Ich verzweifele EFW Konfig

    Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

    • Ich verzweifele EFW Konfig

      Hallo Leute !

      Als erstes sage ich mal Hallo als Neuling und bin heilfroh, dass es dieses Forum gibt bei dem ich hoffentlich hilfe finden kann.
      Vornweg: Ich bin kein Linux-Profi obwohl ich mich schon recht gut damit zurecht finde.

      Also ich habe einen C'T Server 3 aufgesetzt welcher auch Debian etch 4.04 (glaube ich) basiert. All das was die efw so an Möglichkeiten bietet hat mich derart fasziniert, dass ih das Teil unbedingt zum Laufen bringen will - allerdings will die efw nicht so wie ich.
      Der Server installiert von Anfang an XEN und euch endian als DomU.

      Bisher habe ich einen T-Com-Router Speedport 900V welcher die Adresse 192.168.172.254 hat und dementsprechend ist mein Netz die 192.168.172.0/24.

      Die Installation der efw funktioniert soweit (meines Erachtens) problemlos. Ich komme dann auch die Konfig-Seite. Der Rechner mit der efw hat 2 Netzwerkkarten. Und nun wollte ich die efw genau zwischen dem Speedport-Router und meinem internen Netzwerk hängen - so sollte es ja auch sein.

      Beim Setup des C'T-Server habe ich folgende Angaben gemacht. IP des Servers: 192.168.172.2 (.1 ist schon belegt) Gateway 192.168.172.6 (interne Adresse der efw).

      Nun erreiche ich nach der Installation auch ganz unproblematisch unter der 192.168.172.6 die Erstkonfiguration der efw.
      Für das GRÜNE Netz habe ich die 192.168.172.6 übernommen - soll aber später auf 254 umgestellt werden damit die "routende Einheit" wieder für die Clients an der gewohnten Adresse zu finden ist. Für das ROTE Netz habe ich die DHCP aktiviert und musste somit kein Gateway und kein DNS angeben. Den Speedport habe ich zuvor auf 192.168.1.254 geändert und DHCP für Clients aktiviert.

      Mit diesen Angaben steht dann im Systemstatus der efw immer dass die Verbindung aufgebaut werden würde, aber es schafft es einfach nicht eine Adresse per DHCP vom Router zu ziehen - jeder andere Client den ich an den Speedport hänge ist in der Lage eine Adresse zu ziehen.

      Nun gut - also habe ich die efw von DHCP auf static Ethernet umgestellt und folgende Werte eingegeben: Adresse 192.168.1.1/24 GW 192.168.1.254 DNS1/2 192.168.1.254.

      Danach zeigt die Systemübersicht die Verbindung als aufgebaut an, allerdings kann ich selbst von der Console der efw den Router nicht anpingen. Die Schnittstelle 192.168.1.1 meldet die Adresse 192.168.1.254 als uneachable, was ich seltsam finde angesichts der tatsache, dass sich diese Adresse zm einen im selben Netz befindet und zum anderen direkt an der Schnittstelle hängt !

      Kann sich jemand einen Reim darauf machen? Ich bin am Ende

      Vielen Dank im Voraus

      Viele Grüße
      Peter

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von pgr69 ()

    • Re: Ich verzweifele EFW Konfig

      Hallo Peter,
      willkommen an Board :)


      zu deinem Problem:

      Der Speedport hat die 192.168.172.254
      Weiter unten schreibst du das du der EFW Static IP gegeben hast (Adresse 192.168.1.1/24 GW 192.168.1.254)

      Wenn das ROTE Interface an den Speetport kommt sollte das schon im selben Netzwerk sein.

      Auf dem GRÜNEN Interface solltest d dann eine anderes Segment nehmen z.b. 192.168.1.x

      Aber die IP Adresse zwischen Speedport und EFW ROT Interface müssen im selben Segment sein damit das klappt.

      Prinzipiell bin ich kein Freund von Virtuellen Firewalls wie es in dem CT Server der fall ist, das System kann in dem fall ja noch mehr.
      Wenn dann eher eine Dedizierte Firewall ganz alleine auf dem System.

      gruß

      freaky-media
      Kein Support per PN dafür ist das Forum da.
      Preisanfragen via PN möglich oder über freaky-media
    • Re: Ich verzweifele EFW Konfig

      Hi !

      Ich weiß - mein Text war relativ lang und vielleicht hast Du deshalb übersehen, dass ich geschrieben habe, dass der Speedport auf die 192.168.1.254 geändert wurde. Wenn ich nicht alle Clients ändern will dann muss ich ja die IP des Speedport ändern und der efw intern die IP geben die ursprünglich der Speedport hatte.

