Ich verzweifele EFW Konfig

1. offizieller Beitrag

    Hallo Leute !

    Als erstes sage ich mal Hallo als Neuling und bin heilfroh, dass es dieses Forum gibt bei dem ich hoffentlich hilfe finden kann.
    Vornweg: Ich bin kein Linux-Profi obwohl ich mich schon recht gut damit zurecht finde.

    Also ich habe einen C'T Server 3 aufgesetzt welcher auch Debian etch 4.04 (glaube ich) basiert. All das was die efw so an Möglichkeiten bietet hat mich derart fasziniert, dass ih das Teil unbedingt zum Laufen bringen will - allerdings will die efw nicht so wie ich.
    Der Server installiert von Anfang an XEN und euch endian als DomU.

    Bisher habe ich einen T-Com-Router Speedport 900V welcher die Adresse 192.168.172.254 hat und dementsprechend ist mein Netz die 192.168.172.0/24.

    Die Installation der efw funktioniert soweit (meines Erachtens) problemlos. Ich komme dann auch die Konfig-Seite. Der Rechner mit der efw hat 2 Netzwerkkarten. Und nun wollte ich die efw genau zwischen dem Speedport-Router und meinem internen Netzwerk hängen - so sollte es ja auch sein.

    Beim Setup des C'T-Server habe ich folgende Angaben gemacht. IP des Servers: 192.168.172.2 (.1 ist schon belegt) Gateway 192.168.172.6 (interne Adresse der efw).

    Nun erreiche ich nach der Installation auch ganz unproblematisch unter der 192.168.172.6 die Erstkonfiguration der efw.
    Für das GRÜNE Netz habe ich die 192.168.172.6 übernommen - soll aber später auf 254 umgestellt werden damit die "routende Einheit" wieder für die Clients an der gewohnten Adresse zu finden ist. Für das ROTE Netz habe ich die DHCP aktiviert und musste somit kein Gateway und kein DNS angeben. Den Speedport habe ich zuvor auf 192.168.1.254 geändert und DHCP für Clients aktiviert.

    Mit diesen Angaben steht dann im Systemstatus der efw immer dass die Verbindung aufgebaut werden würde, aber es schafft es einfach nicht eine Adresse per DHCP vom Router zu ziehen - jeder andere Client den ich an den Speedport hänge ist in der Lage eine Adresse zu ziehen.

    Nun gut - also habe ich die efw von DHCP auf static Ethernet umgestellt und folgende Werte eingegeben: Adresse 192.168.1.1/24 GW 192.168.1.254 DNS1/2 192.168.1.254.

    Danach zeigt die Systemübersicht die Verbindung als aufgebaut an, allerdings kann ich selbst von der Console der efw den Router nicht anpingen. Die Schnittstelle 192.168.1.1 meldet die Adresse 192.168.1.254 als uneachable, was ich seltsam finde angesichts der tatsache, dass sich diese Adresse zm einen im selben Netz befindet und zum anderen direkt an der Schnittstelle hängt !

    Kann sich jemand einen Reim darauf machen? Ich bin am Ende

    Vielen Dank im Voraus

    Viele Grüße
    Peter

    Einmal editiert, zuletzt von pgr69 (12. Juni 2009 um 21:25)

    • Offizieller Beitrag

    Hallo Peter,
    willkommen an Board :)


    zu deinem Problem:

    Der Speedport hat die 192.168.172.254
    Weiter unten schreibst du das du der EFW Static IP gegeben hast (Adresse 192.168.1.1/24 GW 192.168.1.254)

    Wenn das ROTE Interface an den Speetport kommt sollte das schon im selben Netzwerk sein.

    Auf dem GRÜNEN Interface solltest d dann eine anderes Segment nehmen z.b. 192.168.1.x

    Aber die IP Adresse zwischen Speedport und EFW ROT Interface müssen im selben Segment sein damit das klappt.

    Prinzipiell bin ich kein Freund von Virtuellen Firewalls wie es in dem CT Server der fall ist, das System kann in dem fall ja noch mehr.
    Wenn dann eher eine Dedizierte Firewall ganz alleine auf dem System.

    gruß

    Hi !

    Ich weiß - mein Text war relativ lang und vielleicht hast Du deshalb übersehen, dass ich geschrieben habe, dass der Speedport auf die 192.168.1.254 geändert wurde. Wenn ich nicht alle Clients ändern will dann muss ich ja die IP des Speedport ändern und der efw intern die IP geben die ursprünglich der Speedport hatte.

