# Seltsames Problem hinter meinem gentoo router...

## jack32

Hi,

hoffe ihr habt ein paar Tipps für mich.  :Smile: 

Ich habe hier auf meinem server nen router laufen.

Soll heißen mein gentoo Server übernimmt freundlicherweise di funktion eines routers.

Bin auch sehr zufrieden damit.

Das Problem ist folgendes:

Es gibt ein paar Seiten auf die ich aus meinem LAN nicht zugreifen kann.

zb.: wetter.com, apotal.de oder www.stwdo.de

mehr fallen mir gerade nicht ein.

Ein paar Fakten/Daten:

- Die Seiten sind nicht down sondern funktionieren super.

- Mit meinem Server komme ich auf diese Seiten.

- Die genannten Server antworten generell nicht aufs anpingen (egal von wo).

- An irgendwelchen DNS Problemen liegt es auch nicht, die DNSs werden 

  richtig aufgelöst bzw. wenn ich die richtige ip statt die DNS eingebe habe ich das selbe Problem. 

- Wenn ich die Seiten aufrufe bekomme ich einfach keine Antwort. (Einfach garnix (Wireshark))

Zum erfolgreichen routen müsste doch eigendlich

```
Chain POSTROUTING (policy ACCEPT 204K packets, 14M bytes)

 pkts bytes target     prot opt in     out     source               destination

44473 2734K MASQUERADE  all  --  any    ppp0    anywhere             anywhere
```

reichen? oder?

Meine Netzwerkconfig ist die folgende:

- eth0 hängt am NTBBA (DSL Modem  :Smile: )

- br0 hängt am LAN 

- br0 ist die bridge die auf eth1 läuft (Für Netzwerk in der VM die auf dem Server auch noch läuft)

- ppp0 wählt sich ein

Hier dann noch die gesamte iptables config:

(ich weiß dass man da viel verbessern kann, aber sollange das prob nicht beseitigt ist....)

```

kassette ~ # iptables -t nat -vL

Chain PREROUTING (policy ACCEPT 4855K packets, 579M bytes)

 pkts bytes target     prot opt in     out     source               destination

32815 1610K DNAT       tcp  --  ppp0   any     anywhere             anywhere            tcp dpt:7011 to:192.168.0.138

    2   120 DNAT       tcp  --  ppp0   any     anywhere             anywhere            tcp dpt:ircd to:192.168.0.138

    1    60 DNAT       tcp  --  ppp0   any     anywhere             anywhere            tcp dpt:http to:192.168.0.138

 5881  292K DNAT       tcp  --  ppp0   any     anywhere             anywhere            tcp dpt:20122 to:192.168.0.2

 9154  561K DNAT       udp  --  ppp0   any     anywhere             anywhere            udp dpt:19209 to:192.168.0.2

Chain POSTROUTING (policy ACCEPT 208K packets, 15M bytes)

 pkts bytes target     prot opt in     out     source               destination

51014 3141K MASQUERADE  all  --  any    ppp0    anywhere             anywhere

Chain OUTPUT (policy ACCEPT 916K packets, 58M bytes)

 pkts bytes target     prot opt in     out     source               destination

kassette ~ # iptables -vL

Chain INPUT (policy DROP 9713 packets, 948K bytes)

 pkts bytes target     prot opt in     out     source               destination

22709 1964K ACCEPT     all  --  lo     any     anywhere             anywhere

4630K  321M ACCEPT     tcp  --  any    any     192.168.0.0/16       anywhere            tcp dpt:netbios-ssn

  46M   38G ACCEPT     tcp  --  any    any     192.168.0.0/16       anywhere            tcp dpt:microsoft-ds

30273 2321K ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:22322

  23M 7683M ACCEPT     all  --  ppp0   any     anywhere             anywhere            state RELATED,ESTABLISHED

 4824 2495K ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:http

 123K 5983K ACCEPT     tcp  --  ppp0   any     anywhere             anywhere            tcp dpt:6984

31872 1421K ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:5900

 2317  230K ACCEPT     tcp  --  br0    any     anywhere             anywhere            tcp dpt:4080

Chain FORWARD (policy ACCEPT 4788K packets, 2887M bytes)

 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 154M packets, 103G bytes)

 pkts bytes target     prot opt in     out     source               destination