      Also im Betrieb mit efw:
      Speedport 192.168.1.254
      efw-ROT: 192.168.1.1
      efw-grün: 192.168.172.254
      Clients: 192.168.172.0/24

      Ohne efw:
      Speedport: 192.168.172.254
      Clients: 192.168.172.0/24

      Weiter unten noch die Ausgabe des ifconfig der efw
      Der ct debian Server gibt folgendes aus bei ifconfig:
      xserver:~# ifconfig
      dmz Protokoll:Ethernet Hardware Adresse 00:00:00:00:00:00
      inet6 Adresse: fe80::200:ff:fe00:0/64 G?ltigkeitsbereich:Verbindung
      UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
      RX packets:0 errors:0 dropped:0 overruns:0 frame:0
      TX packets:6 errors:0 dropped:0 overruns:0 carrier:0
      Kollisionen:0 Sendewarteschlangenl?nge:0
      RX bytes:0 (0.0 b) TX bytes:468 (468.0 b)

      eth0 Protokoll:Ethernet Hardware Adresse 00:1B:21:11:74:EA
      inet6 Adresse: fe80::21b:21ff:fe11:74ea/64 G?ltigkeitsbereich:Verbindung
      UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
      RX packets:15660 errors:0 dropped:0 overruns:0 frame:0
      TX packets:5776 errors:0 dropped:0 overruns:0 carrier:0
      Kollisionen:0 Sendewarteschlangenl?nge:1000
      RX bytes:2201024 (2.0 MiB) TX bytes:1268968 (1.2 MiB)
      Basisadresse:0xd800 Speicher:fe8e0000-fe900000

      eth1 Protokoll:Ethernet Hardware Adresse 00:24:21:25:31:26
      UP BROADCAST MULTICAST MTU:1500 Metric:1
      RX packets:8971 errors:0 dropped:1171734707878 overruns:0 frame:0
      TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
      Kollisionen:0 Sendewarteschlangenl?nge:1000
      RX bytes:1341418 (1.2 MiB) TX bytes:0 (0.0 b)
      Interrupt:18 Basisadresse:0x8000

      extern Protokoll:Ethernet Hardware Adresse 00:24:21:25:31:26
      inet6 Adresse: fe80::224:21ff:fe25:3126/64 G?ltigkeitsbereich:Verbindung
      UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
      RX packets:924 errors:0 dropped:0 overruns:0 frame:0
      TX packets:6 errors:0 dropped:0 overruns:0 carrier:0
      Kollisionen:0 Sendewarteschlangenl?nge:0
      RX bytes:33316 (32.5 KiB) TX bytes:468 (468.0 b)

      intern Protokoll:Ethernet Hardware Adresse 00:1B:21:11:74:EA
      inet Adresse:192.168.172.2 Bcast:192.168.172.255 Maske:255.255.255.0
      inet6 Adresse: fe80::21b:21ff:fe11:74ea/64 G?ltigkeitsbereich:Verbindung
      UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
      RX packets:7760 errors:0 dropped:0 overruns:0 frame:0
      TX packets:2364 errors:0 dropped:0 overruns:0 carrier:0
      Kollisionen:0 Sendewarteschlangenl?nge:0
      RX bytes:1436430 (1.3 MiB) TX bytes:208165 (203.2 KiB)

      lo Protokoll:Lokale Schleife
      inet Adresse:127.0.0.1 Maske:255.0.0.0
      inet6 Adresse: ::1/128 G?ltigkeitsbereich:Maschine
      UP LOOPBACK RUNNING MTU:16436 Metric:1
      RX packets:10614 errors:0 dropped:0 overruns:0 frame:0
      TX packets:10614 errors:0 dropped:0 overruns:0 carrier:0
      Kollisionen:0 Sendewarteschlangenl?nge:0
      RX bytes:114772650 (109.4 MiB) TX bytes:114772650 (109.4 MiB)

      vif1.0 Protokoll:Ethernet Hardware Adresse FE:FF:FF:FF:FF:FF
      inet6 Adresse: fe80::fcff:ffff:feff:ffff/64 G?ltigkeitsbereich:Verbindung
      UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
      RX packets:6085 errors:0 dropped:0 overruns:0 frame:0
      TX packets:11496 errors:0 dropped:3 overruns:0 carrier:0
      Kollisionen:0 Sendewarteschlangenl?nge:32
      RX bytes:1229521 (1.1 MiB) TX bytes:1815879 (1.7 MiB)

      vif1.1 Protokoll:Ethernet Hardware Adresse FE:FF:FF:FF:FF:FF
      inet6 Adresse: fe80::fcff:ffff:feff:ffff/64 G?ltigkeitsbereich:Verbindung
      UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
      RX packets:924 errors:0 dropped:0 overruns:0 frame:0
      TX packets:4 errors:0 dropped:2 overruns:0 carrier:0
      Kollisionen:0 Sendewarteschlangenl?nge:32
      RX bytes:33316 (32.5 KiB) TX bytes:300 (300.0 b)

      wlan Protokoll:Ethernet Hardware Adresse 00:00:00:00:00:00
      inet6 Adresse: fe80::200:ff:fe00:0/64 G?ltigkeitsbereich:Verbindung
      UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
      RX packets:0 errors:0 dropped:0 overruns:0 frame:0
      TX packets:6 errors:0 dropped:0 overruns:0 carrier:0
      Kollisionen:0 Sendewarteschlangenl?nge:0
      RX bytes:0 (0.0 b) TX bytes:468 (468.0 b)


