Linupedia.org - Benutzerbeiträge [de]

Internetverbindungsprobleme - IPv6 MTU DNS

2006-12-28T19:06:43Z

Martin Breidenbach: /* DNS-Probleme */

Autor: Martin Breidenbach

Zunächst einmal muss geklärt werden:

ist die Datentransferrate niedrig (z.B. bei Downloads) oder dauert es ewig bis z.B. im Mozilla eine Seite aufgebaut wird ? Oder lassen sich bestimmte Seiten einfach nicht aufrufen ?

Es gibt drei Standardursachen für dieses Problem (nicht notwendigerweise in dieser Reihenfolge):

1. TCP/IP v6 (abschalten) 
2. bei DSL ist die MTU zu groß 
3. Probleme mit dem DNS 

Ihr solltet keineswegs einfach mal alles so abändern wie hier beschrieben. Es geht hier darum einen Fehler einzukreisen und zum umgehen. Ein 'korrekt' arbeitendes System wird hierdurch nicht schneller.

Der Reihe nach:

== IPv6 abschalten ==

TCP/IP verwendet vier Bytes zur Adressierung von Rechnern. Durch das rasante Anwachsen des Internets besteht das Problem dass so langsam die Adressen ausgehen.

Deswegen hat man einen Nachfolger definiert der 16 statt 4 Bytes für die Adressierung verwendet.

Details: http://de.wikipedia.org/wiki/Ipv6

Wenn ipv6 aktiviert ist passiert es dass Linux zuerst versucht ipv6 und dann das 'gute alte' [[TCP/IP-Referenzmodell|TCP/IP]] zu benutzen. Da ipv6 momentan im Internet noch nicht benutzt wird kann man es auf dem Client abschalten.

Wie man ipv6 abschaltet steht in diesem Artikel der SuSE Supportdatenbank:

http://portal.suse.com/sdb/de/2003/10/90_mozilla_ipv6.html

Zitat:
Symptom

Sobald sie irgendetwas in die Mozilla URL-Leiste eingeben friert Mozilla ein.

Ursache

Mozilla versucht Namensauflösung zuerst über IPv6. Wenn Sie SuSEfirewall2 benutzen ist IPv6 allerdings komplett gesperrt. Deswegen läuft die Abfrage ins Leere und wartet auf einen Timeout von ca. 60 Sekunden.

Lösung

Sie können, wenn Sie ihn nicht benötigen, den IPv6 Support komplett abschalten.

Für SUSE Linux 9.0 können Sie dies tun Sie, indem Sie folgende Zeilen in der Datei /etc/modules.conf ändern.

alias net-pf-10 ipv6
#alias net-pf-10 off

nach

#alias net-pf-10 ipv6
alias net-pf-10 off

Alternativ steht über das Online Update mittlerweile eine modifizierte Version der SuSEfirewall2 zur Verfügung, die die nötigen Pakete auf dem lokalen Rechner nicht mehr blockiert.

Unter SUSE Linux 9.1 (genauer: mit Kernel 2.6.x) gibt es statt der Datei /etc/modules.conf jetzt die Datei /etc/modprobe.conf.

Wenn Sie unter SUSE Linux 9.1 IPv6 grundsätzlich deaktivieren möchten, müssen Sie in der Datei /etc/modprobe.conf die folgende Änderung vornehmen:

alias net-pf-10 ipv6

nach

alias net-pf-10 ipv6
install ipv6 /bin/true

Weiter unten gibt es noch Hinweise wie man IPv6 für Konqueror und Firefox abschalten kann.

Noch ein Artikel zu dem Thema:

http://support.novell.com/cgi-bin/search/searchtid.cgi?10098152.htm

Zitat:
The following steps should be followed to disable IPV6 on SuSE Linux Enterprise Server 9:

1- Modify /etc/modprobe.conf.local by adding the following:

#
# please add local extensions to this file
#
install ipv6 /bin/true

2- reboot

*** In some circumstances, it is also necessary to modify the /etc/modprobe.conf and change the following:

alias net-pf-10 ipv6

to

alias net-pf-10 off

Hinweis: Das hier für SLES9 beschriebene Verfahren funktioniert auch für SuSE Pro 10 (jedefalls bei mir).

== MTU zu gross ==

MTU und DNS sind Hauptverdächtige wenn sich bestimmte Webseiten nicht aufrufen lassen.

MTU = Maximum Transfer Unit
PPP = Point-to-Point Protocol
PPPoE = PPP over Ethernet

DSL verwendet hierzulande in der Regel das PPPoE Protokoll. PPP ist ein Protokoll zur Einwahl in TCP/IP-Netze das z.B. bei der Einwahl über Analog-Modem oder ISDN verwendet wird. PPPoE verwendet das PPP-Protokoll, nur eben über Ethernet und nicht Telefonleitung.

Das Problem besteht nun darin dass Ethernet-Pakete eine maximale Paketgröße haben. Wenn man nun ein Ethernet-Paket in ein PPP-Paket verpackt und das wiederum in ein Ethernet-Paket steckt (so wie das bei PPPoE geschieht) dann wird der maximal nutzbare Teil des Paketes kleiner. Und dieser ist die MTU.

Eigentlich sollte das automatisch umgesetzt werden und ein zu großes Paket gesplittet werden. Da das nicht immer so funktioniert kann man das Problem umgehen indem man auf dem Client die MTU kleiner macht.

Ein guter Wert für T-DSL ist 1492 bytes.

Die Einstellung für die MTU befinden sich bei SuSE 9.1 tief versteckt im Yast2 in den Experteneinstellungen zur Netzwerkkarte:

yast2- Netzwerkgeraete - Netzwerkkarte - ändern - Karte auswählen - Erweitert - Besondere Einstellungen - MTU

Man kann aber auch (als root) die zugehörige Konfigurationsdatei in /etc/sysconfig/network selbst bearbeiten.

Unter SuSE 9.0 heißen die:
Code:
/etc/sysconfig/network/ifcfg-ethx

wobei 'ethx' hier als Platzhalter für eth0, eth1 und so weiter steht.

Unter SuSE 9.1 heißen die Dateien etwas anders:
Code:
/etc/sysconfig/network/ifcfg-eth-id-00:00:39:c8:91:88

oder so ähnlich. Hier wird die MAC-Adresse der Netzwerkkarte zum Identifizieren verwendet.

Da drin gibt es eine Zeile 'MTU='.

Hier ein Beispiel:

BOOTPROTO='static'
BROADCAST='192.168.1.255'
IPADDR='192.168.1.70'
MTU='1492'
NETMASK='255.255.255.0'
NETWORK='192.168.1.0'
REMOTE_IPADDR=''
STARTMODE='onboot'
UNIQUE='7EWs.weGuQ9ywYPF'
_nm_name='bus-pci-0000:00:11.0'

Wenn man einen eigenen linuxbasierten DSL-Router hat dann besteht die Möglichkeit daß dieser via iptables die Datenpakete an die MTU anpaßt. Dazu muß das Firewallskript erweitert werden um folgende Zeile:

Code:
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

=== Weitere Infos zum Thema 'MTU' gibts hier ===

Ermitteln des optimalen MTU Wertes:
http://www.gschwarz.de/mtu-wert.htm

Internetverbindung: Manche Webseiten lassen sich nicht aufrufen:
http://portal.suse.de/sdb/de/2001/11/cg_internet.html

MTU optimieren:
http://gw.renner.bei.t-online.de/windowsxp/mtu.htm

MTU-Mini-FAQ (für xDSL-Zugänge über PPPoE)
http://www.sauff.com/dsl-faq/mtu-mini-faq.html

Lexikonbeschreibung MTU
http://de.wikipedia.org/wiki/Maximum_Transfer_Unit

== DNS-Probleme ==

Es hat sich gezeigt dass manche DSL-Router Probleme mit der DNS-Weiterleitung haben.

