Tabea
Anmeldungsdatum: 31. März 2007
Beiträge: 633
|
Hallo, ich habe mit meinem aktuellen Netzwerk ein kleines Problem. Einfach dargestellt sieht mein Lan so aus: PC1 > Router1 (192.168.2.1 | 192.168.1.10) > Router2 (192.168.1.1 | öffentliche IP) Ich kann mit dem PC1 den Router1 pingen, aber Router2 ist von PC1 aus nicht erreichbar. PC1 kommt aber ins Internet. Router1 kann Router2 pingen. route von Router1 http://pastebin.com/fmHQyMU0 route von PC1 ist 192.168.2.1 Netzwerkmaske von beiden Routern = /24 Woran kann das liegen, dass Router2 vom PC aus nicht erreichbar ist? Danke vorab Grüße
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13938
|
Tabea schrieb: route von PC1 ist 192.168.2.1
Wie sind auf PC1, die Ausgaben von:
route -n
ifconfig -a
sudo iptables -nvx -L POSTROUTING -t nat
?
|
Tabea
(Themenstarter)
Anmeldungsdatum: 31. März 2007
Beiträge: 633
|
route -n
Kernel-IP-Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
0.0.0.0 192.168.2.1 0.0.0.0 UG 0 0 0 eth0
192.168.1.0 0.0.0.0 255.255.255.0 U 1 0 0 eth0
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 ifconfig -a
ifconfig -a
eth0 Link encap:Ethernet Hardware Adresse 48:5b:39:02:a9:7e
inet Adresse:192.168.2.20 Bcast:192.168.2.255 Maske:255.255.255.0
inet6-Adresse: fd41:cf6e:34a2:0:4a5b:39ff:fe02:a97e/64 Gültigkeitsbereich:Global
inet6-Adresse: fd41:cf6e:34a2::a1c/128 Gültigkeitsbereich:Global
inet6-Adresse: fd41:cf6e:34a2:0:1d34:e8dc:16e0:fa92/64 Gültigkeitsbereich:Global
inet6-Adresse: fe80::4a5b:39ff:fe02:a97e/64 Gültigkeitsbereich:Verbindung
UP BROADCAST RUNNING MULTICAST MTU:1500 Metrik:1
RX-Pakete:11188 Fehler:0 Verloren:0 Überläufe:0 Fenster:0
TX-Pakete:8731 Fehler:0 Verloren:0 Überläufe:0 Träger:0
Kollisionen:0 Sendewarteschlangenlänge:1000
RX-Bytes:10347755 (10.3 MB) TX-Bytes:978293 (978.2 KB)
lo Link encap:Lokale Schleife
inet Adresse:127.0.0.1 Maske:255.0.0.0
inet6-Adresse: ::1/128 Gültigkeitsbereich:Maschine
UP LOOPBACK RUNNING MTU:65536 Metrik:1
RX-Pakete:2005 Fehler:0 Verloren:0 Überläufe:0 Fenster:0
TX-Pakete:2005 Fehler:0 Verloren:0 Überläufe:0 Träger:0
Kollisionen:0 Sendewarteschlangenlänge:0
RX-Bytes:179387 (179.3 KB) TX-Bytes:179387 (179.3 KB) sudo iptables -nvx -L POSTROUTING -t nat
leere Antwort
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13938
|
Wie ist auf dem PC1 diese definierte route: Tabea schrieb: 192.168.1.0 0.0.0.0 255.255.255.0 U 1 0 0 eth0
in das Subnetz 192.168.1.0/24, zustande gekommen?
|
Tabea
(Themenstarter)
Anmeldungsdatum: 31. März 2007
Beiträge: 633
|
keine Ahnung, aber kaum ist diese weg, funktioniert alles ☺ danke vielmals
|
Tabea
(Themenstarter)
Anmeldungsdatum: 31. März 2007
Beiträge: 633
|
Irgendwie bildet sich die route von selbst 😀 Vorhin wollt ich wieder auf den Router 192.168.1.1 zugreifen, ging nicht. Wie ich jetzt gesehn habe ist die route wieder da. Gelöscht wurde diese mit sudo route del -net 192.168.1.0 netmask 255.255.255.0 Kann man das nicht dauerhaft wegmachen? Bzw. was bildet diese route neu?
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13938
|
Tabea schrieb: Kann man das nicht dauerhaft wegmachen? Bzw. was bildet diese route neu?
