15
Ipfire 2.15 Statische Route, Website kann nicht aufgerufen werden trotz erfolgreichen ping,tracing,namensauflösung
Huhu,
ich habe jetzt das ganze Netz durchforstet, habe aber nicht wirklich eine Lösung gefunden.
Folgende Situation:
Lan Green: 53.100.138.0/24
IPFire 53.100.138.249
Statische Route: 53.x.x.59 (bzw x.x.x.0/24) - router 53.100.138.2
Host Auflösung: 53.x.x.59 - Name des Hosts
Client IP: 53.100.138.x
Gateway: 53.100.138.249
DNS: 53.100.138.249 (DNS testweise auf ipfire, sonst Weiterleitung vom Domain Controller)
Zugriff ins Internet durch 2 DMZ kein Problem.
Ping auf 53.x.x.59 erfolgreich
Namensauflösung erfolgreich
Tracing erfolgreich
Aufrufen der 53.x.x.59/Webadresse im Browser.....keine Verbindung.
Es gibt noch einen alten Windows 2000 Server, der als Gateway/Routing dient.
Dieser hat genau oben genannte Route eingetragen, alles absolut identisch.
Trage ich nun statt dem ipfire Gateway 53.100.138.249 den Gateway des alten Servers ein, also in diesen Falle die 53.100.138.51 funktioniert ebenfalls ping, tracing, DNS einwandfrei aber auch der Aufruf der Website.
Das ist meine Problem. Warum geht bei beiden Gateways ping, trace, dns, aber nur beim alten Gateway der Webseitenaufruf?
Ich verstehe einfach nicht.
Ich habe schon die ipfie komplett geöffnet um irgendwelche Regeln, Ports auszuschließen, kein Erfolg.
Ich finde einfach nicht den Fehler, den funktionieren muss es ja.
Was ist anders beim Webaufruf?
Wäre super, wenn einer eine Lösung hat, den die Firewall muss endlich online gehen.
Besten Dank!
Gruß
CK
Ergänzung:
Habe mal wireshark bei den unterschiedlichen Gateways mitlaufen lassen:
bei Gateway 51, also der der funktioniert kommt nach:
394 get /homepage/index.jsp HTTP/1.1
dann direkt die Seite.
bei Gateway 249, also die ipfire kommt nach:
394 get /homepage/index.jsp HTTP/1.1
ICMP 82 Redirect (redirect for host)
Type 5: (redirect)
Code 1 (redirect for host)
394 get /homepage/index.jsp HTTP/1.1
ICMP 422 Redirect (redirect for host)
Type 5: (redirect)
Code 1 (redirect for host)
immer weiter, bis kommt: Seite nicht erreichbar...
ich habe jetzt das ganze Netz durchforstet, habe aber nicht wirklich eine Lösung gefunden.
Folgende Situation:
Lan Green: 53.100.138.0/24
IPFire 53.100.138.249
Statische Route: 53.x.x.59 (bzw x.x.x.0/24) - router 53.100.138.2
Host Auflösung: 53.x.x.59 - Name des Hosts
Client IP: 53.100.138.x
Gateway: 53.100.138.249
DNS: 53.100.138.249 (DNS testweise auf ipfire, sonst Weiterleitung vom Domain Controller)
Zugriff ins Internet durch 2 DMZ kein Problem.
Ping auf 53.x.x.59 erfolgreich
Namensauflösung erfolgreich
Tracing erfolgreich
Aufrufen der 53.x.x.59/Webadresse im Browser.....keine Verbindung.
Es gibt noch einen alten Windows 2000 Server, der als Gateway/Routing dient.
Dieser hat genau oben genannte Route eingetragen, alles absolut identisch.
Trage ich nun statt dem ipfire Gateway 53.100.138.249 den Gateway des alten Servers ein, also in diesen Falle die 53.100.138.51 funktioniert ebenfalls ping, tracing, DNS einwandfrei aber auch der Aufruf der Website.
