Debian, Verbindung erst nach Defaultgateway Ping

[FoxCore]

Hallo miteinander,

ich habe ein Problem. Nun zuerst zu der Infrastruktur:

Router, IP: 192.168.1.1/24
IPCop Firewall, IP extern: 192.168.1.2/24, IP intern: 172.16.100.1/16
Clients, IP: 172.16.10.x/16
Debian Server, IP: 172.16.100.2/16
Debian Server, IP: 172.16.100.3/16

Die Debian-Server und die Firewall laufen in VMWare auf einem Server mit der IP-Adresse 172.16.100.10/16. DNS und DHCP laufen über die IPCop Firewall.

So nun zu dem Problem: Wenn ich mit den beiden Debian-Servern versuche nach aussen zu pingen, funktioniert dies nicht. Ich kann sowohl auf IP, als auch auf FQDN pingen, aber ich bekomme keine Antwort. Sobald ich aber einmal auf die Firewall gepingt habe, funktioniert es alles. Dies ist aber nur mit den beiden Debian-Servern, welche feste IP's haben. Die Clients, die teilweise feste, teilweise Adressen vom DHCP beziehen, funktionieren aber einwandfrei. Ich habe einmal eine alte Version der Firewall ins Netz gehängt, mit der früher keine Probleme eintraten, aber das selbe Problem. Ich nehme an, es liegt an der Konfiguration der Debian Server.

simon@srv-03:~$ [B][COLOR="DarkRed"]ping www.google.ch[/COLOR][/B]
ping: unknown host www.google.ch
simon@srv-03:~$ [B][COLOR="DarkRed"]ping 216.239.59.104[/COLOR][/B]
PING 216.239.59.104 (216.239.59.104) 56(84) bytes of data.

--- 216.239.59.104 ping statistics ---
431 packets transmitted, 0 received, 100% packet loss, time 430640ms

simon@srv-03:~$[B][COLOR="DarkRed"] ping 192.168.1.1[/COLOR][/B]
PING 192.168.1.1 (192.168.1.1) 56(84) bytes of data.

--- 192.168.1.1 ping statistics ---
9 packets transmitted, 0 received, 100% packet loss, time 8013ms

simon@srv-03:~$[B][COLOR="Green"] ping 172.16.100.1[/COLOR][/B]
PING 172.16.100.1 (172.16.100.1) 56(84) bytes of data.
64 bytes from 172.16.100.1: icmp_seq=1 ttl=64 time=0.184 ms
64 bytes from 172.16.100.1: icmp_seq=2 ttl=64 time=0.152 ms
64 bytes from 172.16.100.1: icmp_seq=3 ttl=64 time=0.254 ms

--- 172.16.100.1 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2001ms
rtt min/avg/max/mdev = 0.152/0.196/0.254/0.045 ms
simon@srv-03:~$ [B][COLOR="Green"]ping www.google.ch[/COLOR][/B]
PING google.ch (72.14.221.104) 56(84) bytes of data.
64 bytes from fg-in-f104.google.com (72.14.221.104): icmp_seq=1 ttl=241 time=38.4 ms
64 bytes from fg-in-f104.google.com (72.14.221.104): icmp_seq=2 ttl=241 time=38.0 ms
64 bytes from fg-in-f104.google.com (72.14.221.104): icmp_seq=3 ttl=241 time=37.0 ms

--- www.google.ch ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2008ms
rtt min/avg/max/mdev = 37.087/37.887/38.497/0.632 ms
simon@srv-03:~$

Hier die IP-Konfiguration vom 2. Debian-Server:

/etc/network/interfaces

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth0
iface eth0 inet static
	address 172.16.100.3
	netmask 255.255.0.0
	network 172.16.0.0
	broadcast 172.16.255.255
	gateway 172.16.100.1
	dns-nameservers 172.16.100.1
	dns-search thedoor.local

Was könnte ich falsch gemacht haben?

Gruss

 

[mensch183]

Sehe nichts falsch konfiguriertes. Untersuche den Fehlerfall, also den nicht zurückkommenden "ping 216.239.59.104" am Anfang näher. Dazu mit tcpdump o.ä. erst auf dem internen und wenn da alles geht auch auf dem externen interface der firewall prüfen, wie weit der Ping tatsächlich kommt. Du hast die ersten beiden Hops voll unter deiner Kontrolle. Also kannst du dort feststellen, wo _genau_ der ping (oder seine antwort "pong") verloren geht.

Beim Ping-Versuch müßtest du ganz am Anfang einen ARP-Request + ARP-Reply zwischen Debian-Server und Firewall sehen. Funktioniert das? Bzw. steht in der ARP-Tabelle des Debian-Servers (arp -an) bereits der Eintrag für die 172.16.100.1. korrekt drin? Die ARP-Tabelle auf der Firewall ist ebenfalls eine Beobachtung wert.

Mit dem Vorgehen kann man den Fehler zumindest weiter eingrenzen.