Portál AbcLinuxu, 12. července 2025 22:25


Dotaz: Nejde WWW rozhraní modemu. Chyba v IP nebo IPTABLES?

31.5.2006 17:26 Elfman | skóre: 7 | blog: Poprvé v Linuxu | Vamberk
Nejde WWW rozhraní modemu. Chyba v IP nebo IPTABLES?
Přečteno: 160×
Odpovědět | Admin
Zdravím, tak jsem tu zase o něco chytřejší, ale stále ne dostatečně.

Ve svém firewallu jsem postoupil tak, že už mi funguje alespoň ping z interní sítě na server a opačně, stejně tak vzdálená správa, ale mám jiný problém.

Doteď to fungovalo takto:

- dostali jsme od poskytovatele veřejnou adresu 194.108. atd.

- k tomu nějakou bránu 194.108. atd a masku 255.255.255.255

- ADSL modem má povolené routování, bridge a NAT a je připojen do switche jako normální počítač (Windows XP si ho našli jako bránu 192.168.1.1 (ale nic jsem jim nenastavoval), ostatní PC s Windows 98 nemají nastaveno nic, jen autodetekci, přesto to funguje).

Čeho bych chtěl teď dosáhnout:

- ADSL modem bude připojen na síťovou kartu na serveru (eth0)

- stanice jsou připojeny ke switchi stejně jako další síťová karta na serveru (eth1)

- na serveru běží NAT a firewall (a snad i router)

V čem je problém: - když na modemu vypnu NAT (což bude asi nutné), tak se na něj mohu normálně připojit z libovolného počítače, pokud je připojen přímo ke switchi. Ale tím radost končí. Jakmile modem připojím k eth0 na serveru (Linux), tak adresa 192.168.1.1 nefunguje.

Nevím, zda mám správně nastavený firewall (asi ano), ale i když ho vypnu (smažu všechna pravidla a u všeho dám ACCEPT politiku), tak se to chová stejně, takže bych viděl chybu spíše v routování (na tuto adresu nemůže ani server, natož stanice). V nastavení správce Sítě (Ubuntu) nemám žádné brány (ale i když tam byly, tak to nechodilo, navíc mi to neustále maže nastavení), vše nastavuji přes příkaz IP ROUTE ADD a VIA.

Skript firewall

Při tomto nastavení (veřejná IP)

192.168.1.1 via 194.108.143.X dev eth0

192.168.1.0/24 dev eth1 proto kernel scope link src 192.168.1.127

194.108.143.0/24 dev eth0 proto kernel scope link src 194.108.143.X

mi PING nenapíše nic. Když mám první řádek takto:

192.168.1.1 via 192.168.1.127 dev eth1

tak se mi vrátí odpověď od .1.127, že nemůže najít hosta. Toto je již trochu změněné nastavení, ještě tam při startu dávám routování na default přes IP adresu, ale právě že nevím, jakou. Obojí mi přijde jako nesmysl.

Stanice v síti mají adresy od 2 výše a server má poslední byte roven 127, jinak je všechno stejné (192.168.1.).

Nevíte prosím někdo, v čem by mohla být chyba? Také bych se chtěl zeptat, jakou adresu mám zadat do toho skriptu na nastavení firewallu pro EXTIP? Veřejnou, bránu od modemu ( 194.108.122.y) nebo samé 0 (default)? A proč je někde v nastavení EXTIP a někde EXTNET?

Předem mockrát děkuji za případné odpovědi.
Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

31.5.2006 21:17 Ladislav Jancik | skóre: 16 | Červený Kostelec
Rozbalit Rozbalit vše Re: Nejde WWW rozhraní modemu. Chyba v IP nebo IPTABLES?
Odpovědět | | Sbalit | Link | Blokovat | Admin
myslim ze na tom ADSL modemu mate zapnut DHCP server, a pokud ho pripojite na vas Server do eth0, musi vam DHCP server delat Server na eth1. A ta maska je 255.255.255.0.
Bolest je jen jiné území a strach, strach je neřest.
1.6.2006 07:05 Elfman | skóre: 7 | blog: Poprvé v Linuxu | Vamberk
Rozbalit Rozbalit vše Re: Nejde WWW rozhraní modemu. Chyba v IP nebo IPTABLES?
Takže bych ho měl v tom modemu vypnout? Ten myslím jen poskytuje adresy ostatním počítačům, pokud se nepletu... Zkoušel jsem projít nastavení, a jediné co jsem našel (Santis 150 Siemens Router) bylo toto:

Get LAN Address:

Manual

External DHCP Server

Internal DHCP Server

a já tam mám manual...

