[Freifunk Franken] DNS hinter Firewall

[Christian Dresel]

hi


> Doe <gilgamesch at moneymail.de> hat am 11. August 2016 um 18:17 geschrieben:
> 
> Hallo Robert,
> 
> > wie ist denn dein Setup? Du hast den 192.168.178.1 als Gateway
> eingetragen.
> > Läuft da auch die Firewall? Oder ist es komplexer?
> 
> Nein, leider komplexer. Der 192.168.178.1 ist nur ein Port an der FW.
> 
> >
> > icmp ist erlaubt, kannst du ins Internet pingen z.B. 8.8.8.8?
> 
> Die Firewall sagt, der ping geht durch. Aber keine Antwort.

also wenn du am Router selbst per ssh 8.8.8.8 pingst bekommst du keine Antwort
aber lt. Firewall geht der Ping durch? Dann ist auf jeden Fall hier schon ein
Problem, es muss eine Antwort zum Router zurück kommen, damit er "merkt" das er
WAN hat und das fastd Script startet

> 
> Ich probiere mal den ping in meine hood:
> ping 10.50.104.1
> 100% loss

wo hast du das probiert? Am Router selbst kannst du keine 10er IPs pingen da der
Router selbst keine 10er IP hat. Dies geht nur an einem Endgerät das am Router
angeschlossen ist und auch nur dann wenn du im Freifunknetz bist und dein
Endgerät eine 10er IP bekommen hat von einen DHCP Server.

> 
> Den blockt die Firewall, sehe ich gerade... hmmm.... Also keine
> Verbindung ins FFF-Netz.

Da die 10er IP dann durch das fastd-VPN getunnelt werden (Port 10.000 bis
10.100) ist das der Firewall egal solang der Tunnel aufgebaut werden kann. Wie
gesagt der Router hat eh keine 10er IP und kann auch selbst keine 10er IPs
pingen.


> 
> > der resolver. Kontrolle: cat /etc/resolve.conf Was steht denn da drin?
> 
> # Interface wan
> Nameserver 192.168.178.1 (oder halt 8.8.8.8 oder was auch immer ich eingebe)
> 
> >
> > Wenn das jetzt alles passt und die Firewall dns raus lässt, kann es
> noch sein,
> > dass die Antwort vom DNS nicht ankommt.
> 
> Ja, das habe ich auch schon vermutet. Aber nachdem der ping ins FFF-Netz
> auch nicht geht, habe ich ein grundlegendes Problem. Der ins Internet
> geht zwar auch nicht, wird aber nicht von der Firewall geblockt...
> 
> Mir geht's darum, den Fehler zu finden, um in der Firewall die richtigen
> Einstellungen freischalten zu lassen. Das darf ich leider nicht selbst,
> sonst könnte man try & error versuchen... Aber der Dienstleister weiß
> von Freifunk leider zu wenig.

Du brauchst folgendes:
- ICPM damit überhaupt pingen geht und der Router merkt das er WAN hat (ping
8.8.8.8 muss am Router eine Antwort liefern)
- DNS weil auch ein DNS Name angepingt wird und der keyxchange per DNS abgefragt
wird (ping Google.de muss am Router eine Antwort liefern, ich weiß gerade
auswendig nicht den DNS vom keyxchange der muss natürlich auch beantwortet
werden, ganz eklig kann man das fastd Startscript auf IP umbauen und kann sich
den DNS sparen macht aber bei Updates nur Probleme und wenn sich mal aus welchen
Gründen auch immer die IP vom keyxchange ändert ist das auch kacke ;)).
- Port 10.000-10.100 UDP weil da dazwischen irgendwo der fastd Tunnel aufgebaut
wird.

Wenn das alles sicher durch die Firewall durch geht, sollte das ganze eigentlich
klappen. Wenn eins von den genannten Sachen nicht funktioniert, funktioniert
auch Freifunk nicht da er keinen VPN Tunnel (fastd) aufbaut. Also die Punkte
Schritt für Schritt prüfen und wo es scheitert liegt es dann an der
Firewall/Netzwerksettings(feste IP/Private Gatewayip/DNS etc.).

mfg

Christian

> 
> Matthias
> 
> _______________________________________________
> franken mailing list
> franken at freifunk.net
> http://lists.freifunk.net/mailman/listinfo/franken-freifunk.net