Der DSL-Router bekommt in der Regel bei der Einwahl ueber PPPoE die Adresse eines DNS-Servers des Providers dynamisch zugewiesen.

Client-PCs wiederum verwenden dann als DNS-Server die IP-Adresse des DSL-Routers. Der DSL-Router soll DNS-Anfragen von Clients an den DNS-Server des Providers weiterleiten und ebenso die Antwort an den Client weiterreichen.

Aus irgendwelchen mir unbekannten Gruenden hakt es dabei immer wieder.

Die Symptome sind nicht eindeutig - mal gehts, mal nicht, mal gehen bestimmte Seiten aber andere nicht.

Es wurde auch schon mehrfach berichtet daß es unter Windows funktioniert, unter Linux aber nicht.

Ich habe schon mal mit einem Firmwareupdate des DSL-Routers Besserung erzielen koennen.

Eine Alternative ist es das Problem einfach zu umgehen und die Adresse eines DNS-Servers des Providers direkt beim Client einzutragen. Das stellt dann ein Problem dar wenn der Provider den DNS auf einen anderen Server umzieht oder bei mehreren DNS-Servern einer ausfaellt.

Da viele T-DSL ueber T-Online verwenden hier ein Link mit Adressen mehrerer DNS-Server von T-Online:

http://atelier89.de/users/dirk/t-o/010.html

Bei meinem DSL-Router kann man im Webinterface nachsehen welche DNS-Server er momentan benutzt.

Der DNS-Server laesst sich auch so einstellen:
yast2 - Netzwerkdienste - DNS- und Hostname

Nachtrag: Ein Fehler in der Datei /etc/nsswitch.conf kann dazu führen daß DNS zur Namensauflösung gar nicht verwendet wird. Deshalb sicherheitshalber die Zeile 'hosts:' überprüfen. Eine i.A. funktionierende Variante ist

hosts: files dns

Nachtrag: IPv6 für Konqueror abschalten

wbast hat Folgendes geschrieben:
Ich habe jetzt heraus gekriegt woran das lag.

Und zwar versuchte bei mir der Konqueror(und nur der) IPv6-Adressen aufzulösen.

Das habe ich im abgewöhnt mit einem

export KDE_NO_IPV6=1

in der ~/.bashrc

Nachtrag: IPv6 für Firefox abschalten

geko hat Folgendes geschrieben:

Firefox aufrufen und in Adresszeile
Code:
about:config

eingeben.

Folgenden Wert suchen:
Code:
network.dns.disableIPv6 Standart boolean false

Durch anklicken ändern in:
Code:
network.dns.disableIPv6 vom Ben.. boolean true

Noch kurz Firefox neustarten!

== Anmerkung ==
{{Überarbeiten}}
Dort gibt es noch eine weiterführende Diskussion, die habe ich nicht eingearbeitet:
http://www.linux-club.de/ftopic16677.html
eingefügt von --[[Benutzer:Yehudi|Yehudi]] 08:52, 12. Sep 2006 (CEST)
[[TCP/IP-Netzwerke und Internetzugang]][[Category:TCP/IP]]

Tests bei Problemen mit der Internetverbindung

2006-12-28T19:06:22Z

Martin Breidenbach: /* DNS-Servereintraege anzeigen */

Autoren Martin Breidenbach, framp

ACHTUNG: ETWA 97% DER PROBLEME MIT INTERNETVERBINDUNGEN LIEGEN AN FEHLENDER ODER FALSCHER KONFIGURATION VON STANDARDGATEWAY UND/ODER DNS. ÜBERPRÜFT BITTE DIESBEZÜGLICH EURE KONFIGURATION.

Wenn Ihr Probleme mit der Internetverbindung habt dann koennt Ihr uns die Arbeit erleichtern indem Ihr ein paar Tests macht und die Ergebnisse gleich mit postet. Das erspart oft mehrere Rueckfragen.

Alle Befehle muessen in einem Konsolenfenster eingegeben werden.

== Oeffnen eines Konsolenfensters ==

Unter KDE entweder auf das Icon mit dem Monitor und der Muschel klicken. Oder ALT-F2 druecken und 'konsole' eingeben. Oder ALT-CTRL-F1 druecken und an Textkonsole anmelden (und mit ALT-CTRL-F7 gehts zurueck).

== Inhalt einer Datei ansehen ==

Da auch hiermit Leute immer wieder unüberwindbare Probleme haben (GRUNDLAGEN und so...):

Den Inhalt einer Textdatei (wie z.B. /etc/resolv.conf) kann man sich mit vielen Befehlen ansehen. Da bieten sich z.B. an:

cat /etc/resolv.conf
more /etc/resolv.conf
less /etc/resolv.conf

'cat' gibt einfach nur den Inhalt auf der Konsole aus. 'more' tut das seitenweise. Und mit 'less' kann man darin herumblätter.

== root-Rechte ==

Fuer manche Befehle oder Aenderungen an Dateien benoetigt man root-Rechte. Die erlangt man indem man sich entweder als root anmeldet oder in einem Konsolenfenster den Befehl 'su' und dann das root-Kennwort eingibt. Unter KDE kann man auch 'kdesu befehl' verwenden.

Die Befehle ifconfig und route liegen beide im /sbin Verzeichnis und dieses liegt für normale User nicht im Suchpfad. Man kann sie aber via /sbin/ifconfig bzw /sbin/route aufrufen.

== Ausgabe eines Befehles in Datei umleiten ==

Ihr koennt unter Linux und Windows die Ausgabe eines Befehles in eine Datei umleiten:

befehl >ausgabe.txt

Dann braucht Ihr es nicht abschreiben.

Falls Ihr das unter Linux macht, momentan unter Linux keine Internetverbindung habt und keine Dateien auf eine Windows-Partition kopieren koennt dann koennt Ihr (wenn das Paket 'mtools' installiert ist) Dateien auf DOS-formatierte Disketten mit folgendem Befehl kopieren:

mcopy datei a:

== Es funktioniert unter Windows aber nicht unter Linux ==

Unter Windows NT/2K/XP wird die TCPIP-Netzwerkkartenkonfiguration mit folgendem Befehl angezeigt:

ipconfig /all

Wer zu faul zum Abschreiben ist kann das auch mit in eine Datei umleiten:

ipconfig /all >ipconfig.txt

Die TCPIP-Konfiguration einer Netzwerkkarte kann man unter Win9x mit diesem grafischen Tool ansehen:

winipcfg

Die Routingtabelle wird ausgegeben mit:

route print

bzw

route print >route.txt

Wenn Ihr das postet dann haben wir schonmal Werte von denen wir wissen dass sie funktionieren.

Am Ende des Threads befindet sich ein Posting in dem auf ein Script verwiesen wird welches alle im folgenden beschriebenen manuellen Informationsabfragen in einem Script ausfuehrt und in einem File sammelt. Nichtsdestotrotz sollten trotzdem erst einmal die folgenden Seiten gelesen werden um zu verstehen und zu lernen welche Informationen weshalb von dem Script gesammelt werden! Bei zukuenftigen Netzwerkproblemen ist dieses sicherlich hilfreich zu wissen .

== Verbindungstests mit PING ==
(aus einer Forumsnachricht von gaw leicht modifiziert uebernommen)

Wenn die Internetverbindung nicht klappt kann das mehrere Ursachen haben. Es kann ein Kabel, ein switch oder eine Netztwerkkarte defekt sein, der Treiber ist
nicht richtig installiert oder eine Firewall kann ping Befehle abfangen oder die benoetigte Netzwerkunterstuetzung im Kernel fehlt.

