[Gelöst] freetz 7170 Dnsmasq Probleme

[RalfFriedl]

sobald ich die Iptabeles von Dir einfüge, funktioniert nichts mehr.

Ich habe gerade gesehen, dass dor -I und nicht -A verwendet wurde.

Versuch es mal damit.

modprobe ipt_state
modprobe ipt_MASQUERADE
iptables -A INPUT -m state --state ESTABLISHED,RELATED   -i ppp0 -j ACCEPT
iptables -A INPUT                                        -i ppp0 -j DROP
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -i ppp0 -j ACCEPT
iptables -A FORWARD                                      -i ppp0 -j DROP
iptables -t nat -A POSTROUTING                           -o ppp0 -j MASQUERADE

 

[ottohahn]

Ich habe gerade gesehen, dass dor -I und nicht -A verwendet wurde.

Versuch es mal damit.

modprobe ipt_state
modprobe ipt_MASQUERADE
iptables -A INPUT -m state --state ESTABLISHED,RELATED   -i ppp0 -j ACCEPT
iptables -A INPUT                                        -i ppp0 -j DROP
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -i ppp0 -j ACCEPT
iptables -A FORWARD                                      -i ppp0 -j DROP
iptables -t nat -A POSTROUTING                           -o ppp0 -j MASQUERADE

Hallo RalfFriedl,
hurra!!! Ich kann jetzt zumindestens von der Box den externen DNS-Server anpingen!!!

---
root@fritz:/var/mod/root# ping www.google.de
ping: bad address 'www.google.de'
root@fritz:/var/mod/root# ping 139.7.30.126
PING 139.7.30.126 (139.7.30.126): 56 data bytes
64 bytes from 139.7.30.126: seq=0 ttl=126 time=97.085 ms
64 bytes from 139.7.30.126: seq=1 ttl=126 time=67.833 ms

--- 139.7.30.126 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max = 67.833/82.459/97.085 ms
-----

Jetzt fehlt fehlt nur noch die DNS-Auflösung.

Otto

 

[sf3978]

Jetzt fehlt fehlt nur noch die DNS-Auflösung.

Schau mal mit nslookup, welche(n) DNS-Server die Box für die Namensauflösung benutzen will. Poste mal das formatierte Ergebnis von:

nslookup heise.de

von der Box.

EDIT:

hurra!!! Ich kann jetzt zumindestens ...

Deshalb, immer Vorsicht bei wiki's.:wink:

 

[ottohahn]

Schau mal mit nslookup, welche(n) DNS-Server die Box für die Namensauflösung benutzen will. Poste mal das formatierte Ergebnis von:

nslookup heise.de

von der Box.

Hurra!!
Ich habe jetzt die DNS-Server fest unter "zusätzlich diese Upstream Nameserver nutzen (durch Leerzeichen getrennt): " eingetragen und siehe da jetzt funktioniert auch die Namensauflösung!!!

Es scheint wohl ein Problem in dieser Befehlsfolge unter "Zusätzliche Kommandozeilen-Optionen (für Experten):" zu sein
"-r /var/tmp/avm-resolv.conf -r /etc/ppp/resolv.conf"

Otto

 

[ottohahn]

Hallo sf3978,
wenn ich jetzt von dieser Box eine VPN-Verbindung aufbauen möchte, muß dafür noch eine zusätzliche Regel in den IPtables angelegt werden?

Otto

 

[sf3978]

Es scheint wohl ein Problem in dieser Befehlsfolge unter "Zusätzliche Kommandozeilen-Optionen (für Experten):" zu sein
"-r /var/tmp/avm-resolv.conf -r /etc/ppp/resolv.conf"

Hast Du durch den zusätzlichen Eintrag der DNS-Server, den dnsmasq neu gestartet? Schau dir mal jetzt den Inhalt aller auf deiner Box vorhandenen *resolv*.conf-Dateien an und vergleiche den Inhalt mit dem bisherigen Inhalt dieser Dateien.

Für eine VPN-Verbindung wirst Du evtl. zusätzliche iptables-Regel(n) brauchen. Aber das ist von der Art der VPN-Verbindung abhängig.

 

[ottohahn]

Hast Du durch den zusätzlichen Eintrag der DNS-Server, den dnsmasq neu gestartet? Schau dir mal jetzt den Inhalt aller auf deiner Box vorhandenen *resolv*.conf-Dateien an und vergleiche den Inhalt mit dem bisherigen Inhalt dieser Dateien.

Hier das Ergebnis:

----
root@fritz:/# find / -iname '*resolv*conf'
/etc/resolv.conf
/var/mod/etc/ppp/resolv.conf
/var/tmp/resolv.conf
/var/tmp/avm-resolv.conf
/var/tmp/etc-resolv.conf
root@fritz:/etc# more resolv.conf
nameserver 127.0.0.1
domain fonwlan.box
root@fritz:/# more /var/mod/etc/ppp/resolv.conf
nameserver 139.7.30.126
nameserver 139.7.30.125
root@fritz:/# more /var/tmp/avm-resolv.conf
nameserver 127.0.0.1
root@fritz:/# more /var/tmp/etc-resolv.conf
nameserver 127.0.0.1
domain fonwlan.box

und dann die ominöse Datei die 'Find' nicht findet, -aber da ist!
root@fritz:/# more /etc/resolv.conf
nameserver 127.0.0.1
domain fonwlan.box
root@fritz:/#

Für eine VPN-Verbindung wirst Du evtl. zusätzliche iptables-Regel(n) brauchen. Aber das ist von der Art der VPN-Verbindung abhängig.