      Ausgabe efw ifconfig
      br0 Link encap:Ethernet HWaddr 00:16:3E:33:A1:00
      inet addr:192.168.172.254 Bcast:192.168.172.255 Mask:255.255.255.0
      UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
      RX packets:8534 errors:0 dropped:0 overruns:0 frame:0
      TX packets:2267 errors:0 dropped:0 overruns:0 carrier:0
      collisions:0 txqueuelen:0
      RX bytes:1339290 (1.2 MiB) TX bytes:365005 (356.4 KiB)

      eth0 Link encap:Ethernet HWaddr 00:16:3E:33:A1:00
      UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
      RX packets:8548 errors:0 dropped:0 overruns:0 frame:0
      TX packets:2276 errors:0 dropped:0 overruns:0 carrier:0
      collisions:0 txqueuelen:1000
      RX bytes:1341595 (1.2 MiB) TX bytes:366311 (357.7 KiB)

      eth1 Link encap:Ethernet HWaddr 00:16:3E:69:48:A4
      inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
      UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
      RX packets:0 errors:0 dropped:0 overruns:0 frame:0
      TX packets:730 errors:0 dropped:0 overruns:0 carrier:0
      collisions:0 txqueuelen:1000
      RX bytes:0 (0.0 b) TX bytes:30660 (29.9 KiB)

      lo Link encap:Local Loopback
      inet addr:127.0.0.1 Mask:255.0.0.0
      inet6 addr: ::1/128 Scope:Host
      UP LOOPBACK RUNNING MTU:16436 Metric:1
      RX packets:1327 errors:0 dropped:0 overruns:0 frame:0
      TX packets:1327 errors:0 dropped:0 overruns:0 carrier:0
      collisions:0 txqueuelen:0
      RX bytes:113373 (110.7 KiB) TX bytes:113373 (110.7 KiB)
    • Re: Ich verzweifele EFW Konfig

      Huch ok doch überlesen ... :)

      wenn du

      Speedport ( 192.168.1.254 ) ==> efw rot ( 192.168.1.1) || <== efw grün (192.168.172.254 ) == Client ( 192.168.172.x )

      wenn du ein tracert auf einem Client absetzt auf die 192.168.1.254 wie weit kommst du ?
      wenn du auf der Console bist an der efw kannst du ein ping auf die 192.168.1.254 schicken?

      gruß

      freaky-media
      Kein Support per PN dafür ist das Forum da.
      Preisanfragen via PN möglich oder über freaky-media
    • Re: Ich verzweifele EFW Konfig

      Hi !

      ich habe den Router jetzt wieder im Normalbetrieb, kann erst später wieder testen, aber es war so, dass ich (wie schon im ersten Text beschrieben) von der console der efw den Router (der ja direkt an der entsprechenden Schnittstelle der efw hängt) nicht pingen kann. Ich glaube "unreachable" kommt dann.
      Der traceroute bleibt dann auch auf der 192.168.1.1 hängen.

      Was mich stutzig macht ist die tatsache das die efw per DHCP keine Adresse vom Router ziehen kann. Ich glaube der schickt die Daten auf ein falsches Interface oder so. der ct-server als Dom0 richtet ja die Netzwerke intern und extern ein. Intern geht alles. die efw arbeitet dann noch mit einer br0 (bridge). Und ich denke da ist irgendwo der Hase begraben ! Ich habe von derartigen Netzwerkkonstrukten unter Linux keine ahnung. Mit normalen Netzwerkkonfigs in /etc/network/interfaces habe ich keinen stress, aber da steht ja jetzt eine Menge kram drin, bei dem ich nur vermuten kann was er da macht.

      Grüße
    • Re: Ich verzweifele EFW Konfig

      villeicht ist das Problem der CT Server der da irgend was mit den IFs anstellt.
      zieh dir doch das iso von endian direkt ohne CT Server in der version 2.2 endian.com / download und installier doch das mal.

      und versuch es dann erneut dann merkst ja wo das problem liegt.

      gruß

      freaky-media
      Kein Support per PN dafür ist das Forum da.
      Preisanfragen via PN möglich oder über freaky-media
    • Re: Ich verzweifele EFW Konfig

      Wie schon gelöst? jetzt wollte ich grade auch mal meine Senf dazu abgeben. ;)

      PS das Update auf die 2.2 version der endian klappt Problemlos nur dran denke per ssh einloggen nicht per xm console endian.
      Albert Einstein:
      Zwei Dinge sind unendlich, das Universum und die menschliche Dummheit, aber bei dem Universum bin ich mir noch nicht ganz sicher.