Um diverse Ursachen auszuschliessen setzt man zunaechst folgende sechs PING Befehle in einem Konsolenfenster ab:

1) ping localhost oder ping 127.0.0.1
testet [[TCP/IP-Referenzmodell|TCP/IP]] Unterstuetzung

2) ping eigene IP-Adresse
zum Beispiel:
ping 192.168.10.5

testet den Netztwerktreiber

3) ping IP-Adresse im gleichen LAN
zum Beispiel:
ping 192.168.10.7

testet ob LAN-Verbindungen laufen
Falls man einen Router hat der die Verbindung zum Internet realisiert dann sollte man das mal mit dessen IP-Adresse probieren.

4) ping Hostname im LAN
zum Beispiel:

ping server.mydomain

testet die Namesaufloesung im lokalen Netz

5) ping IP-Adresse im Internet
zum Beispiel:

ping 195.135.220.3

testet die Internetverbindung
Hinweis: 195.135.220.3 ist die IP-Adresse von www.suse.de und antwortet auf pings (nicht alle Rechner im Internet tun das).

6) ping Hostname im Internet
testet die Namensauflösung im Internet
zum Beispiel:

ping www.suse.de

Die PING-Befehle können mit ctrl-c abgebrochen werden.

Alternativ kann man auch diese Variante benutzen:

ping -c4 ip.adresse.des.routers

Dann wird der Ping-Befehl nach 4 Pings automatisch beendet (wie unter Windows).

== Was für eine Netzwerkkarte habe ich überhaupt ? ==

Es erstaunt mich ja immer wieder... da fragt man die Leute was für eine Netzwerkkarte sie haben und als Antwort kommt 'onboard' oder was ähnlich hilfreiches.

Bei 'onboard' und PCI-Karten kann man sich mit dem Befehl
Code:
lspci
ansehen welche Geräte so allgemein gefunden werden. Zeilen in denen 'Ethernet' oder 'Network' drinsteht sind interessant.

Hier mal ein Beispiel mit 2 3com 3c905 Ethernet und einer AVM Fritzcard PCI:

Code:
00:00.0 Host bridge: Intel Corporation 440BX/ZX/DX - 82443BX/ZX/DX Host bridge (rev 03)
00:01.0 PCI bridge: Intel Corporation 440BX/ZX/DX - 82443BX/ZX/DX AGP bridge (rev 03)
00:04.0 ISA bridge: Intel Corporation 82371AB/EB/MB PIIX4 ISA (rev 02)
00:04.1 IDE interface: Intel Corporation 82371AB/EB/MB PIIX4 IDE (rev 01)
00:04.2 USB Controller: Intel Corporation 82371AB/EB/MB PIIX4 USB (rev 01)
00:04.3 Bridge: Intel Corporation 82371AB/EB/MB PIIX4 ACPI (rev 02)
00:06.0 Multimedia audio controller: Cirrus Logic CS 4614/22/24 [CrystalClear SoundFusion Audio Accelerator] (rev 01)
00:0e.0 Ethernet controller: 3Com Corporation 3c905B 100BaseTX [Cyclone] (rev 64)
00:10.0 Ethernet controller: 3Com Corporation 3c905B 100BaseTX [Cyclone] (rev 64)
00:12.0 Network controller: AVM Audiovisuelles MKTG & Computer System GmbH A1 ISDN [Fritz] (rev 02)
01:00.0 VGA compatible controller: Matrox Graphics, Inc. MGA G200 AGP (rev 03)

Hinweis: Hier wird angezeigt wie sich die Karte auf dem PCI Bus identifiziert und nicht was auf der Pappschachtel steht. Das muß keinesfalls übereinstimmen.

Wo wir gerade dabei sind: USB Geräte anzeigen geht mit
lsusb

Bei WLAN Karten erhält man nützliche Infos mit
iwconfig

== Netzwerkkartenkonfiguration anzeigen ==

Als root ausfuehren:

Code:
ifconfig

Hinweis: ifconfig liegt in /sbin und /sbin liegt nur für root im Suchpfad. Also ifconfig entweder als root ausführen oder via /sbin/ifconfig ausführen.

Das Ergebnis sollte etwa so aussehen:

eth0 Link encap:Ethernet HWaddr 00:50:04:46:4C:11
inet addr:192.168.0.2 Bcast:192.168.0.255 Mask:255.255.255.0
inet6 addr: fe80::250:4ff:fe46:4c11/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1492 Metric:1
RX packets:44837 errors:0 dropped:0 overruns:0 frame:0
TX packets:56189 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:9424913 (8.9 Mb) TX bytes:36920342 (35.2 Mb)
Interrupt:10 Base address:0x1080

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:48681 errors:0 dropped:0 overruns:0 frame:0
TX packets:48681 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:13026354 (12.4 Mb) TX bytes:13026354 (12.4 Mb)

Wichtig ist daß die Netzwerkkarten über eine IP-Adresse verfuegen (inet addr:192.168.0.2), dass Pakete gesendet (TX packets:56189) und empfangen (RX packets:44837) werden.

Es dürfen Fehler vorkommen - allerdings sollte die Anzahl der fehlerhaften Pakete GERING im Vergleich zur Gesamtanzahl sein.

Wenn die Zeile 'inet addr:192.168.0.2 Bcast:192.168.0.255 Mask:255.255.255.0' fehlt dann hat die Karte keine TCP/IP Adresse !

== Routing-Tabelle anzeigen ==

route -n

Hinweis: route liegt in /sbin und /sbin liegt nur für root im Suchpfad. Also route entweder als root ausführen oder via /sbin/route -n ausführen.

Das Ergebnis sollte etwa so aussehen (ohne Option '-n'):

Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.0.0 * 255.255.255.0 U 0 0 0 eth0
default 192.168.0.1 0.0.0.0 UG 0 0 0 eth0

Bei Option '-n' werden Werte numerisch angezeigt; also z.B. 0.0.0.0 statt default und ggf werden Hostnamen durch IP-Adressen ersetzt.

== Standardgateway ueberpruefen ==

Wenn man sich mit

route -n

die Routingtabelle anzeigen laesst dann sollte es dort einen Eintrag 'default' bzw. '0.0.0.0' geben. Das ist der Eintrag für das Standardgateway. Wenn der fehlt gibts kein Internet.

route add default gw 192.168.0.1

(wobei natuerlich 192.168.0.1 durch den 'korrekten' Wert zu ersetzen ist).

Allerdings 'merkt' Linux sich das nur bis zum naechsten Reboot.

== DNS-Servereintraege anzeigen ==

Die DNS-Servereintraege stehen in der Datei /etc/resolv.conf. Diese kann man anzeigen mit:
cat /etc/resolv.conf

Das Ergebnis sollte etwa so aussehen:

nameserver 192.168.0.1
search mydomain.home

Hinter 'nameserver' steht die IP-Adresse des DNS-Servers der fuer Namensaufloesung verwendet wird.

Wenn dort kein solcher 'nameserver' Eintrag steht dann kann die Namensauflösung über DNS nicht funktionieren.

Zur Fehlerdiagnose von DNS-Problemen koennen auch die Befehle 'nslookup', 'dig' und 'host' nuetzlich sein.

Ein Fehler in der Datei /etc/nsswitch.conf kann dazu führen daß DNS zur Namensauflösung gar nicht verwendet wird. Deshalb sicherheitshalber die Zeile 'hosts:' überprüfen. Eine i.A. funktionierende Variante ist

hosts: files dns

== Ist die IPTables/Netfilter Firewall aktiviert ? ==

Bei Problemen mit Firewall sollte man testen ob die Probleme auch ohne Firewall auftreten. Wir hatten hier im Forum auch schon mehrfach Faelle wo eine Firewall irrtuemlich aktiviert war.

Bei SuSE 9.2 ist uebrigens die Firewall standardmaessig aktiviert !