    Also im Betrieb mit efw:
    Speedport 192.168.1.254
    efw-ROT: 192.168.1.1
    efw-grün: 192.168.172.254
    Clients: 192.168.172.0/24

    Ohne efw:
    Speedport: 192.168.172.254
    Clients: 192.168.172.0/24

    Weiter unten noch die Ausgabe des ifconfig der efw
    Der ct debian Server gibt folgendes aus bei ifconfig:
    xserver:~# ifconfig
    dmz Protokoll:Ethernet Hardware Adresse 00:00:00:00:00:00
    inet6 Adresse: fe80::200:ff:fe00:0/64 G?ltigkeitsbereich:Verbindung
    UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
    RX packets:0 errors:0 dropped:0 overruns:0 frame:0
    TX packets:6 errors:0 dropped:0 overruns:0 carrier:0
    Kollisionen:0 Sendewarteschlangenl?nge:0
    RX bytes:0 (0.0 b) TX bytes:468 (468.0 b)

    eth0 Protokoll:Ethernet Hardware Adresse 00:1B:21:11:74:EA
    inet6 Adresse: fe80::21b:21ff:fe11:74ea/64 G?ltigkeitsbereich:Verbindung
    UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
    RX packets:15660 errors:0 dropped:0 overruns:0 frame:0
    TX packets:5776 errors:0 dropped:0 overruns:0 carrier:0
    Kollisionen:0 Sendewarteschlangenl?nge:1000
    RX bytes:2201024 (2.0 MiB) TX bytes:1268968 (1.2 MiB)
    Basisadresse:0xd800 Speicher:fe8e0000-fe900000

    eth1 Protokoll:Ethernet Hardware Adresse 00:24:21:25:31:26
    UP BROADCAST MULTICAST MTU:1500 Metric:1
    RX packets:8971 errors:0 dropped:1171734707878 overruns:0 frame:0
    TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
    Kollisionen:0 Sendewarteschlangenl?nge:1000
    RX bytes:1341418 (1.2 MiB) TX bytes:0 (0.0 b)
    Interrupt:18 Basisadresse:0x8000

    extern Protokoll:Ethernet Hardware Adresse 00:24:21:25:31:26
    inet6 Adresse: fe80::224:21ff:fe25:3126/64 G?ltigkeitsbereich:Verbindung
    UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
    RX packets:924 errors:0 dropped:0 overruns:0 frame:0
    TX packets:6 errors:0 dropped:0 overruns:0 carrier:0
    Kollisionen:0 Sendewarteschlangenl?nge:0
    RX bytes:33316 (32.5 KiB) TX bytes:468 (468.0 b)

    intern Protokoll:Ethernet Hardware Adresse 00:1B:21:11:74:EA
    inet Adresse:192.168.172.2 Bcast:192.168.172.255 Maske:255.255.255.0
    inet6 Adresse: fe80::21b:21ff:fe11:74ea/64 G?ltigkeitsbereich:Verbindung
    UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
    RX packets:7760 errors:0 dropped:0 overruns:0 frame:0
    TX packets:2364 errors:0 dropped:0 overruns:0 carrier:0
    Kollisionen:0 Sendewarteschlangenl?nge:0
    RX bytes:1436430 (1.3 MiB) TX bytes:208165 (203.2 KiB)

    lo Protokoll:Lokale Schleife
    inet Adresse:127.0.0.1 Maske:255.0.0.0
    inet6 Adresse: ::1/128 G?ltigkeitsbereich:Maschine
    UP LOOPBACK RUNNING MTU:16436 Metric:1
    RX packets:10614 errors:0 dropped:0 overruns:0 frame:0
    TX packets:10614 errors:0 dropped:0 overruns:0 carrier:0
    Kollisionen:0 Sendewarteschlangenl?nge:0
    RX bytes:114772650 (109.4 MiB) TX bytes:114772650 (109.4 MiB)

    vif1.0 Protokoll:Ethernet Hardware Adresse FE:FF:FF:FF:FF:FF
    inet6 Adresse: fe80::fcff:ffff:feff:ffff/64 G?ltigkeitsbereich:Verbindung
    UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
    RX packets:6085 errors:0 dropped:0 overruns:0 frame:0
    TX packets:11496 errors:0 dropped:3 overruns:0 carrier:0
    Kollisionen:0 Sendewarteschlangenl?nge:32
    RX bytes:1229521 (1.1 MiB) TX bytes:1815879 (1.7 MiB)

    vif1.1 Protokoll:Ethernet Hardware Adresse FE:FF:FF:FF:FF:FF
    inet6 Adresse: fe80::fcff:ffff:feff:ffff/64 G?ltigkeitsbereich:Verbindung
    UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
    RX packets:924 errors:0 dropped:0 overruns:0 frame:0
    TX packets:4 errors:0 dropped:2 overruns:0 carrier:0
    Kollisionen:0 Sendewarteschlangenl?nge:32
    RX bytes:33316 (32.5 KiB) TX bytes:300 (300.0 b)

    wlan Protokoll:Ethernet Hardware Adresse 00:00:00:00:00:00
    inet6 Adresse: fe80::200:ff:fe00:0/64 G?ltigkeitsbereich:Verbindung
    UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
    RX packets:0 errors:0 dropped:0 overruns:0 frame:0
    TX packets:6 errors:0 dropped:0 overruns:0 carrier:0
    Kollisionen:0 Sendewarteschlangenl?nge:0
    RX bytes:0 (0.0 b) TX bytes:468 (468.0 b)


