Rechner mit "Debian sarge" als Router, Problem mit einigen Internetseiten

venom

venom

Mitglied
Moin Moin,

ich habe folgendes Problem:

Ich nutze einen Rechner nit Debian sarge und der Kernelversion 2.6.7-1-386 als Router für drei Rechner. Auf dem Router ist eine Firewall zwecks Sicherheit und Masquerading installiert. Das Routing funktioniert soweit auch ganz gut, nur kann ich einige Internetseiten nicht aufrufen, wie z.B. http://www.ebay.de , http://www.postbank.de und http://www.starwarsgalaxies.de (hier wird immerhin der title geladen)... Andere Seiten, wie z.B. http://www.amazon.de oder http://www.google.de funktionieren ohne Probleme.

Hat jemand eine Idee, woran das liegt?

MfG

venom
 
Hi,

ja das Problem ist bekannt. Folgendes bringt abhilfe:

MTU Wert in deiner Config für PPPoE auf 1492 setzen und folgende Zeile zur Firewall hinzufügen:

iptables -A FORWARD -p TCP --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

Gruss,

Christian
 
Hallo!
MTU ist schon das richtige Stichwort. Allerdings hängt diese auch von Deinem ISP ab. Manche nutzen einen kleineren Wert als 1492. Die MTU kannst Du rausfinden mit diesem Kommando, wobei du die halt immer inkrementieren, oder dekrementieren musst:

ping -c 1 -M dont -s 1400 http://www.google.de

vorausgesetzt Du hast eine aktuelle ping version. Schau einfach in die man-seite, und guck, ob es die Option -M gibt.

Grüße 3.
 
Hi,

das mit dem Befehl "iptables -A FORWARD -p TCP --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu" reicht leider nicht...

Die Option -M gibts bei mir im Ping Program, aber worauf muss ich achten, wenn ich den richtigen Wert für die MTU dadurch ermitteln will? Wie genau kriege ich den Wert damit raus?

Danke schonmal für die bisherige Hilfe!

MfG venom
 
Du änderst einfach den Zahlenwert hinter der Option -s. Der beschreibt nämlich die MTU. Wenn Du dann ein Pong zurückbekommst, weißt Du, dass die MTU noch nicht zu groß ist...

Bei mir siehts dann so aus:

Code: 
PING www.google.akadns.net (66.102.11.104) 1400(1428) bytes of data.
64 bytes from 66.102.11.104: icmp_seq=0 ttl=239 (truncated)

--- www.google.akadns.net ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 75.860/75.860/75.860/0.000 ms, pipe 2

Und wenn die MTU zu groß ist:

Code: 
PING www.google.akadns.net (66.102.11.99) 1493(1521) bytes of data.

--- www.google.akadns.net ping statistics ---
1 packets transmitted, 0 received, 100% packet loss, time 0ms

Mittels ifconfig passt Du dann deine MTU an. Es gibt auch eine Konfigurationsdatei in der Du das Dauerhaft speichern kannst, aber ich weiss leider nicht, wo die bei Debian liegt..
 
So, ich hab das mal ausprobiert, als MTU ist momentan 1492 eingestellt und das kam dabei raus:

router:~# ping -c 1 -M dont -s 1492 http://www.starwarsgalaxies.de
PING http://www.starwarsgalaxies.de (217.160.176.28) 1492(1520) bytes of data.
1500 bytes from swg-bibliothek.de (217.160.176.28): icmp_seq=1 ttl=58 time=83.9 ms

--- http://www.starwarsgalaxies.de ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 83.988/83.988/83.988/0.000 ms
Zum Vergrößern anklicken....

Ebay antwortet generell nicht auf pings... Also war das nicht das Problem...

Hat da evtl. noch jemand ne andere Idee

Bin für jede Hilfe dankbar.

MfG venom
 
Hm. Dann liegt es nicht an der MTU. Evtl. kennen die Nameserver die Seiten nicht... Auch wenn ich es mir schlecht vorstellen kann, da eine Seite von der Größe Ebays von allen Nameservern gekannt werden sollte.

Es könnte auch an der Firewallkonfiguration liegen..

Funktionieren die Seiten von allen Rechnern im Netzwerk nicht?
bzw. bist Du sicher, dass ein ein Problem des Routers ist?
Hast Du eigene Nameserver konfiguriert?
Welche Firewall verwendest Du?
Betrifft Deine Firewallkonfiguration bestimmte Seiten, oder Paketgrößen?
bzw. dropst Du bestimmte Pakete?

Ich hoffe diese Fragen bringen etwas Licht ins Dunkel ;)
 
Ich habe z.Zt. das gleiche Problem das ich manche Internet Seiten HINTER dem Router nicht mehr erreiche.
Erst seit dem Update auf Unstable und der InstallationsCD Sarge.
Vorher hatte ich immer die Debian NetInstallationsCD benutzt und nie diese Probleme gehabt.
Mich wundert das sehr, denn ich hab den gleichen Kernel (die gleiche .config) benutzt, das gleiche Firewall Script und soweiter eben.
Aber es will einfach nicht. Hier ein paar auszuege:
Diese ping sache hatte ich ausprobiert und ich komme da auf MTU 1464.
Sollte ich das nun auch bei eth0 und ppp0 einstellen ?
Was ist mit den XP-Rechnern hinterm router?Sollte man da auch die selbe MTU einstellen ?