Sind irgendwelche Filter definiert ?

Konsolenfenster oeffnen und eingeben:
iptables -L

Bei deaktivierter Firewall sieht das Ergebnis so aus:

Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

== Ist NAT oder Masquerading aktiv ? ==

Konsolenfenster oeffnen und eingeben:
iptables -t nat -L

Bei deaktivierter Firewall sieht das Ergebnis so aus:

Chain PREROUTING (policy ACCEPT)
target prot opt source destination

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

== SuSEFirewall2 Einstellungen posten ==

Manchmal kann es erforderlich sein zur Fehlerdiagnose die Einstellungen der SuSEFirewall2 zu posten.

Ihr findet die Konfigurationsdatei der SuSEFirewall2 hier:

/etc/sysconfig/SuSEFirewall2

Wenn Ihr die Datei postet dann lasst *BITTE* die ganzen Kommentare weg (das wird sonst so ewig lang und die Kommentare habe ich ja selber auf der Platte).

BTW - Die Kommentare in der SuSEFirewall2-Datei sind prima Lesestoff.

== Ist Routing aktiv ? ==

In einem Konsolenfenster eingeben :

cat /proc/sys/net/ipv4/ip_forward

Dort muß dann eine 1 stehen damit Routing aktiv ist.

(Das benötigt man natürlich nur wenn Routing benötigt wird - bei einem einzelnen Linux-Rechner braucht man das nicht.)

Hinweis: auch wenn Routing / IP-Forwarding aktiv ist kann es durch die Firewall geblockt werden wenn dort entsprechende Regeln aktiv sind. Die SuSEFirewall2 beinhaltet auf jeden Fall eine Einstellung die das überschreibt.

== Die SuSEfirewall2 ist ein Skript, ==
das mit iptables - Aufrufen den Filter im Kernel setzt/löscht. Ich hatte den Effekt, daß durch "herumprobieren" mit den Firewall-Einstellungen iptables- Einstellungen auch bei inaktiver Firewall erhalten geblieben sind.

iptables -L

zeigte diverse übrig gebliebene Einstellungen. DNS Anfragen von den Clients (Linux als Gateway ins Internet) wurden bearbeitet, aber keine weiteren Daten mehr an die Clients weitergereicht.

Folgendes half dann:
SuSEfirewall2 stop
iptables -F
SuSEfirewall2 start

Das war's dann. iptables -F löscht alle Eintragungen. Und die Firewall setzt dann beim Start wieder passende Werte ein (gem. Konfiguration in /etc/sysconfig/SuSEfirewall2)

== NetzwerkInformationsSammelScript ==
Angesichts der immer wiederkehrenden Netzwerkprobleme hat [[Benutzer:framp|framp]] ein Script erstellt welches die wesentlichen Netzwerkkonfigurationen und Netzwerkzustaende sammelt und die Netzwerkproblemisolation und -loesung beschleunigt. Letztendlich werden die von Breidy empfohlenen Befehle sequentiell aufgerufen und dier Ausgaben in einer Datei gesammelt.

Benutzung:

# Download der aktuellen Version von [http://linux.framp.de/?Netzwerktools "collectNWData.sh"] in z.B. /home/framp 
# su - 
# cd /home/framp 
# chmod 700 collectNWData.sh 
# ./collectNWData.sh 
# copy und paste des Inhalts von collectNWData.out in das Forum 

Der Detailgrad der Ausgaben ist ab dieser Version mit Flags zu steuern. Es werden nicht mehr standardmaessig alle Informationen gesammelt!

Parameterflags:

; Keine: Dann greift der default, also -shwc
; -s: standard network info 
; -h: hardware info 
; -w: wireless info 
; -c: config info (/etc/sysconfig/network/ifcfg-*) 
; -f: firewall info 

Normalerweise reicht der Default und es muss nur
Code:
./collectNWData.sh

eingegeben werden.

Wer nur seine Firewallinformationen und Standardinformatioen erhalten moechte muss
./collectNWData.sh -sf

angeben. -s darf in diesem Fall nicht vergessen werden!
 
WLAN keys aus iwconfig und den ifcfg-* Dateien werden der Sicherheit wegen automatisch maskiert.

 
eingefügt von --[[Benutzer:Yehudi|Yehudi]] 07:05, 11. Sep 2006 (CEST)
[[TCP/IP-Netzwerke und Internetzugang]][[Category:TCP/IP]] 
Updated 11/16/2006 by [[Benutzer:framp|framp]]

Tests bei Problemen mit der Internetverbindung

2006-12-28T19:05:56Z

Martin Breidenbach: /* DNS-Servereintraege anzeigen */

Autoren Martin Breidenbach, framp

ACHTUNG: ETWA 97% DER PROBLEME MIT INTERNETVERBINDUNGEN LIEGEN AN FEHLENDER ODER FALSCHER KONFIGURATION VON STANDARDGATEWAY UND/ODER DNS. ÜBERPRÜFT BITTE DIESBEZÜGLICH EURE KONFIGURATION.

Wenn Ihr Probleme mit der Internetverbindung habt dann koennt Ihr uns die Arbeit erleichtern indem Ihr ein paar Tests macht und die Ergebnisse gleich mit postet. Das erspart oft mehrere Rueckfragen.

Alle Befehle muessen in einem Konsolenfenster eingegeben werden.

== Oeffnen eines Konsolenfensters ==

Unter KDE entweder auf das Icon mit dem Monitor und der Muschel klicken. Oder ALT-F2 druecken und 'konsole' eingeben. Oder ALT-CTRL-F1 druecken und an Textkonsole anmelden (und mit ALT-CTRL-F7 gehts zurueck).

== Inhalt einer Datei ansehen ==

Da auch hiermit Leute immer wieder unüberwindbare Probleme haben (GRUNDLAGEN und so...):

Den Inhalt einer Textdatei (wie z.B. /etc/resolv.conf) kann man sich mit vielen Befehlen ansehen. Da bieten sich z.B. an:

cat /etc/resolv.conf
more /etc/resolv.conf
less /etc/resolv.conf

'cat' gibt einfach nur den Inhalt auf der Konsole aus. 'more' tut das seitenweise. Und mit 'less' kann man darin herumblätter.

== root-Rechte ==

Fuer manche Befehle oder Aenderungen an Dateien benoetigt man root-Rechte. Die erlangt man indem man sich entweder als root anmeldet oder in einem Konsolenfenster den Befehl 'su' und dann das root-Kennwort eingibt. Unter KDE kann man auch 'kdesu befehl' verwenden.

Die Befehle ifconfig und route liegen beide im /sbin Verzeichnis und dieses liegt für normale User nicht im Suchpfad. Man kann sie aber via /sbin/ifconfig bzw /sbin/route aufrufen.

== Ausgabe eines Befehles in Datei umleiten ==

Ihr koennt unter Linux und Windows die Ausgabe eines Befehles in eine Datei umleiten:

befehl >ausgabe.txt

Dann braucht Ihr es nicht abschreiben.

Falls Ihr das unter Linux macht, momentan unter Linux keine Internetverbindung habt und keine Dateien auf eine Windows-Partition kopieren koennt dann koennt Ihr (wenn das Paket 'mtools' installiert ist) Dateien auf DOS-formatierte Disketten mit folgendem Befehl kopieren:

mcopy datei a:

== Es funktioniert unter Windows aber nicht unter Linux ==

Unter Windows NT/2K/XP wird die TCPIP-Netzwerkkartenkonfiguration mit folgendem Befehl angezeigt:

ipconfig /all

Wer zu faul zum Abschreiben ist kann das auch mit in eine Datei umleiten:

ipconfig /all >ipconfig.txt

Die TCPIP-Konfiguration einer Netzwerkkarte kann man unter Win9x mit diesem grafischen Tool ansehen:

winipcfg

Die Routingtabelle wird ausgegeben mit:

route print

bzw

route print >route.txt

Wenn Ihr das postet dann haben wir schonmal Werte von denen wir wissen dass sie funktionieren.