Kannst Du mir helfen?? Ich möchte Standard AVM-VPN nutzen!

Otto

 

[sf3978]

Die ominöse "/etc/ppp/resolv.conf" gibt es schon wieder nicht, auf deiner Box. ;-) Es ist nicht die "/etc/resolv.conf" gemeint. Du hast aus dem wiki die "/etc/ppp/resolv.conf" übernommen und in dein dnsmasq (-r) eingetragen.

... Standard AVM-VPN nutzen!

Leider nicht. Mit AVM-VPN kenne ich mich nicht aus.

EDIT:
BTW: wenn

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

die einzige Regel in der nat-Tabelle der POSTROUTING chain ist, dann gibt es keinen Unterschied zwischen:

iptables -t nat [COLOR=red][B]-A[/B][/COLOR] POSTROUTING -o ppp0 -j MASQUERADE

und

iptables -t nat [COLOR=red][B]-I[/B][/COLOR] POSTROUTING -o ppp0 -j MASQUERADE

 

[ottohahn]

Verstehe ich nicht die DAtei ist doch da! '/etc/resolv.conf'
Mavhe ich etwas falsch???

Otto

 

[sf3978]

Verstehe ich nicht die DAtei ist doch da! '/etc/resolv.conf'

Nochmal, ganz langsam, es geht nicht um die Datei "/etc/resolv.conf", es geht um die Datei "/etc/ppp/resolv.conf". Siehe deine Beiträge und deine Eintragungen in den dnsmasq.

 

[ottohahn]

Die ominöse "/etc/ppp/resolv.conf" gibt es schon wieder nicht, auf deiner Box. ;-) Es ist nicht die "/etc/resolv.conf" gemeint. Du hast aus dem wiki die "/etc/ppp/resolv.conf" übernommen und in dein dnsmasq (-r) eingetragen.

Leider nicht. Mit AVM-VPN kenne ich mich nicht aus.

EDIT:
BTW: wenn

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

die einzige Regel in der nat-Tabelle der POSTROUTING chain ist, dann gibt es keinen Unterschied zwischen:

iptables -t nat [COLOR=red][B]-A[/B][/COLOR] POSTROUTING -o ppp0 -j MASQUERADE

und

iptables -t nat [COLOR=red][B]-I[/B][/COLOR] POSTROUTING -o ppp0 -j MASQUERADE

Ich sitze wohl auf meine Ohren, aber hier fehlt mir ein wenig der zusammenhang! Meinst Du VPN?

 

[ottohahn]

Nochmal, ganz langsam, es geht nicht um die Datei "/etc/resolv.conf", es geht um die Datei "/etc/ppp/resolv.conf". Siehe deine Beiträge und deine Eintragungen in den dnsmasq.

Aber darin sind die DNS-Server eingetragen:

----
root@fritz:/var/mod/root# more /etc/ppp/resolv.conf
nameserver 139.7.30.126
nameserver 139.7.30.125
----

Oder meinst Du etwas anderes?
Otto

 

[sf3978]

Oder meinst Du etwas anderes?

Ich meine nichts anderes. Ich beobachte nur, dass Du laufend die "/etc/ppp/resolv.conf" mit der "/etc/resolv.conf" verwechselst und das Du mit "find" auf deiner Box, die "/etc/ppp/resolv.conf" nicht findest.

EDIT:

Ich sitze wohl auf meine Ohren, aber hier fehlt mir ein wenig der zusammenhang! Meinst Du VPN?

Nein, ich meine nicht VPN. Es ging um MASQUERADE in der POSTROUTING chain. Der Unterschied zwischen I und A, bei einer einzigen Regel in der chain.

 

[olistudent]

Könntest du bitte sinnfreie Vollzitate und Doppelpostings unterlassen, sonst kommt gleich jemand vorbei der dich verwarnt...

Gruß
Oliver

 

[ottohahn]

Ich meine nichts anderes. Ich beobachte nur, dass Du laufend die "/etc/ppp/resolv.conf" mit der "/etc/resolv.conf" verwechselst und das Du mit "find" auf deiner Box, die "/etc/ppp/resolv.conf" nicht findest.

Jetzt noch einmal ganz langsam. Wenn ich den Befehl 'find' anwende, finde ich nicht '/etc/resolv.conf'. Aber welche datei wird genutzt für DNSmasq?
Otto

 

[RalfFriedl]

Ich möchte Standard AVM-VPN nutzen

Ich glaube nicht, dass das über PPP gehen wird. AVM hat die Tendenz, derartige Funktionen in ihrem dsld unterzubringen.

wenn ... die einzige Regel in der nat-Tabelle der POSTROUTING chain ist, dann gibt es keinen Unterschied zwischen -A und -I

Das ist mir durchaus klar, aber ich finde es besser, das einheitlich zu handhaben, sonst ist da nur noch mehr Potential zur Verwirrung.
Und -A finde ich besser als -I, weil dann die Regeln auch in der Reihenfolge angegeben werden, in der sie nachher wirksam sind und nicht umgekehrt.

