SAW1, Angersdorf

[Klops]

Hallo,

Bernd0815 hat in letzter Zeit öfter mal eine sehr gute Verbindung zu SAW1 aufgebaut. Leider war dann keine Internetverbindung herstellbar, jedenfalls nicht von mir. Ich musste dann die Verbindung zu Bernd0815 unterbrechen, weil natürlich das Routig zum HNA SAW1 erfolgte.

Frage also an Bernd0815:

Hattest Du eine Internetverbindung über SAW1?

Wenn nicht, Frage an SAW1:

Fehlt da irgendwo ein Stecker zum DSL-Modem oder ist die HNA-Info fehlerhaft ?

K.

[Klops]

ok, anpingen war erfolgreich.

Trotzdem komme ich nicht auf den AP und I-net geht auch nicht.

[4huf]

Also wenn ich (vermutlich über den Tunnel) auf die 250.43 gehe, dann funktioniert das
Inet offenbar, denn beim Klick auf "Routing" wird das ordentlich ausgeführt.
Bitte mach mal bei die "Routing" wenn die Verbindung über SAW1 gehen soll.

[Klops]

Routing funktioniert, i-net nicht.



traceroute to leipzig.freifunk.net
Weg der Pakete nach 88.198.196.6:
1 104.61.251.48 4.418 ms 2.642 ms 34.282 ms
2 104.61.250.43 86.612 ms 153.428 ms 39.138 ms
3 192.168.187.1 33.188 ms 30.344 ms 116.189 ms
4 * 213.20.151.83 22.351 ms 27.074 ms
5 213.20.150.65 29.744 ms 21.136 ms 111.885 ms
6 213.20.150.113 166.301 ms 132.018 ms 28.05 ms
7 195.71.254.134 107.367 ms 104.745 ms 364.777 ms
8 195.71.254.118 159.779 ms 55.681 ms 111.211 ms
9 62.53.198.163 49.073 ms 48.567 ms 86.977 ms
10 217.71.107.89 41.283 ms * 47.423 ms
11 217.71.96.114 207.69 ms 224.581 ms 77.148 ms
12 217.71.96.74 261.933 ms 98.703 ms 81.099 ms
13 213.239.242.214 75.697 ms 44.593 ms 79.12 ms
14 213.239.240.143 154.256 ms * 41.157 ms
15 213.239.229.43 111.116 ms * *
16 88.198.44.10 758.392 ms 480.798 ms 49.665 ms
17 88.198.196.6 173.538 ms 43.182 ms *

Weg der Pakete nach 104.61.0.101:
1 104.61.251.48 30.917 ms 2.513 ms 44.924 ms
2 104.61.250.43 93.47 ms 738.881 ms 250.854 ms
3 104.61.252.129 744.756 ms 236.445 ms 141.46 ms

[4huf]

Sehr interessant.
Kannst du bitte noch testen ob das von deinem PC oder Router funktioniert :

ping 209.85.135.99

ping http://www.google.de

Beim (Windows)PC kommst du mit Start/Ausführen/cmd OK in ein Dos-Fenster und kannst das
eingeben.
Oder mit Putty zum Router verbinden.
Auf dem Router musst du die Befehle mit STRG-C abbrechen.

Wenn 1. geht und 2. nicht dann hat dein Router noch veraltete DNS-Server-Infos.
Im Forum hier steht wo du das ändern kannst.
Wenn beides geht hat SAW1 möglicherweise eine Firewall die die Anfragen zurück blockiert.

[Klops]

ging beides, scheint also die Firewall zu sein.

[4huf]

Hmmm, man könnte noch testen ob nur HTTP nicht geht oder z.B. Email-Abrufen
mit POP3 oder Seiten HTTPS funktioniert.
So oder so schreib doch mal ein PM an SAW1.

[Klops]

HTTPS ging auch nicht (Forum).
POP3 habe ich nicht probiert.
PN habe ich geschrieben.

[saw]

Bin zwar gerade nicht direkt vor Ort, kann aber erstmal folgendes anmerken:
Die iptables wurden nur insofern durch eigene Regeln angepasst, dass keine Rechner, die am gleichen Subnetz zwischen WRT und Router liegen (VPN-Gateway, diverse DMZ-Server) vom WRT aus erreicht werden können, was ja auch nicht notwendig ist. Natürlich kann man sich auch schnell mal bei einer iptables-Rule verkonfigurieren.
Das werde ich heute testen,wenn ich wieder vor Ort bin. Wer schon mal remote eine Firewall administriert hat und keinen zweiten Zugang oder eine "make test" Lösung hat, der weiß was ich meine.

MfG
Sa.W

iptables -I INPUT -i eth1 -j DROP

[4huf]

Ich kenne jetzt die Config nicht näher.
Aber in der Standarteinstellung kommt man vom FF-Netz weder auf Rechner im LAN noch im WAN wenn die private Adressen verwenden. (sollte jedenfalls so sein)
Nur wenn man root-Zugriff auf den Router hat ist das dann natürlich möglich.
Das lässt sich aber auch mit Regeln auf dem Router nicht sinnvoll verhindern, die kann man
dann ja abschalten ...
Das komische bei den Tests war ja nur, das ICMP (Ping, Traceroute) ging, aber der "Rest" nicht.
Und der Router kann offenbar auch selbst Namen auflösen.

