|
routing-probleme
woran kann folgendes phaenomen liegen, wenn beide adressen von anderen internetanschluessen aus problemlos funktionieren, nicht aber von unserer xdsl-standleitung aus ueber den suse-router:
Code:
C:\Dokumente und Einstellungen\jonix>tracert www.webquake.com |
ok, erst mal schande ueber mich - der server ist am netz, aber laesst sich nicht pingen.
wenn ich mit "telnet ... 110" hinverbind kann ich mich auch anmelden und nachrichten-koepfe anschaun, aber: wenn ich mir mehr als 10 zeilen der nachricht anzeigen lass dann bricht die verbindung ab. ebenso kann ich das webinterface nicht anzeigen, und auch outlook etc. kriegen ein timeout. hat jemand einen tip? |
warum steht das im linux forum ???
zum them traceroute, vermute ich das der sever ab dem keine icmp replys mehr kommen diese blockt, vermutlich um die interne netzstruktur nicht preiszugeben.
zum thema outlook, schmeisz den muell weg, und verwende ein sinnvolles programm. |
jaja, hab eh geschrieben dass ich ein pfeiffendeckel bin, mea maxima culpa...
linux-forum deswegen, weil zu beginn ich meine router-firewall-dns-kiste im verdacht gehabt hab. mittlerweile hat sich das problem fast geloest, es geht wieder alles bis auf die anzeige des web-interfaces im explorer - der sagt zwar brav "seite http://mailhost.webquake.com/ wird geoeffnet" aber das wars dann auch schon. also, sorry fuer die ente und dank ps: outlook hat nix dafuer koennen, net amal im telnet hab ich mit TOP oder RETR die fehlerhafte nachricht abrufen koennen |
also von hier aus geht die seite (bin auf uni und verwende opera unter
linux) also entwerder spinnt der IE (mal anderes progi versuchen) oder deine firewall blockt irgendwas, oder windows blockt irgendwas. versuch mal auf deinem router die seite zu offnen, wenns nicht geht ist moeglicherweise deine firewall schuld. ad ps.: outlook ist immer schuld :) |
so, neue lage: ich kann im prinzip alle verschluesselten seiten anschaun, die mir einfallen (auch https://www.postbank.de/ - die referenz-test-seite von bks), ohne probleme - nur die bks-banking.at geht net... ich wuesst net was die firewall da dran drehen koennt - ausserdem hab ich kein routing wenn ich die firewall abdreh, somit eine schlechte test-konfiguration.
habs also aus dem firmennetzwerk (xdsl unlimited) auch mit mozilla, netscape und opera versucht (hab leider keine grafische oberflaeche unter linux zur verfuegung) und da gehts ebenso wenig. von mir zuhause (xdsl@home) allerdings gehts natuerlich (somit scheidet die inode als schuldiger aus :-). ich werd morgen ein bisschen umstecken und versuchen, mit einer offiziellen ip (nicht ueber den linux-router) die seite zu oeffnen. ich versteh allerdings net, was die firewall da dran drehen sollte, es scheint auch in den logs nix auf... |
so, jetzt bin ich komplett ratlos: wie gesagt gibt es einige seiten, die in unserem internen netz einfach nicht angezeigt werden wollen (zb http://mailhost.webquake.com/ oder https://www.bks-banking.at/cgi/anfang.cgi/BKS). hab bereits die firewall ueberprueft und und und...