Debian Sarge 2.4.28

Code: 
root@router:/# ifconfig -a
eth0      Link encap:Ethernet  HWaddr 00:50:FC:61:2F:C0
          UP BROADCAST RUNNING MULTICAST  MTU:1492  Metric:1
          RX packets:15043 errors:0 dropped:0 overruns:0 frame:0
          TX packets:14217 errors:0 dropped:0 overruns:0 carrier:0
          collisions:54 txqueuelen:1000
          RX bytes:11498695 (10.9 MiB)  TX bytes:1738290 (1.6 MiB)
          Interrupt:11 Base address:0x3000

eth1      Link encap:Ethernet  HWaddr 00:30:84:0D:1D:A2
          inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:666 errors:0 dropped:0 overruns:0 frame:0
          TX packets:510 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:61271 (59.8 KiB)  TX bytes:95057 (92.8 KiB)
          Interrupt:5 Base address:0x5000

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:212 errors:0 dropped:0 overruns:0 frame:0
          TX packets:212 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:14872 (14.5 KiB)  TX bytes:14872 (14.5 KiB)

ppp0      Link encap:Point-to-Point Protocol
          inet addr:217.230.85.61  P-t-P:217.5.98.83  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1
          RX packets:13050 errors:0 dropped:0 overruns:0 frame:0
          TX packets:12511 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:9741528 (9.2 MiB)  TX bytes:1312008 (1.2 MiB)

Code: 
root@router:/# iptables -L -v
Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
  130  8996 ACCEPT     all  --  lo     any     anywhere             anywhere
   27  7536 ACCEPT     all  --  eth1   any     192.168.1.0/24       anywhere
    0     0 drop-and-log-it  all  --  ppp0   any     192.168.1.0/24       anywhere
12215 9568K ACCEPT     all  --  ppp0   any     anywhere             pD9E6553D.dip.t-dialin.net state RELATED,ESTABLISHED
    0     0 ACCEPT     tcp  --  eth1   any     anywhere             anywhere            tcp spt:bootpc dpt:bootps
    0     0 ACCEPT     udp  --  eth1   any     anywhere             anywhere            udp spt:bootpc dpt:bootps
  205 14508 drop-and-log-it  all  --  any    any     anywhere             anywhere

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
  405 73811 ACCEPT     all  --  ppp0   eth1    anywhere             anywhere            state RELATED,ESTABLISHED
  364 23632 ACCEPT     all  --  eth1   ppp0    anywhere             anywhere
    0     0 drop-and-log-it  all  --  any    any     anywhere             anywhere
    0     0 TCPMSS     tcp  --  any    any     anywhere             anywhere            tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU

Chain OUTPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
  130  8996 ACCEPT     all  --  any    lo      anywhere             anywhere
    0     0 ACCEPT     all  --  any    eth1    pD9E6553D.dip.t-dialin.net  192.168.1.0/24
   18  5904 ACCEPT     all  --  any    eth1    192.168.1.0/24       192.168.1.0/24
    0     0 drop-and-log-it  all  --  any    ppp0    anywhere             192.168.1.0/24
11909 1268K ACCEPT     all  --  any    ppp0    pD9E6553D.dip.t-dialin.net  anywhere
    0     0 ACCEPT     tcp  --  any    eth1    192.168.1.0/24       255.255.255.255     tcp spt:bootps dpt:bootpc
    0     0 ACCEPT     udp  --  any    eth1    192.168.1.0/24       255.255.255.255     udp spt:bootps dpt:bootpc
    0     0 drop-and-log-it  all  --  any    any     anywhere             anywhere

Chain drop-and-log-it (5 references)
 pkts bytes target     prot opt in     out     source               destination
  205 14508 LOG        all  --  any    any     anywhere             anywhere            LOG level info
  205 14508 REJECT     all  --  any    any     anywhere             anywhere            reject-with icmp-port-unreachable
 
Hab das Problem behoben:

Die Debian 3.0 NetistallCD (woody-i368.iso ca. 180MB) installiert,
auf sarge geUpdatet, und hab seither KEINE probleme.
Auch das python2.3 package wird richtig installiert, was zuvor
immer compiöier-fehler bei der installation brachte.

Auch ein Bekannter von mir, der als NetAdmin taetig ist hatte
dieses problem nd konnte es auch nur durch eine NeuInstallation beheben.

Natuerlich wuerde mich Intressieren woran es lag, nachdem was ich alles ausprobiert hatte ......

cYa
 
Hey Leute...

Bin ein absoluter Neuling und bei meinem Router hab ich das selbe Problem mit den Internetseiten!
Hab nen Netgear RP614 Web- Safe-Router und überhaupt keine Ahnung was ich machen soll...

Die obenstehenden Möglichkeiten Versteh ich leider net und somit bitte ich um eine Erklärung dieser oder um neue Möglichkeiten die ich Verstehe...

MfG
Ribo

PS: Bin totaler Neuling... Aber schliesslich hat jeder mal klein Angefangen!
 
Zuletzt bearbeitet:
Um antworten zu können musst du eingeloggt sein.

Neue Beiträge

Zurück