Maska pro 192.168.1.1 by měla být 255.255.255.0, ale když si dám WWW rozhraní modemu, tak mi tam píše něco takového:

ppp-0 PPPoA 194.108.143.X 255.255.255.255 194.108.122.Y aal5-0 8/48

Jestli to je maska veřejné adresy, tak jsem myslel, že jí mám zadat na nastavení karty eth0 (vnější). Pak je ale asi divné, jak se mám přes toto rozhraní dostat na modem s jinou maskou...

Jen bych si chtěl ujistit, že tedy směrovat musím opravdu přes moji veřejnou adresu jako bránu, abych se tam dostal? Ono totiž, když jsem to tak zkoušel, tak na modemu při pingu blikala kontrola, že přes něj nějaká data jdou, ale vůbec mi na ně neodpovídal (dokonce ani ping nenahlásil žádnou chybu nebo že by prostě vypršel limit).

A ve firewallu mám jako EXTIP zadat moji veřejnou nebo spíše 0.0.0.0, jako internet?

Myslím, že kdybych dostal modem do stavu, kdy by dělal jen bridge, tak by to možná chodilo (pokud bych měl správě routování na serveru), ale potíž je v tom, že při výpadku proudu se jeho nastavení resetuje (alespoň co se týče manuálně nastavené IP adresy), takže by ho bylo nutné nastavit znovu, a když se tam nedostanu, bylo by přeci nesmysl ho zase přepojovat do stanice, nebo resp. na vnitřní síťovou kartu serveru, kde modem chodí (ovšem server pak není server).
1.6.2006 10:25 Ladislav Jancik | skóre: 16 | Červený Kostelec
Rozbalit Rozbalit vše Re: Nejde WWW rozhraní modemu. Chyba v IP nebo IPTABLES?
A do jakeho stavu chcete dostat sit ? Melo by to vypadat takhle ?

sit PC -- switch -- eth1:server:eth0 -- LAN port:ADSL modem:WAN port -- internet


nebo spise takhle ?

sit PC -- switch -- eth1:server:eth0
.............switch -- LAN port:ADSL modem:WAN port -- internet


Bolest je jen jiné území a strach, strach je neřest.
1.6.2006 10:43 Elfman | skóre: 7 | blog: Poprvé v Linuxu | Vamberk
Rozbalit Rozbalit vše Re: Nejde WWW rozhraní modemu. Chyba v IP nebo IPTABLES?
Ten první. Modem by měl do sítě fyzicky přístup jedině přes server a obráceně.
1.6.2006 15:31 Ladislav Jancik | skóre: 16 | Červený Kostelec
Rozbalit Rozbalit vše Re: Nejde WWW rozhraní modemu. Chyba v IP nebo IPTABLES?
Takze na ADSL modemu vypnout vsechna automaticka nastaveni, napevno zadat jak WAN tak LAN IP adresu a dalsi udaje. Na serveru ( predpokladam nejaky linux :D ) rozjet DHCP server, NAT, IPtables atd. Pokud budes chtit nejak konfigurovat ADSL modem pres webove rozhrani z PC v siti, musis si na to udelat pravidlo do IPtables. V manualu k modemu by mel byt port, na kterem ADSL modem nasloucha - pozor, nektere modemy reaguji na port 80, ale potom bud zahajuji https komunikaci - port 443, nebo pouzivaji vlastni port. Toto musi byt zohledneno v pravidlech v IPtables.
Bolest je jen jiné území a strach, strach je neřest.
1.6.2006 18:11 Elfman | skóre: 7 | blog: Poprvé v Linuxu | Vamberk
Rozbalit Rozbalit vše Re: Nejde WWW rozhraní modemu. Chyba v IP nebo IPTABLES?
Co vím, tak na modemu jde nastavit jen toto (ON/OFF):

Bridge, NAT, DHCP, WAN2WAN. Všechno ostatní je vypnuté (NAT a DHCP jsem vypínal, ale teď už je to zase zapnuté), alespoň myslím (ten jsem si inteligentně asi něco provedl s heslem - uložil jsem v modemu konfiguraci a teď mi to nechce brát heslo správce, tedy resp. ho vezme, ale nenačte novou stránku. Nevím, co s tím zase je... to je ale den! Zkusím to na pár hodin vypnout a snad to ten prevít zapomene).

Je nutné na serveru rozjíždět DHCP server, když máme malou síť (cca. 5 stanic), které budou mít napevno přidělené adresy?

Teď jsem 4 hodiny trávil testy a zjistil jsem toto:

když připojím modem na eth1 (adresa 192.168.1.127), mohu pingnout i ten modem, i bránu, která je za ním. Dokonce se přes WWW rozhraní mohu dostat i na jeho konfiguraci (měl by to být port 80). I tak jsem se ale zatím nedostal na internet... (Firefox hlásí: spojení bylo odmítnuto). Ještě vyzkouším, jak mám nastavený ten firewall (NAT myslím obsahuje jen 4 řádky, tak tam snad není co zkazit - doufám).