Am Ende des Threads befindet sich ein Posting in dem auf ein Script verwiesen wird welches alle im folgenden beschriebenen manuellen Informationsabfragen in einem Script ausfuehrt und in einem File sammelt. Nichtsdestotrotz sollten trotzdem erst einmal die folgenden Seiten gelesen werden um zu verstehen und zu lernen welche Informationen weshalb von dem Script gesammelt werden! Bei zukuenftigen Netzwerkproblemen ist dieses sicherlich hilfreich zu wissen .

== Verbindungstests mit PING ==
(aus einer Forumsnachricht von gaw leicht modifiziert uebernommen)

Wenn die Internetverbindung nicht klappt kann das mehrere Ursachen haben. Es kann ein Kabel, ein switch oder eine Netztwerkkarte defekt sein, der Treiber ist
nicht richtig installiert oder eine Firewall kann ping Befehle abfangen oder die benoetigte Netzwerkunterstuetzung im Kernel fehlt.

Um diverse Ursachen auszuschliessen setzt man zunaechst folgende sechs PING Befehle in einem Konsolenfenster ab:

1) ping localhost oder ping 127.0.0.1
testet [[TCP/IP-Referenzmodell|TCP/IP]] Unterstuetzung

2) ping eigene IP-Adresse
zum Beispiel:
ping 192.168.10.5

testet den Netztwerktreiber

3) ping IP-Adresse im gleichen LAN
zum Beispiel:
ping 192.168.10.7

testet ob LAN-Verbindungen laufen
Falls man einen Router hat der die Verbindung zum Internet realisiert dann sollte man das mal mit dessen IP-Adresse probieren.

4) ping Hostname im LAN
zum Beispiel:

ping server.mydomain

testet die Namesaufloesung im lokalen Netz

5) ping IP-Adresse im Internet
zum Beispiel:

ping 195.135.220.3

testet die Internetverbindung
Hinweis: 195.135.220.3 ist die IP-Adresse von www.suse.de und antwortet auf pings (nicht alle Rechner im Internet tun das).

6) ping Hostname im Internet
testet die Namensauflösung im Internet
zum Beispiel:

ping www.suse.de

Die PING-Befehle können mit ctrl-c abgebrochen werden.

Alternativ kann man auch diese Variante benutzen:

ping -c4 ip.adresse.des.routers

Dann wird der Ping-Befehl nach 4 Pings automatisch beendet (wie unter Windows).

== Was für eine Netzwerkkarte habe ich überhaupt ? ==

Es erstaunt mich ja immer wieder... da fragt man die Leute was für eine Netzwerkkarte sie haben und als Antwort kommt 'onboard' oder was ähnlich hilfreiches.

Bei 'onboard' und PCI-Karten kann man sich mit dem Befehl
Code:
lspci
ansehen welche Geräte so allgemein gefunden werden. Zeilen in denen 'Ethernet' oder 'Network' drinsteht sind interessant.

Hier mal ein Beispiel mit 2 3com 3c905 Ethernet und einer AVM Fritzcard PCI:

Code:
00:00.0 Host bridge: Intel Corporation 440BX/ZX/DX - 82443BX/ZX/DX Host bridge (rev 03)
00:01.0 PCI bridge: Intel Corporation 440BX/ZX/DX - 82443BX/ZX/DX AGP bridge (rev 03)
00:04.0 ISA bridge: Intel Corporation 82371AB/EB/MB PIIX4 ISA (rev 02)
00:04.1 IDE interface: Intel Corporation 82371AB/EB/MB PIIX4 IDE (rev 01)
00:04.2 USB Controller: Intel Corporation 82371AB/EB/MB PIIX4 USB (rev 01)
00:04.3 Bridge: Intel Corporation 82371AB/EB/MB PIIX4 ACPI (rev 02)
00:06.0 Multimedia audio controller: Cirrus Logic CS 4614/22/24 [CrystalClear SoundFusion Audio Accelerator] (rev 01)
00:0e.0 Ethernet controller: 3Com Corporation 3c905B 100BaseTX [Cyclone] (rev 64)
00:10.0 Ethernet controller: 3Com Corporation 3c905B 100BaseTX [Cyclone] (rev 64)
00:12.0 Network controller: AVM Audiovisuelles MKTG & Computer System GmbH A1 ISDN [Fritz] (rev 02)
01:00.0 VGA compatible controller: Matrox Graphics, Inc. MGA G200 AGP (rev 03)

Hinweis: Hier wird angezeigt wie sich die Karte auf dem PCI Bus identifiziert und nicht was auf der Pappschachtel steht. Das muß keinesfalls übereinstimmen.

Wo wir gerade dabei sind: USB Geräte anzeigen geht mit
lsusb

Bei WLAN Karten erhält man nützliche Infos mit
iwconfig

== Netzwerkkartenkonfiguration anzeigen ==

Als root ausfuehren:

Code:
ifconfig

Hinweis: ifconfig liegt in /sbin und /sbin liegt nur für root im Suchpfad. Also ifconfig entweder als root ausführen oder via /sbin/ifconfig ausführen.

Das Ergebnis sollte etwa so aussehen:

eth0 Link encap:Ethernet HWaddr 00:50:04:46:4C:11
inet addr:192.168.0.2 Bcast:192.168.0.255 Mask:255.255.255.0
inet6 addr: fe80::250:4ff:fe46:4c11/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1492 Metric:1
RX packets:44837 errors:0 dropped:0 overruns:0 frame:0
TX packets:56189 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:9424913 (8.9 Mb) TX bytes:36920342 (35.2 Mb)
Interrupt:10 Base address:0x1080

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:48681 errors:0 dropped:0 overruns:0 frame:0
TX packets:48681 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:13026354 (12.4 Mb) TX bytes:13026354 (12.4 Mb)

Wichtig ist daß die Netzwerkkarten über eine IP-Adresse verfuegen (inet addr:192.168.0.2), dass Pakete gesendet (TX packets:56189) und empfangen (RX packets:44837) werden.

Es dürfen Fehler vorkommen - allerdings sollte die Anzahl der fehlerhaften Pakete GERING im Vergleich zur Gesamtanzahl sein.

Wenn die Zeile 'inet addr:192.168.0.2 Bcast:192.168.0.255 Mask:255.255.255.0' fehlt dann hat die Karte keine TCP/IP Adresse !

== Routing-Tabelle anzeigen ==

route -n

Hinweis: route liegt in /sbin und /sbin liegt nur für root im Suchpfad. Also route entweder als root ausführen oder via /sbin/route -n ausführen.

Das Ergebnis sollte etwa so aussehen (ohne Option '-n'):

Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.0.0 * 255.255.255.0 U 0 0 0 eth0
default 192.168.0.1 0.0.0.0 UG 0 0 0 eth0

Bei Option '-n' werden Werte numerisch angezeigt; also z.B. 0.0.0.0 statt default und ggf werden Hostnamen durch IP-Adressen ersetzt.

== Standardgateway ueberpruefen ==

Wenn man sich mit

route -n

die Routingtabelle anzeigen laesst dann sollte es dort einen Eintrag 'default' bzw. '0.0.0.0' geben. Das ist der Eintrag für das Standardgateway. Wenn der fehlt gibts kein Internet.

route add default gw 192.168.0.1

(wobei natuerlich 192.168.0.1 durch den 'korrekten' Wert zu ersetzen ist).

Allerdings 'merkt' Linux sich das nur bis zum naechsten Reboot.