neuester stand: von der linux-firewall aus sowie vom _dahinter liegenden_ web-server komm ich ueber lynx auf beide oben genannten seiten. von den windows-clients (habs wie gesagt mit opera, mozilla, netscape und ie versucht) sowie unserem linux-fileserver (mit lynx) aus gehts net(!?). somit ist fuer mich klar, dass es an der konfiguration der firewall scheitert. kanns sein dass da ein verbindungsaufbau von aussen oder so stattfindet - das wuerd erklaeren, warums am webserver, zu dem ja alle gueltigen anfragen von aussen (ftp, http, pop3, imap, ssh) geleitet werden, funktioniert. hat jemand noch einen tip fuer mich? |
update: die sache wird immer verzwickter - hab gedacht ich haette den schuldigen gefunden (ssl-verschluesselte pakete, mit welchen die firewall nichts anfangen kann?), allerdings stellte ich dann folgendes fest:
https://www.postbank.de/ kann ich super anschaun, is zwar nur eine leere seite, aber geht (mit verschluesselung und pipapo). ist uebrigens die von bks genannte test-seite. https://www.bks-banking.at/cgi/anfang.cgi/BKS geht nach wie vor nicht. ich bin einfach ratlos... gibts eine moeglichkeit, saemtlichen netzwerktraffic mitloggen oder noch besser direkt auf die konsole ausgeben zu lassen? dank fuer die hilfe... |
Zitat:
Kann leider nur zu dieser Frage etwas beitragen: Installiere das Programm "tethereal" und benutze es mit den Switchen -x und -i DEINEVERBINDUNG (also eth0 oder ppp0) Leite das ganze in eine Datei um und du kannst super alles mitlesen (bei viel Traffic vielleicht nicht unbedingt mit tail -f) :) Ciao, Steve |
dank steve fuer den tip. ich kann jetzt zwar einsicht nehmen in die welt der pakete, ich versteh des problem jetzt glaub ich. ich post hier mal ein excerpt des logs:
Code:
cerberos.domain.tld -> p700.inode.at DNS Standard query A www.bks-banking.atps: noch mal dank an lotussteve - jetzt wo ich die problematik zu erkennen glaube wirds langsam logisch, mailhost.webquake.com hat auch icmp deaktiviert :-) |
leider hab ich noch immer keine loesung zu diesem problem (firewall gegen icmp?) gefunden - auch der google schweigt sich mir gegenueber aus, netfilter.org kann mir auch net weiterhelfen :heul:
hat denn niemand eine idee, was ich noch probieren koennt? hier noch zur info die ausgabe von ip_conntrack: Code:
cerberos:/proc/net # cat ip_conntrack | grep 195.3.82.26Code:
51.679923 cerberos.domain.tld -> ibucp-vip-m.blue.aol.com TCP 3522 > aol [SYN] Seq=2473699095 Ack=0 Win=64240 Len=0 |
so, letztes update: hab jetzt das wcmfirewall-skript in verwendung, 1:1 uebernommen mit port-forwarding der ports 25 und 80. trotzdem geht nix... mittlerweile bin ich wirklich am verzweifeln - woran kann denn das bitte noch liegen!?
die firewall haengt an einem zyxel prestige 782 (der schleift einfach alles durch), diese an einer xdsl unlimited standleitung. ausserdem laeuft am server der named (bind_9.1.3), und iptables_1.2.2 |
loesung??
schaut so aus als haette ich den schuldigen gefunden (auch wenns noch nicht verifiziert und repariert ist),
und ich denk mir dass diese infos fuer den einen oder anderen zumindest interessant sein koennten: unter http://www.sauff.com/dsl-faq/mtu-mini-faq.txt finden sich sehr interessante dinge: Zitat:
des zyxel-routers behoben werden kann! ("...Der Router kann MSS-Clamping [1.6] betreiben. Dann sollte es ausreichen, im Router die CLAMP-MSS auf 1452 Byte [1.5] einzustellen...") ps: warum gibts keinen smiley der daumen drueckt? |
ende der unendlichen geschichte
Mit 'ping -f -l <MTU> <Server>' hab ich den Wert, den meine MTU haben
sollte, herausgefunden, mit 'tethereal -V' die Problematik nochmals bestaetigt, aber: Bei beiden Interfaces (extern und intern) meiner Firewall war urspruenglich (lt YAST) fuer die MTU der Wert 'automatisch' eingetragen, lt. 'ifconfig' war somit der Standard- Ethernet-Wert von 1500 gesetzt. Nun hab ich ein bisschen herumgespielt und die Werte veraendert - was keine Besserung brachte - und schlussendlich wieder auf 1500 gesetzt. Und siehe da - es funktioniert!! Vielen Dank auf jeden Fall nochmals fuer die Hilfe, ich weiss zwar net warums auf einmal geht, aber was solls- zumindest hab ich dazugelernt. |
| Alle Zeitangaben in WEZ +2. Es ist jetzt 09:56 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2026, Jelsoft Enterprises Ltd.
© 2009 FSL Verlag