```

und die ausgabe von ifconfig

```

kassette ~ # ifconfig

br0       Link encap:Ethernet  HWaddr 00:01:02:9D:4C:C5

          inet addr:192.168.0.1  Bcast:192.168.0.255  Mask:255.255.255.0

          inet6 addr: fe80::201:2ff:fe9d:4cc5/64 Scope:Link

          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

          RX packets:3149958 errors:0 dropped:0 overruns:0 frame:0

          TX packets:4735837 errors:0 dropped:0 overruns:0 carrier:0

          collisions:0 txqueuelen:0

          RX bytes:452097726 (431.1 Mb)  TX bytes:913256433 (870.9 Mb)

eth0      Link encap:Ethernet  HWaddr 00:40:63:E7:2D:10

          inet addr:169.254.202.7  Bcast:169.254.255.255  Mask:255.255.0.0

          inet6 addr: fe80::240:63ff:fee7:2d10/64 Scope:Link

          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

          RX packets:2824710 errors:0 dropped:0 overruns:0 frame:0

          TX packets:2049341 errors:0 dropped:0 overruns:0 carrier:0

          collisions:0 txqueuelen:1000

          RX bytes:2591421658 (2471.3 Mb)  TX bytes:438630867 (418.3 Mb)

          Interrupt:10 Base address:0xcc00

eth1      Link encap:Ethernet  HWaddr 00:01:02:9D:4C:C5

          inet6 addr: fe80::201:2ff:fe9d:4cc5/64 Scope:Link

          UP BROADCAST RUNNING PROMISC MULTICAST  MTU:1500  Metric:1

          RX packets:2869915 errors:0 dropped:0 overruns:1 frame:0

          TX packets:4294056 errors:0 dropped:0 overruns:0 carrier:0

          collisions:0 txqueuelen:1000

          RX bytes:484903940 (462.4 Mb)  TX bytes:882322763 (841.4 Mb)

          Interrupt:11 Base address:0xa000

lo        Link encap:Local Loopback

          inet addr:127.0.0.1  Mask:255.0.0.0

          inet6 addr: ::1/128 Scope:Host

          UP LOOPBACK RUNNING  MTU:16436  Metric:1

          RX packets:11 errors:0 dropped:0 overruns:0 frame:0

          TX packets:11 errors:0 dropped:0 overruns:0 carrier:0

          collisions:0 txqueuelen:0

          RX bytes:792 (792.0 b)  TX bytes:792 (792.0 b)

ppp0      Link encap:Point-to-Point Protocol

          inet addr:78.53.191.107  P-t-P:213.191.89.28  Mask:255.255.255.255

          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1

          RX packets:2238510 errors:0 dropped:0 overruns:0 frame:0

          TX packets:1625121 errors:0 dropped:0 overruns:0 carrier:0

          collisions:0 txqueuelen:3

          RX bytes:2306185067 (2199.3 Mb)  TX bytes:347586517 (331.4 Mb)

tap0      Link encap:Ethernet  HWaddr 00:FF:A3:AE:C4:B8

          inet6 addr: fe80::2ff:a3ff:feae:c4b8/64 Scope:Link

          UP BROADCAST RUNNING PROMISC MULTICAST  MTU:1500  Metric:1

          RX packets:281069 errors:0 dropped:0 overruns:0 frame:0

          TX packets:447352 errors:0 dropped:94 overruns:0 carrier:0

          collisions:0 txqueuelen:500

          RX bytes:23352283 (22.2 Mb)  TX bytes:33211400 (31.6 Mb)

```

alles weitere bekommt ihr auf anfrage....  :Smile: 

irgendwelche lösungsvorschläge?

mfg jack32

----------

## Polynomial-C

Hi,

kannst du auf diese Seiten zugreifen, wenn du folgenden Befehl zu deinen iptables-Regeln hinzufügst? 

```
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
```

Grüße

Poly-C

----------

## jack32

hi. 

nachdem ich das TCPMSS target im kernel eingebunden habe, konnte ich die Regel hinzufügen.

nur leider ändert das an der ganzen Sache nix.