== DNS-Servereintraege anzeigen ==

Die DNS-Servereintraege stehen in der Datei /etc/resolv.conf. Diese kann man anzeigen mit:
cat /etc/resolv.conf

Das Ergebnis sollte etwa so aussehen:

nameserver 192.168.0.1
search mydomain.home

Hinter 'nameserver' steht die IP-Adresse des DNS-Servers der fuer Namensaufloesung verwendet wird.

Wenn dort kein solcher 'nameserver' Eintrag steht dann kann die Namensauflösung über DNS nicht funktionieren.

Zur Fehlerdiagnose von DNS-Problemen koennen auch die Befehle 'nslookup', 'dig' und 'host' nuetzlich sein.

Ein Fehler in der Datei /etc/nsswitch.conf kann dazu führen daß DNS zur Namensauflösung gar nicht verwendet wird. Deshalb sicherheitshalber die Zeile 'hosts:' überprüfen. Eine i.A. funktionierende Variante ist

host: files dns

== Ist die IPTables/Netfilter Firewall aktiviert ? ==

Bei Problemen mit Firewall sollte man testen ob die Probleme auch ohne Firewall auftreten. Wir hatten hier im Forum auch schon mehrfach Faelle wo eine Firewall irrtuemlich aktiviert war.

Bei SuSE 9.2 ist uebrigens die Firewall standardmaessig aktiviert !

Sind irgendwelche Filter definiert ?

Konsolenfenster oeffnen und eingeben:
iptables -L

Bei deaktivierter Firewall sieht das Ergebnis so aus:

Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

== Ist NAT oder Masquerading aktiv ? ==

Konsolenfenster oeffnen und eingeben:
iptables -t nat -L

Bei deaktivierter Firewall sieht das Ergebnis so aus:

Chain PREROUTING (policy ACCEPT)
target prot opt source destination

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

== SuSEFirewall2 Einstellungen posten ==

Manchmal kann es erforderlich sein zur Fehlerdiagnose die Einstellungen der SuSEFirewall2 zu posten.

Ihr findet die Konfigurationsdatei der SuSEFirewall2 hier:

/etc/sysconfig/SuSEFirewall2

Wenn Ihr die Datei postet dann lasst *BITTE* die ganzen Kommentare weg (das wird sonst so ewig lang und die Kommentare habe ich ja selber auf der Platte).

BTW - Die Kommentare in der SuSEFirewall2-Datei sind prima Lesestoff.

== Ist Routing aktiv ? ==

In einem Konsolenfenster eingeben :

cat /proc/sys/net/ipv4/ip_forward

Dort muß dann eine 1 stehen damit Routing aktiv ist.

(Das benötigt man natürlich nur wenn Routing benötigt wird - bei einem einzelnen Linux-Rechner braucht man das nicht.)

Hinweis: auch wenn Routing / IP-Forwarding aktiv ist kann es durch die Firewall geblockt werden wenn dort entsprechende Regeln aktiv sind. Die SuSEFirewall2 beinhaltet auf jeden Fall eine Einstellung die das überschreibt.

== Die SuSEfirewall2 ist ein Skript, ==
das mit iptables - Aufrufen den Filter im Kernel setzt/löscht. Ich hatte den Effekt, daß durch "herumprobieren" mit den Firewall-Einstellungen iptables- Einstellungen auch bei inaktiver Firewall erhalten geblieben sind.

iptables -L

zeigte diverse übrig gebliebene Einstellungen. DNS Anfragen von den Clients (Linux als Gateway ins Internet) wurden bearbeitet, aber keine weiteren Daten mehr an die Clients weitergereicht.

Folgendes half dann:
SuSEfirewall2 stop
iptables -F
SuSEfirewall2 start

Das war's dann. iptables -F löscht alle Eintragungen. Und die Firewall setzt dann beim Start wieder passende Werte ein (gem. Konfiguration in /etc/sysconfig/SuSEfirewall2)

== NetzwerkInformationsSammelScript ==
Angesichts der immer wiederkehrenden Netzwerkprobleme hat [[Benutzer:framp|framp]] ein Script erstellt welches die wesentlichen Netzwerkkonfigurationen und Netzwerkzustaende sammelt und die Netzwerkproblemisolation und -loesung beschleunigt. Letztendlich werden die von Breidy empfohlenen Befehle sequentiell aufgerufen und dier Ausgaben in einer Datei gesammelt.

Benutzung:

# Download der aktuellen Version von [http://linux.framp.de/?Netzwerktools "collectNWData.sh"] in z.B. /home/framp 
# su - 
# cd /home/framp 
# chmod 700 collectNWData.sh 
# ./collectNWData.sh 
# copy und paste des Inhalts von collectNWData.out in das Forum 

Der Detailgrad der Ausgaben ist ab dieser Version mit Flags zu steuern. Es werden nicht mehr standardmaessig alle Informationen gesammelt!

Parameterflags:

; Keine: Dann greift der default, also -shwc
; -s: standard network info 
; -h: hardware info 
; -w: wireless info 
; -c: config info (/etc/sysconfig/network/ifcfg-*) 
; -f: firewall info 

Normalerweise reicht der Default und es muss nur
Code:
./collectNWData.sh

eingegeben werden.

Wer nur seine Firewallinformationen und Standardinformatioen erhalten moechte muss
./collectNWData.sh -sf

angeben. -s darf in diesem Fall nicht vergessen werden!
 
WLAN keys aus iwconfig und den ifcfg-* Dateien werden der Sicherheit wegen automatisch maskiert.

 
eingefügt von --[[Benutzer:Yehudi|Yehudi]] 07:05, 11. Sep 2006 (CEST)
[[TCP/IP-Netzwerke und Internetzugang]][[Category:TCP/IP]] 
Updated 11/16/2006 by [[Benutzer:framp|framp]]

Internetverbindungsprobleme - IPv6 MTU DNS

2006-12-28T19:04:30Z

Martin Breidenbach: /* DNS-Probleme */

Autor: Martin Breidenbach

Zunächst einmal muss geklärt werden:

ist die Datentransferrate niedrig (z.B. bei Downloads) oder dauert es ewig bis z.B. im Mozilla eine Seite aufgebaut wird ? Oder lassen sich bestimmte Seiten einfach nicht aufrufen ?

Es gibt drei Standardursachen für dieses Problem (nicht notwendigerweise in dieser Reihenfolge):

1. TCP/IP v6 (abschalten) 
2. bei DSL ist die MTU zu groß 
3. Probleme mit dem DNS 

Ihr solltet keineswegs einfach mal alles so abändern wie hier beschrieben. Es geht hier darum einen Fehler einzukreisen und zum umgehen. Ein 'korrekt' arbeitendes System wird hierdurch nicht schneller.

Der Reihe nach:

== IPv6 abschalten ==

TCP/IP verwendet vier Bytes zur Adressierung von Rechnern. Durch das rasante Anwachsen des Internets besteht das Problem dass so langsam die Adressen ausgehen.

Deswegen hat man einen Nachfolger definiert der 16 statt 4 Bytes für die Adressierung verwendet.

Details: http://de.wikipedia.org/wiki/Ipv6

Wenn ipv6 aktiviert ist passiert es dass Linux zuerst versucht ipv6 und dann das 'gute alte' [[TCP/IP-Referenzmodell|TCP/IP]] zu benutzen. Da ipv6 momentan im Internet noch nicht benutzt wird kann man es auf dem Client abschalten.

Wie man ipv6 abschaltet steht in diesem Artikel der SuSE Supportdatenbank:

http://portal.suse.com/sdb/de/2003/10/90_mozilla_ipv6.html

Zitat:
Symptom

Sobald sie irgendetwas in die Mozilla URL-Leiste eingeben friert Mozilla ein.