Poste mal vom PC1, die Ausgaben von:
arp -av
ip neigh show
cat /var/log/syslog | grep -iE 'route|192.168.1'
ps aux | grep -v grep | grep -i avahi
sudo netstat -tulpen
sudo tcpdump -c 50 -vvveni any arp and host 192.168.1.1
|
Tabea
(Themenstarter)
Anmeldungsdatum: 31. März 2007
Beiträge: 633
|
Jetzt nach einem Neustart des PCs, also die route 192.168.1.0 ist wieder vorhanden, ist es folgendermaßen: arp -av
? (192.168.2.1) auf c4:04:15:a1:ed:74 [ether] auf eth0
Vigor.router (192.168.1.1) auf <unvollständig> auf eth0
Einträge: 2 Ignoriert: 0 Gefunden: 2 ip neigh show
fe80::c604:15ff:fea1:ed74 dev eth0 lladdr c4:04:15:a1:ed:74 router STALE
192.168.2.1 dev eth0 lladdr c4:04:15:a1:ed:74 REACHABLE
192.168.1.1 dev eth0 FAILED cat /var/log/syslog | grep -iE 'route|192.168.1'
keine Ausgabe ps aux | grep -v grep | grep -i avahi
avahi 722 0.0 0.0 30284 2732 ? S 06:59 0:00 avahi-daemon: running [tabea.local]
avahi 727 0.0 0.0 30160 252 ? S 06:59 0:00 avahi-daemon: chroot helper sudo netstat -tulpen
http://pastebin.com/sxQmnP2h sudo tcpdump -c 50 -vvveni any arp and host 192.168.1.1 (ab dem Zeitpunkt wo ich 192.168.1.1 aufrufe, sonst leere Ausgabe)
tcpdump: listening on any, link-type LINUX_SLL (Linux cooked), capture size 262144 bytes
07:19:31.213319 Out 48:5b:39:02:a9:7e ethertype ARP (0x0806), length 44: Ethernet (len 6), IPv4 (len 4), Request who-has 192.168.1.1 tell 192.168.1.8, length 28
07:19:32.212897 Out 48:5b:39:02:a9:7e ethertype ARP (0x0806), length 44: Ethernet (len 6), IPv4 (len 4), Request who-has 192.168.1.1 tell 192.168.1.8, length 28
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13938
|
Tabea schrieb: ifconfig -a
eth0 Link encap:Ethernet Hardware Adresse 48:5b:39:02:a9:7e
inet Adresse:192.168.2.20 Bcast:192.168.2.255 Maske:255.255.255.0
...
Tabea schrieb: sudo tcpdump -c 50 -vvveni any arp and host 192.168.1.1 (ab dem Zeitpunkt wo ich 192.168.1.1 aufrufe, sonst leere Ausgabe)
tcpdump: listening on any, link-type LINUX_SLL (Linux cooked), capture size 262144 bytes
07:19:31.213319 Out 48:5b:39:02:a9:7e ethertype ARP (0x0806), length 44: Ethernet (len 6), IPv4 (len 4), Request who-has 192.168.1.1 tell 192.168.1.8, length 28
07:19:32.212897 Out 48:5b:39:02:a9:7e ethertype ARP (0x0806), length 44: Ethernet (len 6), IPv4 (len 4), Request who-has 192.168.1.1 tell 192.168.1.8, length 28
Wie kommt die IP-Adresse 192.168.1.8, für die MAC-Adresse 48:5b:39:02:a9:7e zustande? Hast Du evtl. 2 DHCP-Server gleichzeitig, in deiner Konstellation (LAN) aktiv? EDIT: Nach den durch tcpdump angezeigten arp-requests von der IP-Adresse 192.168.1.8, poste mal von diesem PC auch die Ausgaben von:
ip a
ifconfig -a
cat /var/log/syslog | grep -i dhc
|
Tabea
(Themenstarter)
Anmeldungsdatum: 31. März 2007
Beiträge: 633
|
Hm, das mit der 192.168.1.8 versteh ich im Moment nicht. Es hängt im Moment kein weiteres Gerät am Router 1 nur Router 2. Router 1 und Router 2 können diese IP nicht erreichen. Nur PC kann diese IP pingen, sogar ein Portscan der sagt das 8200 offen ist, ist erfolgreich. Sehr mysteriös. DHCP ist auf beiden Routern an. Jeweils für einen kleinen IP Bereich in ihrem eigenen Netz. Die DHCP Tabellen mit den Clients sehen alle OK aus.
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13938
|
Tabea schrieb: Hm, das mit der 192.168.1.8 versteh ich im Moment nicht.