 :Sad: 

mfg

----------

## dertobi123

 *jack32 wrote:*   

> irgendwelche lösungsvorschläge?

 

Mach mal nen traceroute oder mtr auf die nicht zu erreichenden Server um zu schauen, wo genau (also schon am ppp0 oder später) es ins Nirwana läuft.

----------

## jack32

vom lan aus? hab ich auch schon gemacht:

kommt sowas:

```
C:\Dokumente und Einstellungen\Administrator>tracert wetter.com

Routenverfolgung zu wetter.com [85.236.205.40] über maximal 30 Abschnitte:

  1    <1 ms    <1 ms    <1 ms  jackspc [192.168.0.1]

  2    29 ms    15 ms    15 ms  lo1.br01.dtm.de.hansenet.net [213.191.89.28]

  3    17 ms    17 ms    18 ms  ae0-105.crju01.dus.de.hansenet.net [62.109.112.9

3]

  4    22 ms    21 ms    21 ms  so-3-1-0-0.cr01.fra.de.hansenet.net [213.191.87.

158]

  5    21 ms    21 ms    21 ms  gi4-0-0.pr02.decix.de.hansenet.net [62.109.109.1

78]

  6    23 ms    23 ms    23 ms  c12gsr1-4-0.intx.FRA.interscholz.net [80.81.192.

219]

  7    27 ms    28 ms    27 ms  c12gsr-25g1.z10a.stg.interscholz.net [85.236.200

.1]

  8    28 ms    27 ms    27 ms  c12gsr-10g1.hl10.leo.interscholz.net [85.236.200

.33]

  9     *        *        *     Zeitüberschreitung der Anforderung.

 10     *        *        *     Zeitüberschreitung der Anforderung.

 11     *        *        *     Zeitüberschreitung der Anforderung.

 12  c12gsr-10g1.hl10.leo.interscholz.net [85.236.200.33]  meldet: Zielnetz nich

t erreichbar.

Ablaufverfolgung beendet.
```

das sieht eigendlich an allen inet zugängen ähnlich aus, da die server nicht aufs anpingen reagieren  :Sad: 

so sieht das von einem anderen inet anschluss aus aus:

```

C:\Dokumente und Einstellungen\JacK>ping wetter.com

Ping wetter.com [85.236.205.40] mit 32 Bytes Daten:

Zeitüberschreitung der Anforderung.

Ping-Statistik für 85.236.205.40:

    Pakete: Gesendet = 1, Empfangen = 0, Verloren = 1 (100% Verlust),

STRG-C

^C

C:\Dokumente und Einstellungen\JacK>tracert wetter.com

Routenverfolgung zu wetter.com [85.236.205.40]  über maximal 30 Abschnitte:

  1    <1 ms    <1 ms    <1 ms  10.11.13.1

  2    10 ms     5 ms     9 ms  mh-sw1-vl112.HRZ.Uni-Dortmund.DE [129.217.129.19

0]

  3     8 ms    10 ms    10 ms  xr-dui1-ge8-1.x-win.dfn.de [188.1.44.81]

  4    17 ms     9 ms    28 ms  xr-aac1-te1-1.x-win.dfn.de [188.1.145.26]

  5    17 ms    19 ms    13 ms  zr-fra1-te0-6-0-0.x-win.dfn.de [188.1.146.18]

  6    23 ms    16 ms    14 ms  c12gsr1-4-0.intx.FRA.interscholz.net [80.81.192.

219]

  7    22 ms    22 ms    18 ms  c12gsr-25G1.z10a.STG.interscholz.net [85.236.200

.1]

  8    23 ms    20 ms    21 ms  c12gsr-10g1.hl10.leo.interscholz.net [85.236.200

.33]

  9     *        *        *     Zeitüberschreitung der Anforderung.

 10     *     c12gsr-10g1.hl10.leo.interscholz.net [85.236.200.33]  meldet: Ziel

netz nicht erreichbar.

Ablaufverfolgung beendet.

