dustend
Goto Top

Ipfire 2.15 Statische Route, Website kann nicht aufgerufen werden trotz erfolgreichen ping,tracing,namensauflösung

Huhu,

ich habe jetzt das ganze Netz durchforstet, habe aber nicht wirklich eine Lösung gefunden.

Folgende Situation:

Lan Green: 53.100.138.0/24
IPFire 53.100.138.249
Statische Route: 53.x.x.59 (bzw x.x.x.0/24) - router 53.100.138.2
Host Auflösung: 53.x.x.59 - Name des Hosts

Client IP: 53.100.138.x
Gateway: 53.100.138.249
DNS: 53.100.138.249 (DNS testweise auf ipfire, sonst Weiterleitung vom Domain Controller)

Zugriff ins Internet durch 2 DMZ kein Problem.

Ping auf 53.x.x.59 erfolgreich
Namensauflösung erfolgreich
Tracing erfolgreich

Aufrufen der 53.x.x.59/Webadresse im Browser.....keine Verbindung.

Es gibt noch einen alten Windows 2000 Server, der als Gateway/Routing dient.
Dieser hat genau oben genannte Route eingetragen, alles absolut identisch.

Trage ich nun statt dem ipfire Gateway 53.100.138.249 den Gateway des alten Servers ein, also in diesen Falle die 53.100.138.51 funktioniert ebenfalls ping, tracing, DNS einwandfrei aber auch der Aufruf der Website.

Das ist meine Problem. Warum geht bei beiden Gateways ping, trace, dns, aber nur beim alten Gateway der Webseitenaufruf?

Ich verstehe einfach nicht.

Ich habe schon die ipfie komplett geöffnet um irgendwelche Regeln, Ports auszuschließen, kein Erfolg.

Ich finde einfach nicht den Fehler, den funktionieren muss es ja.
Was ist anders beim Webaufruf?

Wäre super, wenn einer eine Lösung hat, den die Firewall muss endlich online gehen.

Besten Dank!

Gruß

CK

Ergänzung:

Habe mal wireshark bei den unterschiedlichen Gateways mitlaufen lassen:


bei Gateway 51, also der der funktioniert kommt nach:

394 get /homepage/index.jsp HTTP/1.1

dann direkt die Seite.

bei Gateway 249, also die ipfire kommt nach:

394 get /homepage/index.jsp HTTP/1.1
ICMP 82 Redirect (redirect for host)

Type 5: (redirect)
Code 1 (redirect for host)

394 get /homepage/index.jsp HTTP/1.1

ICMP 422 Redirect (redirect for host)
Type 5: (redirect)
Code 1 (redirect for host)

immer weiter, bis kommt: Seite nicht erreichbar...

Content-ID: 264870

Url: https://administrator.de/forum/ipfire-2-15-statische-route-website-kann-nicht-aufgerufen-werden-trotz-erfolgreichen-ping-tracing-264870.html

Ausgedruckt am: 23.12.2024 um 06:12 Uhr

Th0mKa
Th0mKa 28.02.2015 um 23:20:05 Uhr
Goto Top
Zitat von @dustend:
Was ist anders beim Webaufruf?
Moin,

anders ist das Protokoll und die Firewall macht wahrscheinlich was eine Firewall so macht.
Hast du denn eine ausgehende Regel fuer HTTP erstellt?

VG,

Thomas
dustend
dustend 28.02.2015 um 23:24:44 Uhr
Goto Top
Ich habe für diese IP alle Protokolle geöffnet, also die ipfire auf "Alle" eingestellt.
Ich kann gerne mal nur HTTP prüfen.

Gruß

CK
dustend
dustend 28.02.2015 um 23:28:36 Uhr
Goto Top
Kein Erfolg!
Th0mKa
Th0mKa 28.02.2015 um 23:33:31 Uhr
Goto Top
Stehen noch weitere Firewalls vor der IPFire? Mache mal eine telnet 53.x.x.59 80, klappt das?
dustend
dustend 28.02.2015 um 23:39:34 Uhr
Goto Top
Nein, im Green Netz, also im 53.1001.38/24 sind noch zwei Router mit der 2 oder der 4 IP, die in ein anderes Netz per Standleitung routen.
Also keine Firewall.
Nur wegen einem anderen Gateway ( der 2000 Server), würde sich für den Client ja nicht eine Regel ändern, der bekommt ja nur seine Route.

