten!
Hab nen Netgear RP614 Web- Safe-Router und überhaupt keine Ahnung was ich machen soll...

Die obenstehenden Möglichkeiten Versteh ich leider net und somit bitte ich um eine Erklärung dieser oder um neue Möglichkeiten die ich Verstehe...

MfG
Ribo

PS: Bin totaler Neuling... Aber schliesslich hat jeder mal klein Angefangen!


----------



## Namandar (12. Januar 2005)

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Also Ribo,

ich würde erstmal sagen wenn Du einen Hardware Router von Netgear
benutzt, ist es schwierig Dir bei diesem Problem zu helfen. Ich würde
Dir empfehlen Deinen Router UpZuDaten. Schau doch mal ob Du bei
Netgeaar ein Update für deinen Router bekommst. Vielleicht irgendein
file zum Flashen.
--> Hab grad mal bei Netgear gescaut, hier ist der Link: ftp://downloads.netgear.com/files/rp614v2_v5_20_rc3.bin
Damit deinen router flashen. Wie das geht steht denke ich im Handbuch oder bei Netgear auf der WebSite...


Denn ein Hardware router ist doch was ganz anderes wie ein Computer
auf dem eine Software installiert wird und die dann als
Router/Firewall benutzt wird.

Ich habe das problem auch nicht wirklich gelöst. Aber ich habe
hinweise daruauf erhalten das das packet route mit dem kernel nicht
harmoniert und es ein patch dafür benötigt. naja, das patchen hab ich
nicht geschafft Hab da wohl was falsch gemacht und hab mir das System
verschossen. Deswegen die neuInstallation mit dem Stable Debian und
dann UpDate auf Debian Sarge (unstable) 

Mehr kann ich Dir auch nicht verraten. Sorry.



Bxe Namandar


-----BEGIN PGP SIGNATURE-----
Version: PGP 8.1

iQA/AwUBQeVhhWnmvAtxMTGiEQJM/gCg9YZemVks8FV07OZNgowqJMlwTl8An0Te
tj4A8G6oxN9/i7ARReBLHDhW
=/YDi
-----END PGP SIGNATURE-----


----------