```

mfg

----------

## Max Steel

Im Moment sind hier ähnliche Probleme hinter dem Router, ich denke es liegt am ISP, kann es aber nicht festlegen, manchmal läufts gut und manchmal brauche ich 3 oder mehr Anläufe bevor ich hier von einer Fehlermeldung ala "Zeitüberschreitung" wegkomme.

Ich mach auch mal ein traceroute (bin gerade unter Windoof, deshalb tracert)

```
tracert http://www.space-intrusion.de

Routenverfolgung zu http://www.space-intrusion.de [85.214.87.103]  über maximal

30 Abschnitte:

  1    <1 ms    <1 ms    <1 ms  server.tangomaris.home [192.168.1.10]

  2    43 ms    43 ms    43 ms  [geheim] [[geheim]]

  3    44 ms    43 ms    46 ms  [geheim] [[geheim]]

  4    50 ms    49 ms     *     Telefonica.KOE-1-eth0-106.de.lambdanet.net [217.71.107.89]

  5    51 ms    50 ms    51 ms  freenet-DUS.de.lambdanet.net [217.71.107.2]

  6    51 ms    51 ms    51 ms  so-0-0-0-0.dus2-j2.mcbone.net [62.104.200.149]

  7    55 ms     *       55 ms  ge-2-0-0-0.hnv2-j2.mcbone.net [62.104.191.194]

  8    61 ms    60 ms    62 ms  strato-crs1.fdknet.de [62.104.199.90]

  9    60 ms    60 ms    60 ms  81.169.160.206

 10    60 ms    61 ms    60 ms  space-intrusion.de [85.214.87.103]

Ablaufverfolgung beendet.

C:\Dokumente und Einstellungen\Norbert>tracert http://www.space-intrusion.de

Routenverfolgung zu http://www.space-intrusion.de [85.214.87.103]  über maximal

30 Abschnitte:

  1    <1 ms    <1 ms    <1 ms  server.tangomaris.home [192.168.1.10]

  2    43 ms    43 ms    43 ms  [geheim] [[geheim]]

  3    44 ms    43 ms    46 ms  [geheim] [[geheim]]

  4    50 ms    49 ms     *     Telefonica.KOE-1-eth0-106.de.lambdanet.net [217.71.107.89]

  5    51 ms    50 ms    51 ms  freenet-DUS.de.lambdanet.net [217.71.107.2]

  6    51 ms    51 ms    51 ms  so-0-0-0-0.dus2-j2.mcbone.net [62.104.200.149]

  7    55 ms     *       55 ms  ge-2-0-0-0.hnv2-j2.mcbone.net [62.104.191.194]

  8    61 ms    60 ms    62 ms  strato-crs1.fdknet.de [62.104.199.90]

  9    60 ms    60 ms    60 ms  81.169.160.206

 10    60 ms    61 ms    60 ms  space-intrusion.de [85.214.87.103]

Ablaufverfolgung beendet.
```

Hier sieht man das irgendwo ein Haken ist, wegen den Sternen, ich vermute mal das dagegen nur abwarten und Tee trinken hilft.

Laut tracert scheint Telefonica Probleme zu machen.