OK, aber wie ist auf dem PC auf dem Du tcpdump gemacht hast, die Ausgabe von: ip a
, wenn tcpdump diese arp-requests von der IP-Adresse 192.168.1.8 (Out von der MAC-Adresse 48:5b:39:02:a9:7e) anzeigt? EDIT: Ich denke es wird so sein, dass hier die Wirkung der 2 aktiven DHCP-Server, nicht nur auf ihr "eigenes Netz" begrenzt ist bzw. nicht sicher gestellt ist. Das könnte man auch mit tcpdump (oder gleichwertig) feststellen.
|
Tabea
(Themenstarter)
Anmeldungsdatum: 31. März 2007
Beiträge: 633
|
ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
link/ether 48:5b:39:02:a9:7e brd ff:ff:ff:ff:ff:ff
inet 192.168.2.20/24 brd 192.168.2.255 scope global eth0
valid_lft forever preferred_lft forever
inet 192.168.1.8/24 brd 192.168.1.255 scope global eth0
valid_lft forever preferred_lft forever
inet6 fd41:cf6e:34a2:0:c923:7964:d1b9:f11c/64 scope global temporary dynamic
valid_lft 7051sec preferred_lft 1651sec
inet6 fd41:cf6e:34a2:0:4a5b:39ff:fe02:a97e/64 scope global mngtmpaddr dynamic
valid_lft 7051sec preferred_lft 1651sec
inet6 fe80::4a5b:39ff:fe02:a97e/64 scope link
valid_lft forever preferred_lft forever
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13938
|
Tabea schrieb: ip a
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
link/ether 48:5b:39:02:a9:7e brd ff:ff:ff:ff:ff:ff
inet 192.168.2.20/24 brd 192.168.2.255 scope global eth0
valid_lft forever preferred_lft forever
inet 192.168.1.8/24 brd 192.168.1.255 scope global eth0
valid_lft forever preferred_lft forever
Hier sieht man, dass das eth0-Interface, auch eine 2. IPv4-Adresse 192.168.1.8 vom DHCP-Server aus dem Subnetz 192.168.1.0/24 bekommt und deshalb kommt auch diese ungewollte route zustande kommt.
|
Tabea
(Themenstarter)
Anmeldungsdatum: 31. März 2007
Beiträge: 633
|
Ok, gut zu wissen. Wie kann ich das nun lösen. Muss ich zwangsweise den DHCP von Router1 deaktivieren (sehr ungern, da ich mir die Arbeit an den anderen Clients sparen möchte) ? Oder kann ich das am Client lösen?
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13938
|
Tabea schrieb: Wie kann ich das nun lösen. Muss ich zwangsweise den DHCP von Router1 deaktivieren (sehr ungern, da ich mir die Arbeit an den anderen Clients sparen möchte) ? Oder kann ich das am Client lösen?
Versuch mal Folgendes als Test und workaround (d. h. es wird keine saubere Netzwerkkonfiguration sein) auf dem Client aus dem 192.168.2.0/24er-Subnetz:
sudo route add -net 192.168.1.0 netmask 255.255.255.0 reject
#
sudo apt-get install arptables ebtables
#
sudo ebtables -I INPUT 1 -p arp --among-src ! c4:04:15:a1:ed:74=192.168.2.1 -j DROP
#
sudo arptables -I INPUT 1 --proto-type 0x800 --h-type 1 --opcode 2 -i eth0 --source-mac ! c4:04:15:a1:ed:74 -s ! 192.168.2.1 -j DROP
sudo arptables -I OUTPUT 1 --proto-type 0x800 --h-type 1 --opcode 1 -o eth0 --destination-mac ! c4:04:15:a1:ed:74 -d ! 192.168.2.1 -j DROP
#
sudo iptables -I INPUT 1 -i eth0 -p udp -s 192.168.1.0/24 --dport 68 -j REJECT
sudo iptables -I OUTPUT 1 -o eth0 -p udp -d 192.168.1.0/24 --dport 67 -j REJECT
Nach einer bestimmten Zeit und nach dem erfolgten Zugriff auf den Router 192.168.1.1, die counter der arp-/eb- und iptables-Regeln anschauen bzw. die Ausgabe von "route -n" anschauen, um festzustellen welche Regeln wirksam und nützlich (... evtl. auch schädlich sind). BTW: Brauchst Du avahi und IPv6? Wenn nein, dann mal (temporär) deaktivieren. EDIT: Versuch auch mit:
sudo ip6tables -I INPUT 1 -i eth0 -j REJECT
sudo ip6tables -I OUTPUT 1 -o eth0 -j REJECT
|