Mit den Regeln, die im Wiki angegeben waren, wurde jegliche Antwort an Anfragen der Box blockiert, da konnte kein Ping und keine DNS-Anfrage funktionieren.

 

[sf3978]

Jetzt noch einmal ganz langsam. Wenn ich den Befehl 'find' anwende, finde ich nicht '/etc/resolv.conf'. Aber welche datei wird genutzt für DNSmasq?

Schon wieder eine Verwechselung. Mit "find" findest Du die "/etc/resolv.conf", aber nicht die "/etc/ppp/resolv.conf". Ich gib's auf. So kommen wir nicht weiter. Welche resolv.conf dein dnsmasq nutzt, wollte ich mit dir ja eruieren. Sorry, aber leider war bzw. ist das mit dir nicht möglich gewesen.

 

[ottohahn]

Es tut mir leid, aber die Nacht war lang!

Ich bin der Meinung, das ensprechend dieser Befehlskette '-r /var/tmp/avm-resolv.conf -r /etc/ppp/resolv.conf' auch nur die darin genanten Dateien genutzt werden. ALso reden wir über diese Beiden?

Otto

 

[sf3978]

Das ist mir durchaus klar, aber ich finde es besser, das einheitlich zu handhaben, sonst ist da nur noch mehr Potential zur Verwirrung.
Und -A finde ich besser als -I, weil dann die Regeln auch in der Reihenfolge angegeben werden, in der sie nachher wirksam sind und nicht umgekehrt.
Mit den Regeln, die im Wiki angegeben waren, wurde jegliche Antwort an Anfragen der Box blockiert, da konnte kein Ping und keine DNS-Anfrage funktionieren.

Klar, die Korrektur aus I nach A war bzw. ist richtig. Das Ändern der Reihenfolge der Regeln, in der INPUT und FORWARD chain ist auch richtig. Die MASQUERADE-Regel war auch mit I (statt A) schon richtig und wirksam. Ich kenne mich mit ppp, UMTS und dem ppp0-Interface nicht aus, aber warum sollen Regeln (egal ob falsch oder richtig) in der INPUT und in der FORWARD chain, eine Auswirkung haben auf das was aus der Box rausgeht und wieder reinkommen soll (z. B. ping und nslookup), wenn das source-NAT (hier MASQUERADE) der Box ok ist/war? Ich denke der Grund, dass es jetzt funktioniert, sind nicht die iptables-Regeln. Egal, wir werden es nie erfahren.

 

[RalfFriedl]

Wie bereits geschrieben, mir ist bewusst, dass bei nur einer Regel in einer Chain es keinen Unterschied macht, ob diese mit -I am Anfang oder mit -A am Ende angelegt wird, es ist so oder so die einzige Regel in der Chain. Ich finde es aber übersichtlicher, die Regeln mit -A anzulegen, weil sie dann in der Reihenfolge stehen, in der man sie nachher mit -L angezeigt bekommt und in der sie auch ausgewertet werden. Deswegen ist es mir zuerst auch nicht aufgefallen, dass da -I steht und deswegen die Reihenfolge anders herum ist. -I verwende ich nur dann, wen ich tatsächlich irgend etwas vorne einfügen möchte.

Der Grund, warum das Ping jetzt geht, sind ganz sicher die iptables Regeln. Die Regeln waren so erstellt, dass Masqerade geht, aber in der Box nichts ankommt.

Chain INPUT (policy ACCEPT 5319 packets, 550K bytes)
 pkts bytes target     prot opt in     out     source               destination
   [B]92[/B]  9180 DROP       all  --  ppp0   *       0.0.0.0/0            0.0.0.0/0

Hier kann man sehen, dass an dieser Regel 92 Pakete abgewiesen wurden.

Es passiert folgendes:
Ping sendet ein Paket über ppp0 hinaus. Es kommt eine Antwort über ppp0. Diese Antwort wird von iptables verworfen, Ping sieht die Antwort nicht.
Nslookup sendet ein Paket über ppp0 hinaus. Es kommt eine Antwort über ppp0. Diese Antwort wird von iptables verworfen, nslookup sieht die Antwort nicht.
Ein beliebiges Programm sendet Daten Paket über ppp0 hinaus. Es kommt eine Antwort über ppp0. Diese Antwort wird von iptables verworfen, das Programm zeigt irgendwann einen Timeout.

Mit FORWARD ist es anders, weil dort ESTABLISHED durchgelassen wurde. Wenn diese Regel nicht da gewesen wäre, dann hätte auch Masqerade nicht funktioniert, bzw. das Masqerade selbst hätte funktioniert, aber die Box hätte alle Antworten ebenfalls verworfen, was aus Sicht der Clients ebenfalls bedeutet hätte, dass auf nichts eine Antwort kommt.