Re: Sarge-Netzwerk-Problem

[Gerhard Brauer <gerhard.brauer@web.de>]

Gruesse!
Dimitrij Denissenko schrieb:

Ich versuche mich mal an einigen Hinweisen. Obwohl die Infos spärlich 
und ungenau sind.

> [...]
>
> Ein Problem ist, daß ich vom Server normal ins Internet komme vom 
> XP-Client aber nicht (KEIN Ping nach draußen - NS des Providers nicht 
> erreichbar). Das andere (ich weiss nicht ob die beiden zusammenhängen) 
> ist daß ich den Server (192.168.0.1) NUR anpingen kann. Verbindung per 
> SSH, per HTTP (Apache) aber scheitern (sshd/apache laufen und ist vom 
> Server aus erreichbar).

Sicher hängen beide Wirkungen zusammen. Wie will dein XP-Client das 
Gateway nutzen, wenn nicht mal normale LAN-Dienste funktionieren, also 
das Netzwerk.. Wenn ich dich richtig verstanden habe, das der Client 
ausser einem Ping an die IP des Servers nichts machen kann, dann vergiß 
erstmal alles was mit Internet und  IP-Forwarding bzw. NAT zu tun hat. 
Du hast ein anderes Problem.

> Laufende Server-Dienste: DHCP, DHCP-DNS, BIND9, SSHD, SHOREWALL, APACHE.
>
> Das alles klingt zwar nach einem Firewall-Problem, aber Shorewall ist 
> 100%ig richtig konfiguriert (damit kenn ich mich recht gut aus). 

Gut glaube ich mal. Wenn dem so ist, ist die Firewall nicht das Problem. 
Also schalte am Server momentan alles was mit Shorewall-FW oder iptables 
zu tun hat ab, mache einen sauberen Reboot damit keine Regel mehr aktiv ist.

> Es gibt auch keine Infos in den Logs, d.h. "ssh -l user 192.168.0.1" 
> scheitert aber ich finde nirgendwo heraus warum. Selbiges gilt auch 
> für auch für "ping 216.239.57.104" (=google.de) (kein DROP oder 
> REJECT), ich komm' einfach nicht raus.

Bezieht sich das (ssh -l user ...) auf den XP-Client? Seit wann kann XP ssh?
Das meinte oben mit ungenau.
Erkläre bitte:

- Am Server (192.168.0.1) selbst gibt es _keine_ Probleme, lokale 
Dienste zu erreichen?
Also telnet localhost 80 und telnet 192.168.0.1 80 am _Server_ 
ausgeführt  zeigen die den Prompt des Apachen, ein GET im telnet ergibt 
eine Fehlermeldung des Apachen. Richtig?

- Also nur der Client hat ein Problem. Dieser kann außer einem Ping an 
die IP-Adresse des Servers nichts tun.
Also am XP-Client ergibt ein telnet 192.168.0.1 80 und das GET im Telnet 
keine Verbindung bzw. welche Fehlermeldung?

Wenn es nur der Client ist:
   -Welche IP hat der Client?
   - Woher bekommt er die? Statisch oder über deinen DHCP-Server?
   - Stimmen Subnet (192.168.0) und Netmask (255.255.255.0) überein?
   - Ist am Client dein Server als Gateway eingetragen?
   - Ist am Client dein Server als Nameserver eingetragen? Wenn ja:
   - Funktionieren am Client wie auch am Server die lokalen 
Namensauflösungen? Also ping dein_lokaler_hostname
   - Wie sind die Rechner vernetzt? Cross-Over, Hub, Switch? 10mbit 
oder 100mbit.
   - Verwenden beide Rechner-Netzkarten evtl. unterschiedliches Dublexe 
(Full/Half) oder eine unterschiedliche MTU?
   - Was passiert wenn du _vom_ Server ein telnet ip_deines_clients 139 
machst?
   - Stimmen die Kabelverbindungen, also geht der Client auch in die 
Karte eth0 am Sever rein?
   - Bei Transfer (pings in beide Richtungen Client/Server), werden 
über die richtige NIC des Servers  Pakete hochgezählt, also             
RX/TX wenn du ifconfig eth0 machst. Oder schlagen die vielleicht an eth1 
ein?
   - Während eines Ping-Transfers: siehst du mit arp -a sowohl am 
Client wie auch am Server jeweils beide NICs mit den MAC-Adressen?

Schneide doch mal am Server mit tcpdump den Netzwerkverkehr auf eth0 mit 
und versuche währenddessen vom Client aus z.B. nochmal obige 
Telnet-Connections oder sonstige Dienste (Browser an Webserver-IP) zu 
starten.

> Die Konfiguration (die ich überprüft habe):
>
> # cat /proc/sys/net/ipv4/ip_forward
> 1
>
> #cat /etc/network/options
> ip_forward=yes
> spoofprotect=yes
> syncookies=no
>
> hosts.allow, hosts.deny sind leer
>
> Ich hab' auch schon Schorewall komplett abgedreht und auch iptables 
> direkt konfiguriert...gleiches Problem, und vor allem KEINE LOGS!!!


Wie gesagt, stoppe alles was den lokalen Netzverkehr irgendwie behindern 
könnte. Wenn es denn lokal läuft und die Firewall wieder zuschaltest, 
und es klappt dann nicht mehr...

> Ich weiß wirklich nicht weiter, und bin für jeden Ratschlag dankbar. 
> Was könnte ich noch probieren/überprüfen/versuchen? Was kann ich denn 
> vergessen haben?

Vielleicht helfen dir meine Fragen ja auf den richtigen Gedanken.

> Danke
> Dim
Gruß
      Gerhard (der nach dieser Mail Firefox und Win-Clients noch mehr 
haßt ;-)