    Ausgabe efw ifconfig
    br0 Link encap:Ethernet HWaddr 00:16:3E:33:A1:00
    inet addr:192.168.172.254 Bcast:192.168.172.255 Mask:255.255.255.0
    UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
    RX packets:8534 errors:0 dropped:0 overruns:0 frame:0
    TX packets:2267 errors:0 dropped:0 overruns:0 carrier:0
    collisions:0 txqueuelen:0
    RX bytes:1339290 (1.2 MiB) TX bytes:365005 (356.4 KiB)

    eth0 Link encap:Ethernet HWaddr 00:16:3E:33:A1:00
    UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
    RX packets:8548 errors:0 dropped:0 overruns:0 frame:0
    TX packets:2276 errors:0 dropped:0 overruns:0 carrier:0
    collisions:0 txqueuelen:1000
    RX bytes:1341595 (1.2 MiB) TX bytes:366311 (357.7 KiB)

    eth1 Link encap:Ethernet HWaddr 00:16:3E:69:48:A4
    inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
    UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
    RX packets:0 errors:0 dropped:0 overruns:0 frame:0
    TX packets:730 errors:0 dropped:0 overruns:0 carrier:0
    collisions:0 txqueuelen:1000
    RX bytes:0 (0.0 b) TX bytes:30660 (29.9 KiB)

    lo Link encap:Local Loopback
    inet addr:127.0.0.1 Mask:255.0.0.0
    inet6 addr: ::1/128 Scope:Host
    UP LOOPBACK RUNNING MTU:16436 Metric:1
    RX packets:1327 errors:0 dropped:0 overruns:0 frame:0
    TX packets:1327 errors:0 dropped:0 overruns:0 carrier:0
    collisions:0 txqueuelen:0
    RX bytes:113373 (110.7 KiB) TX bytes:113373 (110.7 KiB)

    • Offizieller Beitrag

    Huch ok doch überlesen ... :)

    wenn du

    Speedport ( 192.168.1.254 ) ==> efw rot ( 192.168.1.1) || <== efw grün (192.168.172.254 ) == Client ( 192.168.172.x )

    wenn du ein tracert auf einem Client absetzt auf die 192.168.1.254 wie weit kommst du ?
    wenn du auf der Console bist an der efw kannst du ein ping auf die 192.168.1.254 schicken?

    gruß

    Hi !

    ich habe den Router jetzt wieder im Normalbetrieb, kann erst später wieder testen, aber es war so, dass ich (wie schon im ersten Text beschrieben) von der console der efw den Router (der ja direkt an der entsprechenden Schnittstelle der efw hängt) nicht pingen kann. Ich glaube "unreachable" kommt dann.
    Der traceroute bleibt dann auch auf der 192.168.1.1 hängen.

    Was mich stutzig macht ist die tatsache das die efw per DHCP keine Adresse vom Router ziehen kann. Ich glaube der schickt die Daten auf ein falsches Interface oder so. der ct-server als Dom0 richtet ja die Netzwerke intern und extern ein. Intern geht alles. die efw arbeitet dann noch mit einer br0 (bridge). Und ich denke da ist irgendwo der Hase begraben ! Ich habe von derartigen Netzwerkkonstrukten unter Linux keine ahnung. Mit normalen Netzwerkkonfigs in /etc/network/interfaces habe ich keinen stress, aber da steht ja jetzt eine Menge kram drin, bei dem ich nur vermuten kann was er da macht.

    Grüße

    • Offizieller Beitrag

    villeicht ist das Problem der CT Server der da irgend was mit den IFs anstellt.
    zieh dir doch das iso von endian direkt ohne CT Server in der version 2.2 endian.com / download und installier doch das mal.

    und versuch es dann erneut dann merkst ja wo das problem liegt.

    gruß

    ist das dann auch eine vorgefertigte DomU ?
    Ich möchte das ja alles als DomU's haben auf dem C'T-Server.

    Na ja heute Abend werde ich mal wieder testen !

    GELÖST

    Die onBoard NWK RTL8111/8169 ist das Problem bzw. deren Treiber. Unter SLES11 geht die Karte Prima !

    Habe einen anderen Treiber von ctserver.org genommen und nun geht alles perfekt !

    DANKE

    Wie schon gelöst? jetzt wollte ich grade auch mal meine Senf dazu abgeben. ;)

    PS das Update auf die 2.2 version der endian klappt Problemlos nur dran denke per ssh einloggen nicht per xm console endian.

    Albert Einstein:
    Zwei Dinge sind unendlich, das Universum und die menschliche Dummheit, aber bei dem Universum bin ich mir noch nicht ganz sicher.