Das ist meine Problem. Warum geht bei beiden Gateways ping, trace, dns, aber nur beim alten Gateway der Webseitenaufruf?
Ich verstehe einfach nicht.
Ich habe schon die ipfie komplett geöffnet um irgendwelche Regeln, Ports auszuschließen, kein Erfolg.
Ich finde einfach nicht den Fehler, den funktionieren muss es ja.
Was ist anders beim Webaufruf?
Wäre super, wenn einer eine Lösung hat, den die Firewall muss endlich online gehen.
Besten Dank!
Gruß
CK
Ergänzung:
Habe mal wireshark bei den unterschiedlichen Gateways mitlaufen lassen:
bei Gateway 51, also der der funktioniert kommt nach:
394 get /homepage/index.jsp HTTP/1.1
dann direkt die Seite.
bei Gateway 249, also die ipfire kommt nach:
394 get /homepage/index.jsp HTTP/1.1
ICMP 82 Redirect (redirect for host)
Type 5: (redirect)
Code 1 (redirect for host)
394 get /homepage/index.jsp HTTP/1.1
ICMP 422 Redirect (redirect for host)
Type 5: (redirect)
Code 1 (redirect for host)
immer weiter, bis kommt: Seite nicht erreichbar...
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 264870
Url: https://administrator.de/contentid/264870
Ausgedruckt am: 22.11.2024 um 20:11 Uhr
15 Kommentare
Neuester Kommentar
Moin,
anders ist das Protokoll und die Firewall macht wahrscheinlich was eine Firewall so macht.
Hast du denn eine ausgehende Regel fuer HTTP erstellt?
VG,
Thomas
anders ist das Protokoll und die Firewall macht wahrscheinlich was eine Firewall so macht.
Hast du denn eine ausgehende Regel fuer HTTP erstellt?
VG,
Thomas
Ich habe für diese IP alle Protokolle geöffnet, also die ipfire auf "Alle" eingestellt.
Ich kann gerne mal nur HTTP prüfen.
Gruß
CK
Ich kann gerne mal nur HTTP prüfen.
Gruß
CK
Kein Erfolg!
Stehen noch weitere Firewalls vor der IPFire? Mache mal eine telnet 53.x.x.59 80, klappt das?
Nein, im Green Netz, also im 53.1001.38/24 sind noch zwei Router mit der 2 oder der 4 IP, die in ein anderes Netz per Standleitung routen.
Also keine Firewall.
Nur wegen einem anderen Gateway ( der 2000 Server), würde sich für den Client ja nicht eine Regel ändern, der bekommt ja nur seine Route.
Also keine Firewall, trage ich auf dem Client direkt die Route ein, kommt er auch auf die Seite.
Gruß
CK
Also keine Firewall.
Nur wegen einem anderen Gateway ( der 2000 Server), würde sich für den Client ja nicht eine Regel ändern, der bekommt ja nur seine Route.
Also keine Firewall, trage ich auf dem Client direkt die Route ein, kommt er auch auf die Seite.
Gruß
CK
Zitat von @dustend:
Also keine Firewall, trage ich auf dem Client direkt die Route ein, kommt er auch auf die Seite.
Das ist klar, dann hat er ja ne Route. Die Frage ist halt wie die IPFire mit ICMP Redirects umgeht, vielleicht hilft dir ja das: http://forum.ipfire.org/viewtopic.php?t=7863Also keine Firewall, trage ich auf dem Client direkt die Route ein, kommt er auch auf die Seite.
VG,
Thomas
Ok,danke, ich schaue mir das mal an.
Wenn ich mir aber die Logs anschaue, sehe ich, das die ipfire den Client zu dem Router/Seite verbindet, aber nirgends taucht ein
Drop/Reject auf.....