Selbst vom Server aus:

```
#traceroute www.space-intrusion.de

traceroute to www.space-intrusion.de (85.214.87.103), 30 hops max, 60 byte packets

 1  [geheim] ([geheim])  43.722 ms  46.273 ms  52.285 ms

 2  [geheim] ([geheim])  58.602 ms  58.846 ms  58.911 ms

 3  Telefonica.KOE-1-eth0-106.de.lambdanet.net (217.71.107.89)  66.134 ms  69.149 ms  71.968 ms

 4  freenet-DUS.de.lambdanet.net (217.71.107.2)  75.246 ms  78.114 ms  80.847 ms

 5  so-0-0-0-0.dus2-j2.mcbone.net (62.104.200.149)  84.371 ms  87.225 ms  89.444 ms

 6  ge-2-0-0-0.hnv2-j2.mcbone.net (62.104.191.194)  96.260 ms  55.406 ms  57.500 ms

 7  strato-crs1.fdknet.de (62.104.199.90)  60.903 ms  60.349 ms  63.737 ms

 8  81.169.160.206 (81.169.160.206)  65.150 ms  60.280 ms  62.363 ms

 9  space-intrusion.de (85.214.87.103)  62.307 ms  60.937 ms  62.266 ms
```

Ab telefonica brichts ein.

selbst gentoo.org scheint davon betroffen zu sein..., abereben nicht immer.

----------

## jack32

hmmm

bei mir liegts nicht am isp.

ich komme ja vom router direkt auf die entsprechenden seiten.

nur vom lan aus nicht.

mfg

----------

## Max Steel

Oh okay, sry, dann hab ich wohl falsch verstanden. Entschuldige.

----------

## jack32

macht nix

kann jede hilfe gebrauchen  :Smile: 

----------

## Melekh

Hallo,

ich hab in meiner Konfiguration eine ähnliche Regel wie in Post #2

```

iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

```

man beachte das -t mangle.

Durch diese Regel wird der MTU-Wert korrekt gesetzt.

Ich hab es hier gerade getestet wenn ich das -t mangle weg lasse komme ich auch nicht auf die Seite http://www.stwdo.de/

wenn es allerdings gesetzt ist funktioniert es problemlos.

Was diese Regel genau macht bzw. warum es mit -t mangle geht und ohne nicht weiß ich leider nicht da ich die Regel auch irgendwo im Internet gefunden habe.

Gruss

Melekh

----------

## jack32

PERFEKT!!!

es funktioniert!! 

VIELEN DANK!!!  :Smile: 

----------

## think4urs11

 *Melekh wrote:*   

> Was diese Regel genau macht bzw. warum es mit -t mangle geht und ohne nicht weiß ich leider nicht da ich die Regel auch irgendwo im Internet gefunden habe.

 

Es paßt die MTU-Size an die maximale Größe an die 'am Stück' d.h. unfragmentiert zwischen Quelle und Ziel übertragen werden kann.

Das Problem ist das durch PPPoE die max. Größe nicht mehr wie im LAN üblich 1500 sondern nur noch 1492Byte beträgt. (Genaugenommen kann es auf der gesamten Strecke vorkommen aber heutzutage ist eigentlich nur noch am Heimanschluß eine MTU <1500 gebräuchlich, eben wg. des zusätzlichen PPPoE-Headers)

Normalerweise sollte es auch ohne diesen Hack funktionieren aber viele Firewalladmins sind immer noch der Meinung das ICMP generell böse ist. Würden sie es richtig machen würde eine ICMP-Meldung 'Destination unreachable: Fragmentation needed, but DF set.' die Systeme automatisch dazu veranlassen. Da viele aber ICMP komplett droppen klappt der Automatismus nicht mehr.

GMX war lange Zeit 'der' Paradekandidat in Deutschland für dieses Verhalten.

und da das ganze schon mehrfach durchgekaut wurde als DUP geschlossen.

Weitere Infos zum Thema z.B.

https Seiten sind nicht erreichbar

Probleme beim surfen: Kann oft keine Webseiten laden (DSL)

Optimale MTU bestimmen

----------