Když ho připojím na eth0 (vnější síťovka, která není primární), tak konec. I když ve firewallu povolím všechno na ACCEPT, tak mi prostě neje ani ping. IP ROUTE bude nastavené asi dobře (mám tam DEFAULT VIA veřejná adresa + 192.168.1.1 via veřejná adresa, což je pro přístup na modem). Když dám pro kontrolu vyhodit (REJECT) všechny packety, co jdou na ETH0, tak PING hlásí chybu (zřejmě je směrován dobře, i na modemu bliká LAN dioda - když se pokouším pingnout bránu, tak bliká i ACK). Ale když dám všechno na ACCEPT (pro test), tak prostě zůstane viset (žádná chybová hláška nebo něco, prostě každou vteřinu odešle data, ale nic o tom nenapíše). Tipoval bych, že tady v tom případě koliduje aresa počítače s adresou WAN na modemu, mám pravdu?

Prosím se mnou o trpělivost...

Zatím díky a já s tím jdu zkusit něco udělat.
1.6.2006 19:15 phax7 | skóre: 34 | blog: PhaX_blog
Rozbalit Rozbalit vše Re: Nejde WWW rozhraní modemu. Chyba v IP nebo IPTABLES?
Nejsem síťář odborník, ale proč nevnést do debaty ještě kousek zmatku:)

Je nutné na serveru rozjíždět DHCP server, když máme malou síť (cca. 5 stanic), které budou mít napevno přidělené adresy?

Ne nutné to není - DHCP serveru by se prostě jen stanice dotazovaly na IP adresu, když ji zadáte ručně tak je to to samé. (totéž:)

Podle mě by byl základ aby vám "jel internet" na linuxu - funguje? Jestli jste to psal a já to nenašel tak se omlouvám... jestli vám bude fungovat tam tak pak není problém zapnout NAT a v podstatě je hotovo.
2.6.2006 07:21 Elfman | skóre: 7 | blog: Poprvé v Linuxu | Vamberk
Rozbalit Rozbalit vše Re: Nejde WWW rozhraní modemu. Chyba v IP nebo IPTABLES?
Tak to jsme dva :-)

No, abych to řekl takto: když překopu firewall tak, aby bral, že modem je na eth1 (vnitřní, a tam ho také připojím) a směroval internet tam, tak funguje jak modem (ping, rozhraní), tak i internet (ale v tom případě je server jen jako stanice, protože modem pak funguje jako DHCP i jako NAT, atd.), to jsem ještě nepsal (alespoň myslím). Potíž je, když ho dám na eth0. Tam pak nejde nic od modemu (včetně) dál.

Pokud pominu, že síťová karta eth0 funguje pouze jednosměrně (snad ne, je nová a údajně Linux compatible), a firewall nic nezadržuje (žádné DROP packety tam nevidím), tak možná dělá problémy to, že modem není plně vypnutý (funguje kromě bridge ještě jako něco dalšího), a má tudíž stejnou WAN adresu jako síťová karta na serveru, navíc jeho LAN adresa má jinou masku než ta síťovka, která jej volá.

Takže třeba on data dostane, ale pošle je na jinou WAN adresu. Nebo je to třeba tím, že ta síťovka má jako bránu počítač toho poskytovatele a ne modem, takže dotaz na 192.168.1.1 dojde k ISP a ten ho zahodí. Pak ale nechápu, proč nemohu pingnout ani tu bránu.

Možná, že kdybych na vnější síťové kartě nastavil např. adresu 192.168.1.129, a masku končící na 0, tak bych se dostal normálně na modem a i internet. Ale je tu jedna věc: pokud bych se tak k modemu dostal a nakonfiguroval ho jen jako bridge (bez adres, bez NATu, DHCP, firewallu), tak bych pak zase musel změnit LAN adresu eth0 na tu z WAN, abych se dostal zvenčí na server (to je také jediný důvod celé této snahy). To mi ale nepřijde jako moc standardní způsob (když budu chtít zase nastavit modem, tak bych zase musel měnit IP, masku i bránu?).

Možná, že by pomohlo, kdybych na tu vnější síťovou kartu vytvořil alias, který bude mít adresu jako v LAN a masku jako modem, a požadavky přímo na modem směrovat na tuto adresu, zatímco požadavky na internet na tu veřejnou.

Můj problém bude asi v tom, že ten modem je stylem "proč to dělat jednoduše, když to jde složitě". Jde vypnout všechno kromě routování. Nebo je dost složité se k němu dostat. Přijde mi ale zvláštní, že pokud modem hlásí, že routuje a bridguje současně, že se nejde pingnout ani na počítače za ním, což by snad u bridge mělo jít (resp., když pingnu např. bránu, tak se zdá, že po lince přicházejí odpovědi ACK, ale už se nedostanou ani na moji síťovku - tady to bude asi fakt kolize adres, že ty odpovědi "sežere" WAN rozhraní modemu?).