Wenn ich mir aber die Logs anschaue, sehe ich, das die ipfire den Client zu dem Router/Seite verbindet, aber nirgends taucht ein
Drop/Reject auf.....
Andere bessere Firewall verwenden... 
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Naja, das hilft mir aber nicht weiter....mittlerweile habe ich zuviel Arbeit da rein gesteckt, da möchte ich nicht schon wieder wechseln...und wer sagt mir, das es da nicht auch Probleme gibt....
Moin,
nachdem Du bei der ipfire ein redirect bekommst und bei der widnowskiste ncht, würde ich mal genauer schauen, wer den redirect schickt und was der Inhalt des redirects ist. Und ich würde nach der MAC-Adresse schauen, mit wem die Windows-Kiste redet und mit wem deien IP-Fire.
Vermutlich schickt irgendeine Router in deienr DMZ Dir einen redirect, dn die windowsKiste klaglos akzeptiert hat und die IP-Fire ignoriert, wie es eine Firewall sollte udn auch andere Kisten solten sowas nur in Ausnahmefällen zulassen.
Mein Rat also:
Suche nach der Ursache des redirects udn Du wirst fündig werden.
lks
nachdem Du bei der ipfire ein redirect bekommst und bei der widnowskiste ncht, würde ich mal genauer schauen, wer den redirect schickt und was der Inhalt des redirects ist. Und ich würde nach der MAC-Adresse schauen, mit wem die Windows-Kiste redet und mit wem deien IP-Fire.
Vermutlich schickt irgendeine Router in deienr DMZ Dir einen redirect, dn die windowsKiste klaglos akzeptiert hat und die IP-Fire ignoriert, wie es eine Firewall sollte udn auch andere Kisten solten sowas nur in Ausnahmefällen zulassen.
Mein Rat also:
Suche nach der Ursache des redirects udn Du wirst fündig werden.
lks
Ok, das klingt ja schon nach einer Lösung, aber:
der Client schickt die Anfrage zur IPfire, die IPfire löst den Namen auf und sagt dem Client, das diese Adresse im grünen Netz liegt und zwar bei dem
router 53.100.138.2. Somit geht es ab zu dem Router.
Warum sollte dann von der DMZ bzw ein Router raus der DMZ damit irgendetwas zu tun haben? In dieses Netzt wird doch überhaupt nicht geroutet?!
Oder verstehe ich hier was nicht?
der Client schickt die Anfrage zur IPfire, die IPfire löst den Namen auf und sagt dem Client, das diese Adresse im grünen Netz liegt und zwar bei dem
router 53.100.138.2. Somit geht es ab zu dem Router.
Warum sollte dann von der DMZ bzw ein Router raus der DMZ damit irgendetwas zu tun haben? In dieses Netzt wird doch überhaupt nicht geroutet?!
Oder verstehe ich hier was nicht?
Offensichtlich.
Also: Schau Dir die MAC-Adressen der Ip-Pakete an udn prüfe, ob das die richtien sind.
lks
PS: Nach Auswerten des ICMP-Redirects könntest Du dessen Inhalt als statische Route dem ipfire hinzufügen.
Hast du meinen Link ueberhaupt beachtet? Dort und in den dort verlinkten Seiten steht drin weas man machen muss um ICMP Redirects in der IPFire zu erlauben.
Ok, jetzt kommt ein bisschen Licht ins Dunkel und der zweite Link war mehr nach meinen Geschmack 
Ich muss dann nur sehen, wie ich das der ipfire beigebracht bekomme....bin halt mehr ein Windows Mensch.....mit Maus und Klick
Danke dafür!
Ich muss dann nur sehen, wie ich das der ipfire beigebracht bekomme....bin halt mehr ein Windows Mensch.....mit Maus und Klick
Danke dafür!
Nachdem ich jetzt mal den Proxy aktiviert habe, geht das Routing ohne Probleme...warum auch immer..Hauptsache es funktioniert.
Danke an alle!
Danke an alle!