Also keine Firewall, trage ich auf dem Client direkt die Route ein, kommt er auch auf die Seite.

Gruß

CK
Th0mKa
Th0mKa 01.03.2015 um 09:03:30 Uhr
Goto Top
Zitat von @dustend:

Also keine Firewall, trage ich auf dem Client direkt die Route ein, kommt er auch auf die Seite.

Das ist klar, dann hat er ja ne Route. Die Frage ist halt wie die IPFire mit ICMP Redirects umgeht, vielleicht hilft dir ja das: http://forum.ipfire.org/viewtopic.php?t=7863

VG,

Thomas
dustend
dustend 01.03.2015 um 09:10:58 Uhr
Goto Top
Ok,danke, ich schaue mir das mal an.

Wenn ich mir aber die Logs anschaue, sehe ich, das die ipfire den Client zu dem Router/Seite verbindet, aber nirgends taucht ein
Drop/Reject auf.....
aqui
aqui 01.03.2015 um 10:20:59 Uhr
Goto Top
dustend
dustend 01.03.2015 um 15:57:47 Uhr
Goto Top
Naja, das hilft mir aber nicht weiter....mittlerweile habe ich zuviel Arbeit da rein gesteckt, da möchte ich nicht schon wieder wechseln...und wer sagt mir, das es da nicht auch Probleme gibt....
Lochkartenstanzer
Lochkartenstanzer 03.03.2015 um 08:17:41 Uhr
Goto Top
Moin,

nachdem Du bei der ipfire ein redirect bekommst und bei der widnowskiste ncht, würde ich mal genauer schauen, wer den redirect schickt und was der Inhalt des redirects ist. Und ich würde nach der MAC-Adresse schauen, mit wem die Windows-Kiste redet und mit wem deien IP-Fire.

Vermutlich schickt irgendeine Router in deienr DMZ Dir einen redirect, dn die windowsKiste klaglos akzeptiert hat und die IP-Fire ignoriert, wie es eine Firewall sollte udn auch andere Kisten solten sowas nur in Ausnahmefällen zulassen.

Mein Rat also:

Suche nach der Ursache des redirects udn Du wirst fündig werden.

lks
dustend
dustend 03.03.2015 um 09:16:06 Uhr
Goto Top
Ok, das klingt ja schon nach einer Lösung, aber:

der Client schickt die Anfrage zur IPfire, die IPfire löst den Namen auf und sagt dem Client, das diese Adresse im grünen Netz liegt und zwar bei dem
router 53.100.138.2. Somit geht es ab zu dem Router.
Warum sollte dann von der DMZ bzw ein Router raus der DMZ damit irgendetwas zu tun haben? In dieses Netzt wird doch überhaupt nicht geroutet?!

Oder verstehe ich hier was nicht?
Lochkartenstanzer
Lochkartenstanzer 03.03.2015 aktualisiert um 09:20:03 Uhr
Goto Top
Zitat von @dustend:

Oder verstehe ich hier was nicht?

Offensichtlich.

Also: Schau Dir die MAC-Adressen der Ip-Pakete an udn prüfe, ob das die richtien sind.

lks

PS: Nach Auswerten des ICMP-Redirects könntest Du dessen Inhalt als statische Route dem ipfire hinzufügen.
Th0mKa
Th0mKa 03.03.2015 um 09:36:11 Uhr
Goto Top
Zitat von @dustend:

Oder verstehe ich hier was nicht?

Hast du meinen Link ueberhaupt beachtet? Dort und in den dort verlinkten Seiten steht drin weas man machen muss um ICMP Redirects in der IPFire zu erlauben.
dustend
dustend 03.03.2015 um 16:04:29 Uhr
Goto Top
Ok, jetzt kommt ein bisschen Licht ins Dunkel und der zweite Link war mehr nach meinen Geschmack face-smile

Ich muss dann nur sehen, wie ich das der ipfire beigebracht bekomme....bin halt mehr ein Windows Mensch.....mit Maus und Klick face-wink

Danke dafür!
dustend
dustend 04.03.2015 um 11:37:41 Uhr
Goto Top
Nachdem ich jetzt mal den Proxy aktiviert habe, geht das Routing ohne Probleme...warum auch immer..Hauptsache es funktioniert.

Danke an alle!