[saw]

Die Regel wurden eingebaut, da ich mich zeitlich nicht genauer mit dem WRT beschäftigen konnte und mir nicht sofort klar war, welche Dienste und damit Weiterleitungen möglich bzw. nicht möglich sind. Und als mir dann auch noch ein hinterlegter Public-Key auffiel, der als authorized_ssh_key diente, war mein Vertrauen etwas dahin. Den habe ich zwar gelöscht, wollte aber nicht zu einfach anderweitige DOS-Angriffe gegen die anderen Server riskieren. Es ist nicht das interne Subnetz oder das Firmennnetz, in dem der WRT liegt, sondern schon das externe VDSL-Netz. Aber bevor es zu einfach ist, vom WLAN an die externen Server zu kommen, habe ich die Regel eingeführt. Wer auf den WRT kommt kann die natürlich abschalten, aber dann greift hoffetnlich das IDS.
Wäre zumindest mal ein guter Test. Vielleicht sollte ich es besser über die Firewall umleiten...

Egal, muss geprüft werden! Werde nachher (>22-hundert) vielleicht auch eine neue Firmware aufspielen und das System mal wieder anpassen. Was ist überhaupt jetzt aktuell? Ich brauche eine Firmware mit allem Sinnvollen für HNA-Zugang, also insbesondere was aktuell genutztes Routing angeht (ist batman noch aktuell?) und vielleicht ein horst, um mal zu scannen was erreichbar ist. Habe leider so wenig Zeit, um mich selber damit zu beschäftigen

Gruss,
Sa.W

[3dfxatwork]

Ich hatte ein ähnliches Problem gehabt mit DMZ usw. Interessanterweise kann ich auf meinem Router keinen DMZ Port angeben obwohl der Hersteller das so anpreist, deswegen musste ich auch im FF-Router mein LAN (hat nen anderes Subnetz) vom Internetzugang des FF-Routers abkoppeln, denn aus dem FF ist alles erreichbar, was über WAN angeschlossen ist!
Jedenfalls was ich alles probiert habe: ftp, telnet, ssh, http, https, smb/cifs, rpc...
Hab das auch mit einer Radikalen iptables Regel belegt.

[tox]

die aktuelle stable, hier lesen bezüglich der umstellung der ip-adressen und hier neue adresse eintragen

[saw]

Danke für die Info. Neue Firmware wird jetzt geflasht. Danach muss ich noch etwas die Verkabelung ändern, um es über einen freien Port der Firewall zum Router weiterzuleiten.

[Cyrus]

Die SSH-Publickeys können bei der IP-Vergabe durch einen Haken bei "Fernadministration nicht zulassen" deaktiviert werden.

[saw]

Statusmeldung: momentan ist Anlage noch Offline. Nach Neuverkabelung über Firewall muss diese erst mit einer Multiport-Nettzwerkkarte aufgerüstet werden, da alle Ports inkl. interne Steckplätze belegt waren. Das wurde dummerweise erst bemerkt, als das Kabel schon dorthin umverlagert wurde.

[stromer]

Dann könnte ja die short-backfire zur Aufarbeitung nach Zscherben zu 4huf?!
Bitte mal um Info!

[saw]

Stimmt, das hatte ich schon angeregt. Warte nur auf eine kurze Rückmeldung.

[stromer]

Stimmt, das hatte ich schon angeregt. Warte nur auf eine kurze Rückmeldung.

Von wem? Ich (als Antenneneigentümer) hatte schon vor reichlich 2 Wochen gebeten das Teil, damals über mono und siehe entsprechende pn, mir wieder zugänglich zu machen, damit es irgendwie zu 4huf kommt. Wenn Du das auch direkt abwickeln kannst-soll mir nur recht sein.
Der zeitweilig in Wörmlitz stationierte Router ist dort nun auch erstmal weg und jetzt in Kanena im Einsatz.

[se]

sieht so aus als würde da endlich ne verbindung zwischen saw1 und bernd0815 bestehen? cool.

[Klops]

Verbindung steht, aber Bernd0815 hat mir geschrieben, dass I-Net nicht funktioniert bei SAW.

[Bernd 0815]

Verbindung steht, aber Bernd0815 hat mir geschrieben, dass I-Net nicht funktioniert bei SAW.

Hallo
Da must du was falsch verstaten haben das Internet ist auch OK.Gute Verbintung.

[Klops]

Wieso häng ich da noch an 251.49

Du brauchst dringend eine LAN-Kopplung

[4huf]

Verbindung steht, aber Bernd0815 hat mir geschrieben, dass I-Net nicht funktioniert bei SAW.

Die Antenne ist "repariert", der Router neue geflasht und die Firewall-Config im Haus angepasst.
Nur die 251.48 hat keine weiteren Verbindungen ...

[Klops]

Jetzt häng' ich auch dran.
Wenn mein jemand meinen gebrickten WRT wieder hinkriegt, kann ich eine Brücke zur 251.49 (auch Bernd0815) hinkriegen, es sei denn bei Bernd ist eine LAN-Kopplung möglich.

[tox]

bitte auf neuen adressbereich umstellen.

[Klops]

@Bernd0815

Also irgendwas stimmt mit 251.48 nicht. Das Scheißteil ist meines Erachtens kaputt.
Mal geht`s, dann mal wieder nicht.
Ich komme bei einem ETX von unter 1,5 nicht mal auf den Node.
Schmeiß das Teil aus dem Fenster.

Hänge jetzt wieder an 251.49