Re: Kein Internet über GL-Inet AR-150

Fabian Bläse fabian at blaese.de
Sa Jul 7 19:55:17 CEST 2018 

Hallo Jens,

Im Screenshot sieht soweit alles richtig aus.

> On 7. Jul 2018, at 16:46, jm-hof at gmx.eu wrote:
> 
> Allerdings funktioniert ein Ping vom verbundenen Laptop nicht:
> 
> # ping 9.9.9.9
> PING 9.9.9.9 (9.9.9.9) 56(84) bytes of data.
> From 10.50.16.2 icmp_seq=1 Destination Port Unreachable
> From 10.50.16.2 icmp_seq=2 Destination Port Unreachable
> ^C
> --- 9.9.9.9 ping statistics ---
> 2 packets transmitted, 0 received, +2 errors, 100% packet loss, time 1001ms

Die Fehlermeldung:
Das Paket kommt bis zum Router [Gateway] mit der IP 10.50.16.2.
Von diesem bekommst du ICMP-Fehler, weil er das Ziel nicht erreichen kann.

Warum bekommst du eine Fehlermeldung:
Für den Betrieb eines Knotens ist die Angabe von Koordinaten nötig, damit der Router einer “Hood” zugeordnet werden kann.
Das Gateway der Standard-Hood (da kommt man rein, wenn man keine Koordinaten einträgt) hat bewusst keinen Internetzugriff und sendet daher ICMP-Errors, wenn es aus dem FFF-Netz raus geht.


> Bei der Fehlersuche ist mir dann folgendes aufgefallen:
> root at FFF-HO-Kloesterleinsweg-JM01:~# cat /proc/sys/net/ipv4/ip_forward
> 0

Das muss [sollte] für einen “normalen” Knoten so sein.
Im aktuellen Aufbau ist ein Knoten eigentlich gar kein Router, sondern nur ein sagen wir etwas aufgeblasener Switch.
Eine Hood ist dann das komplette Layer2-Netz.
Daher muss der Knoten auch gar nicht Routen, sondern nur die Pakete entsprechend “switchen”, dafür muss IP-Forwarding nicht an sein. (IP ist auf Layer2 ja nur die Payload)

> Und beim Paketfilter fehlt mir irgendwie der MASQUERADE-Eintrag:
> root at FFF-HO-Kloesterleinsweg-JM01:~# iptables -L
> Chain INPUT (policy ACCEPT)
> target     prot opt source               destination
> ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
> REJECT     all  --  anywhere             anywhere             reject-with icmp-port-unreachable
> 
> Chain FORWARD (policy ACCEPT)
> target     prot opt source               destination
> TCPMSS     tcp  --  anywhere             anywhere             tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU
> 
> Chain OUTPUT (policy ACCEPT)
> target     prot opt source               destination

Entsprechend macht der Knoten auch kein NAT.
NAT wird in unserem Netzaufbau für IPv4 erst auf dem Router/Gateway gemacht, was die Pakete dann tatsächlich ins Internet bringt.

Entsprechend macht ein Knoten im Netz auch kein DNS, kein DHCP, … usw.

Wenn du noch Fragen hast (oder vielleicht sogar Lust und Zeit hast, einen “richtigen” Router im FFF-Netz zu betreiben, siehe [1]) , gerne Fragen.

Gruß
Fabian

[1] https://wiki.freifunk-franken.de/w/Dezentrale_Hood
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 833 bytes
Beschreibung: Message signed with OpenPGP
URL         : <http://lists.freifunk.net/mailman/private/franken-freifunk.net/attachments/20180707/a49493c9/attachment.sig>

Mehr Informationen über die Mailingliste franken