Přiznám se, že v tom mám trochu nepořádek.
2.6.2006 08:30 Ladislav Jancik | skóre: 16 | Červený Kostelec
Rozbalit Rozbalit vše Re: Nejde WWW rozhraní modemu. Chyba v IP nebo IPTABLES?
Bridge na ADSL modemu vypnete. Eth0 musi mit jinou IP adresu nez ADSL modem. V podstate udelate dve site - 1. sit mezi ADSL modemem a serverem, 2. sit mezi serverem a ostatnimi PC. Tyto site musi mit rozdilne IP adresy (treba sit 1 - 192.168.1.x a sit 2 - 192.168.2.x).
Bolest je jen jiné území a strach, strach je neřest.
2.6.2006 09:07 Elfman | skóre: 7 | blog: Poprvé v Linuxu | Vamberk
Rozbalit Rozbalit vše Re: Nejde WWW rozhraní modemu. Chyba v IP nebo IPTABLES?
A bude pak fungovat přístup na server z venčí? Nechci tam zatím zřizovat WWW nebo něco takového, ale mám jen jeden databázový program, který umožňuje připojení přes TCP a chtěl bych, aby se k němu dalo dostat i mimo LAN zvenčí...

Když bych to udělal takto, tak bych měl rozhraní nastavené asi nějak takhle?:

eth1: 192.168.1.127, mask: 255.255.255.0, gw: 192.168.2.127 eth0: 192.168.2.127, mask: 255.255.255.0, gw: 192.168.1.1 modem-lan: 192.168.1.1, mask: 255.255.255.0 modem-wan: 194.108.143.X, mask: 255.255.255.255, gw: 194.108.122.Y

a na serveru by pak bylo nastaveno:

ip route add 192.168.2.1 via 192.168.2.127 ip route add default via 192.168.2.127 ip route add 192.168.1.0 via 192.168.1.127

A když se pak bude chtít někdo připojit na server z WAN, tak když zadá adresu 194.108.143.X, tak se dostane ale jen na modem, ne? Asi to moc nechápu :-(
2.6.2006 12:26 Ladislav Jancik | skóre: 16 | Červený Kostelec
Rozbalit Rozbalit vše Re: Nejde WWW rozhraní modemu. Chyba v IP nebo IPTABLES?
Ano, bude. ADSL modem by mel umet NAT a tudiz pokud budu pristupovat na IP adresu WAN (194.....:port 80) presmeruje tento pozadavek na LAN kartu serveru 192.168......:port 80. Mozna by to chtelo si neco malo precist o sitich, IP protokolech, NAT, routingu atd. Dobra je kniha Velky pruvodce TCP/IP a systemem DNS, prip. Velky pruvodce TCP/IP a bezpecnost.
Bolest je jen jiné území a strach, strach je neřest.
2.6.2006 16:40 Elfman | skóre: 7 | blog: Poprvé v Linuxu | Vamberk
Rozbalit Rozbalit vše Re: Nejde WWW rozhraní modemu. Chyba v IP nebo IPTABLES?
Děkuji. Zřídil jsem dvě sítě přesně podle Vašeho návodu a nyní mohu ze serveru do Internetu. Mohu pingnout také celou síť. Potíže jsou se stanicemi. Nastavil jsem u nich bránu eth1, a pevnou adresu, ale pingnout mohu jen modem, a přes WWW rozhraní se dostanu max. na 192.168.1.1, což je nastavení modemu (takže to projde přes obě síťové karty správně). Teď nevím, co mám ještě špatně. Nemůže vadit, že má modem vlastní NAT?

Když vypnu NAT na modemu, tak se do Internetu nedostane ani server. Když ho nechám zapnutý a vypnu kompletně NAT na serveru, tak se tam také nedostane nikdo. Když vypnu maškarádu pro stanice, ale NAT na serveru zapnu, tak se tam server dostane, ale stanice stále ne.

Každopádně, ať je maškaráda zapnutá nebo ne, stanice se prostě do internetu nedostanou. Používám pro ni toto pravidlo:

$IPT -t nat -A POSTROUTING -o $EXTIF -s $INTNET -j MASQUERADE

Nebo mi tady chybí ještě nějaké jiné pravidlo, když tu jsou vlastně dva NATy?
5.6.2006 16:30 Elfman | skóre: 7 | blog: Poprvé v Linuxu | Vamberk
Rozbalit Rozbalit vše Re: Nejde WWW rozhraní modemu. Chyba v IP nebo IPTABLES?
Už to funguje. Měl jsem chybu v pravidlech firewallu.

Díky moc všem za pomoc!

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.