Ursache

Mozilla versucht Namensauflösung zuerst über IPv6. Wenn Sie SuSEfirewall2 benutzen ist IPv6 allerdings komplett gesperrt. Deswegen läuft die Abfrage ins Leere und wartet auf einen Timeout von ca. 60 Sekunden.

Lösung

Sie können, wenn Sie ihn nicht benötigen, den IPv6 Support komplett abschalten.

Für SUSE Linux 9.0 können Sie dies tun Sie, indem Sie folgende Zeilen in der Datei /etc/modules.conf ändern.

alias net-pf-10 ipv6
#alias net-pf-10 off

nach

#alias net-pf-10 ipv6
alias net-pf-10 off

Alternativ steht über das Online Update mittlerweile eine modifizierte Version der SuSEfirewall2 zur Verfügung, die die nötigen Pakete auf dem lokalen Rechner nicht mehr blockiert.

Unter SUSE Linux 9.1 (genauer: mit Kernel 2.6.x) gibt es statt der Datei /etc/modules.conf jetzt die Datei /etc/modprobe.conf.

Wenn Sie unter SUSE Linux 9.1 IPv6 grundsätzlich deaktivieren möchten, müssen Sie in der Datei /etc/modprobe.conf die folgende Änderung vornehmen:

alias net-pf-10 ipv6

nach

alias net-pf-10 ipv6
install ipv6 /bin/true

Weiter unten gibt es noch Hinweise wie man IPv6 für Konqueror und Firefox abschalten kann.

Noch ein Artikel zu dem Thema:

http://support.novell.com/cgi-bin/search/searchtid.cgi?10098152.htm

Zitat:
The following steps should be followed to disable IPV6 on SuSE Linux Enterprise Server 9:

1- Modify /etc/modprobe.conf.local by adding the following:

#
# please add local extensions to this file
#
install ipv6 /bin/true

2- reboot

*** In some circumstances, it is also necessary to modify the /etc/modprobe.conf and change the following:

alias net-pf-10 ipv6

to

alias net-pf-10 off

Hinweis: Das hier für SLES9 beschriebene Verfahren funktioniert auch für SuSE Pro 10 (jedefalls bei mir).

== MTU zu gross ==

MTU und DNS sind Hauptverdächtige wenn sich bestimmte Webseiten nicht aufrufen lassen.

MTU = Maximum Transfer Unit
PPP = Point-to-Point Protocol
PPPoE = PPP over Ethernet

DSL verwendet hierzulande in der Regel das PPPoE Protokoll. PPP ist ein Protokoll zur Einwahl in TCP/IP-Netze das z.B. bei der Einwahl über Analog-Modem oder ISDN verwendet wird. PPPoE verwendet das PPP-Protokoll, nur eben über Ethernet und nicht Telefonleitung.

Das Problem besteht nun darin dass Ethernet-Pakete eine maximale Paketgröße haben. Wenn man nun ein Ethernet-Paket in ein PPP-Paket verpackt und das wiederum in ein Ethernet-Paket steckt (so wie das bei PPPoE geschieht) dann wird der maximal nutzbare Teil des Paketes kleiner. Und dieser ist die MTU.

Eigentlich sollte das automatisch umgesetzt werden und ein zu großes Paket gesplittet werden. Da das nicht immer so funktioniert kann man das Problem umgehen indem man auf dem Client die MTU kleiner macht.

Ein guter Wert für T-DSL ist 1492 bytes.

Die Einstellung für die MTU befinden sich bei SuSE 9.1 tief versteckt im Yast2 in den Experteneinstellungen zur Netzwerkkarte:

yast2- Netzwerkgeraete - Netzwerkkarte - ändern - Karte auswählen - Erweitert - Besondere Einstellungen - MTU

Man kann aber auch (als root) die zugehörige Konfigurationsdatei in /etc/sysconfig/network selbst bearbeiten.

Unter SuSE 9.0 heißen die:
Code:
/etc/sysconfig/network/ifcfg-ethx

wobei 'ethx' hier als Platzhalter für eth0, eth1 und so weiter steht.

Unter SuSE 9.1 heißen die Dateien etwas anders:
Code:
/etc/sysconfig/network/ifcfg-eth-id-00:00:39:c8:91:88

oder so ähnlich. Hier wird die MAC-Adresse der Netzwerkkarte zum Identifizieren verwendet.

Da drin gibt es eine Zeile 'MTU='.

Hier ein Beispiel:

BOOTPROTO='static'
BROADCAST='192.168.1.255'
IPADDR='192.168.1.70'
MTU='1492'
NETMASK='255.255.255.0'
NETWORK='192.168.1.0'
REMOTE_IPADDR=''
STARTMODE='onboot'
UNIQUE='7EWs.weGuQ9ywYPF'
_nm_name='bus-pci-0000:00:11.0'

Wenn man einen eigenen linuxbasierten DSL-Router hat dann besteht die Möglichkeit daß dieser via iptables die Datenpakete an die MTU anpaßt. Dazu muß das Firewallskript erweitert werden um folgende Zeile:

Code:
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

=== Weitere Infos zum Thema 'MTU' gibts hier ===

Ermitteln des optimalen MTU Wertes:
http://www.gschwarz.de/mtu-wert.htm

Internetverbindung: Manche Webseiten lassen sich nicht aufrufen:
http://portal.suse.de/sdb/de/2001/11/cg_internet.html

MTU optimieren:
http://gw.renner.bei.t-online.de/windowsxp/mtu.htm

MTU-Mini-FAQ (für xDSL-Zugänge über PPPoE)
http://www.sauff.com/dsl-faq/mtu-mini-faq.html

Lexikonbeschreibung MTU
http://de.wikipedia.org/wiki/Maximum_Transfer_Unit

== DNS-Probleme ==

Es hat sich gezeigt dass manche DSL-Router Probleme mit der DNS-Weiterleitung haben.

Der DSL-Router bekommt in der Regel bei der Einwahl ueber PPPoE die Adresse eines DNS-Servers des Providers dynamisch zugewiesen.

Client-PCs wiederum verwenden dann als DNS-Server die IP-Adresse des DSL-Routers. Der DSL-Router soll DNS-Anfragen von Clients an den DNS-Server des Providers weiterleiten und ebenso die Antwort an den Client weiterreichen.

Aus irgendwelchen mir unbekannten Gruenden hakt es dabei immer wieder.

Die Symptome sind nicht eindeutig - mal gehts, mal nicht, mal gehen bestimmte Seiten aber andere nicht.

Es wurde auch schon mehrfach berichtet daß es unter Windows funktioniert, unter Linux aber nicht.

Ich habe schon mal mit einem Firmwareupdate des DSL-Routers Besserung erzielen koennen.

Eine Alternative ist es das Problem einfach zu umgehen und die Adresse eines DNS-Servers des Providers direkt beim Client einzutragen. Das stellt dann ein Problem dar wenn der Provider den DNS auf einen anderen Server umzieht oder bei mehreren DNS-Servern einer ausfaellt.

Da viele T-DSL ueber T-Online verwenden hier ein Link mit Adressen mehrerer DNS-Server von T-Online:

http://atelier89.de/users/dirk/t-o/010.html

Bei meinem DSL-Router kann man im Webinterface nachsehen welche DNS-Server er momentan benutzt.

Der DNS-Server laesst sich auch so einstellen:
yast2 - Netzwerkdienste - DNS- und Hostname

Nachtrag: Ein Fehler in der Datei /etc/nsswitch.conf kann dazu führen daß DNS zur Namensauflösung gar nicht verwendet wird. Deshalb sicherheitshalber die Zeile 'hosts:' überprüfen. Eine i.A. funktionierende Variante ist

host: files dns

Nachtrag: IPv6 für Konqueror abschalten

wbast hat Folgendes geschrieben:
Ich habe jetzt heraus gekriegt woran das lag.

