Re: Kein Internet über GL-Inet AR-150
Fabian Bläse
fabian at blaese.de
Sa Jul 7 19:55:17 CEST 2018
Hallo Jens,
Im Screenshot sieht soweit alles richtig aus.
> On 7. Jul 2018, at 16:46, jm-hof at gmx.eu wrote:
>
> Allerdings funktioniert ein Ping vom verbundenen Laptop nicht:
>
> # ping 9.9.9.9
> PING 9.9.9.9 (9.9.9.9) 56(84) bytes of data.
> From 10.50.16.2 icmp_seq=1 Destination Port Unreachable
> From 10.50.16.2 icmp_seq=2 Destination Port Unreachable
> ^C
> --- 9.9.9.9 ping statistics ---
> 2 packets transmitted, 0 received, +2 errors, 100% packet loss, time 1001ms
Die Fehlermeldung:
Das Paket kommt bis zum Router [Gateway] mit der IP 10.50.16.2.
Von diesem bekommst du ICMP-Fehler, weil er das Ziel nicht erreichen kann.
Warum bekommst du eine Fehlermeldung:
Für den Betrieb eines Knotens ist die Angabe von Koordinaten nötig, damit der Router einer “Hood” zugeordnet werden kann.
Das Gateway der Standard-Hood (da kommt man rein, wenn man keine Koordinaten einträgt) hat bewusst keinen Internetzugriff und sendet daher ICMP-Errors, wenn es aus dem FFF-Netz raus geht.
> Bei der Fehlersuche ist mir dann folgendes aufgefallen:
> root at FFF-HO-Kloesterleinsweg-JM01:~# cat /proc/sys/net/ipv4/ip_forward
> 0
Das muss [sollte] für einen “normalen” Knoten so sein.
Im aktuellen Aufbau ist ein Knoten eigentlich gar kein Router, sondern nur ein sagen wir etwas aufgeblasener Switch.
Eine Hood ist dann das komplette Layer2-Netz.
Daher muss der Knoten auch gar nicht Routen, sondern nur die Pakete entsprechend “switchen”, dafür muss IP-Forwarding nicht an sein. (IP ist auf Layer2 ja nur die Payload)
> Und beim Paketfilter fehlt mir irgendwie der MASQUERADE-Eintrag:
> root at FFF-HO-Kloesterleinsweg-JM01:~# iptables -L
> Chain INPUT (policy ACCEPT)
> target prot opt source destination
> ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED
> REJECT all -- anywhere anywhere reject-with icmp-port-unreachable
>
> Chain FORWARD (policy ACCEPT)
> target prot opt source destination
> TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU
>
> Chain OUTPUT (policy ACCEPT)
> target prot opt source destination
Entsprechend macht der Knoten auch kein NAT.
NAT wird in unserem Netzaufbau für IPv4 erst auf dem Router/Gateway gemacht, was die Pakete dann tatsächlich ins Internet bringt.
Entsprechend macht ein Knoten im Netz auch kein DNS, kein DHCP, … usw.
Wenn du noch Fragen hast (oder vielleicht sogar Lust und Zeit hast, einen “richtigen” Router im FFF-Netz zu betreiben, siehe [1]) , gerne Fragen.
Gruß
Fabian
[1] https://wiki.freifunk-franken.de/w/Dezentrale_Hood
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : signature.asc
Dateityp : application/pgp-signature
Dateigröße : 833 bytes
Beschreibung: Message signed with OpenPGP
URL : <http://lists.freifunk.net/mailman/private/franken-freifunk.net/attachments/20180707/a49493c9/attachment.sig>
Mehr Informationen über die Mailingliste franken