Und zwar versuchte bei mir der Konqueror(und nur der) IPv6-Adressen aufzulösen.

Das habe ich im abgewöhnt mit einem

export KDE_NO_IPV6=1

in der ~/.bashrc

Nachtrag: IPv6 für Firefox abschalten

geko hat Folgendes geschrieben:

Firefox aufrufen und in Adresszeile
Code:
about:config

eingeben.

Folgenden Wert suchen:
Code:
network.dns.disableIPv6 Standart boolean false

Durch anklicken ändern in:
Code:
network.dns.disableIPv6 vom Ben.. boolean true

Noch kurz Firefox neustarten!

== Anmerkung ==
{{Überarbeiten}}
Dort gibt es noch eine weiterführende Diskussion, die habe ich nicht eingearbeitet:
http://www.linux-club.de/ftopic16677.html
eingefügt von --[[Benutzer:Yehudi|Yehudi]] 08:52, 12. Sep 2006 (CEST)
[[TCP/IP-Netzwerke und Internetzugang]][[Category:TCP/IP]]

Internetverbindungsprobleme - IPv6 MTU DNS

2006-12-28T19:04:05Z

Martin Breidenbach: /* DNS-Probleme */

Autor: Martin Breidenbach

Zunächst einmal muss geklärt werden:

ist die Datentransferrate niedrig (z.B. bei Downloads) oder dauert es ewig bis z.B. im Mozilla eine Seite aufgebaut wird ? Oder lassen sich bestimmte Seiten einfach nicht aufrufen ?

Es gibt drei Standardursachen für dieses Problem (nicht notwendigerweise in dieser Reihenfolge):

1. TCP/IP v6 (abschalten) 
2. bei DSL ist die MTU zu groß 
3. Probleme mit dem DNS 

Ihr solltet keineswegs einfach mal alles so abändern wie hier beschrieben. Es geht hier darum einen Fehler einzukreisen und zum umgehen. Ein 'korrekt' arbeitendes System wird hierdurch nicht schneller.

Der Reihe nach:

== IPv6 abschalten ==

TCP/IP verwendet vier Bytes zur Adressierung von Rechnern. Durch das rasante Anwachsen des Internets besteht das Problem dass so langsam die Adressen ausgehen.

Deswegen hat man einen Nachfolger definiert der 16 statt 4 Bytes für die Adressierung verwendet.

Details: http://de.wikipedia.org/wiki/Ipv6

Wenn ipv6 aktiviert ist passiert es dass Linux zuerst versucht ipv6 und dann das 'gute alte' [[TCP/IP-Referenzmodell|TCP/IP]] zu benutzen. Da ipv6 momentan im Internet noch nicht benutzt wird kann man es auf dem Client abschalten.

Wie man ipv6 abschaltet steht in diesem Artikel der SuSE Supportdatenbank:

http://portal.suse.com/sdb/de/2003/10/90_mozilla_ipv6.html

Zitat:
Symptom

Sobald sie irgendetwas in die Mozilla URL-Leiste eingeben friert Mozilla ein.

Ursache

Mozilla versucht Namensauflösung zuerst über IPv6. Wenn Sie SuSEfirewall2 benutzen ist IPv6 allerdings komplett gesperrt. Deswegen läuft die Abfrage ins Leere und wartet auf einen Timeout von ca. 60 Sekunden.

Lösung

Sie können, wenn Sie ihn nicht benötigen, den IPv6 Support komplett abschalten.

Für SUSE Linux 9.0 können Sie dies tun Sie, indem Sie folgende Zeilen in der Datei /etc/modules.conf ändern.

alias net-pf-10 ipv6
#alias net-pf-10 off

nach

#alias net-pf-10 ipv6
alias net-pf-10 off

Alternativ steht über das Online Update mittlerweile eine modifizierte Version der SuSEfirewall2 zur Verfügung, die die nötigen Pakete auf dem lokalen Rechner nicht mehr blockiert.

Unter SUSE Linux 9.1 (genauer: mit Kernel 2.6.x) gibt es statt der Datei /etc/modules.conf jetzt die Datei /etc/modprobe.conf.

Wenn Sie unter SUSE Linux 9.1 IPv6 grundsätzlich deaktivieren möchten, müssen Sie in der Datei /etc/modprobe.conf die folgende Änderung vornehmen:

alias net-pf-10 ipv6

nach

alias net-pf-10 ipv6
install ipv6 /bin/true

Weiter unten gibt es noch Hinweise wie man IPv6 für Konqueror und Firefox abschalten kann.

Noch ein Artikel zu dem Thema:

http://support.novell.com/cgi-bin/search/searchtid.cgi?10098152.htm

Zitat:
The following steps should be followed to disable IPV6 on SuSE Linux Enterprise Server 9:

1- Modify /etc/modprobe.conf.local by adding the following:

#
# please add local extensions to this file
#
install ipv6 /bin/true

2- reboot

*** In some circumstances, it is also necessary to modify the /etc/modprobe.conf and change the following:

alias net-pf-10 ipv6

to

alias net-pf-10 off

Hinweis: Das hier für SLES9 beschriebene Verfahren funktioniert auch für SuSE Pro 10 (jedefalls bei mir).

== MTU zu gross ==

MTU und DNS sind Hauptverdächtige wenn sich bestimmte Webseiten nicht aufrufen lassen.

MTU = Maximum Transfer Unit
PPP = Point-to-Point Protocol
PPPoE = PPP over Ethernet

DSL verwendet hierzulande in der Regel das PPPoE Protokoll. PPP ist ein Protokoll zur Einwahl in TCP/IP-Netze das z.B. bei der Einwahl über Analog-Modem oder ISDN verwendet wird. PPPoE verwendet das PPP-Protokoll, nur eben über Ethernet und nicht Telefonleitung.

Das Problem besteht nun darin dass Ethernet-Pakete eine maximale Paketgröße haben. Wenn man nun ein Ethernet-Paket in ein PPP-Paket verpackt und das wiederum in ein Ethernet-Paket steckt (so wie das bei PPPoE geschieht) dann wird der maximal nutzbare Teil des Paketes kleiner. Und dieser ist die MTU.

Eigentlich sollte das automatisch umgesetzt werden und ein zu großes Paket gesplittet werden. Da das nicht immer so funktioniert kann man das Problem umgehen indem man auf dem Client die MTU kleiner macht.

Ein guter Wert für T-DSL ist 1492 bytes.

Die Einstellung für die MTU befinden sich bei SuSE 9.1 tief versteckt im Yast2 in den Experteneinstellungen zur Netzwerkkarte:

yast2- Netzwerkgeraete - Netzwerkkarte - ändern - Karte auswählen - Erweitert - Besondere Einstellungen - MTU

Man kann aber auch (als root) die zugehörige Konfigurationsdatei in /etc/sysconfig/network selbst bearbeiten.

Unter SuSE 9.0 heißen die:
Code:
/etc/sysconfig/network/ifcfg-ethx

wobei 'ethx' hier als Platzhalter für eth0, eth1 und so weiter steht.

Unter SuSE 9.1 heißen die Dateien etwas anders:
Code:
/etc/sysconfig/network/ifcfg-eth-id-00:00:39:c8:91:88

oder so ähnlich. Hier wird die MAC-Adresse der Netzwerkkarte zum Identifizieren verwendet.

Da drin gibt es eine Zeile 'MTU='.

Hier ein Beispiel:

BOOTPROTO='static'
BROADCAST='192.168.1.255'
IPADDR='192.168.1.70'
MTU='1492'
NETMASK='255.255.255.0'
NETWORK='192.168.1.0'
REMOTE_IPADDR=''
STARTMODE='onboot'
UNIQUE='7EWs.weGuQ9ywYPF'
_nm_name='bus-pci-0000:00:11.0'

Wenn man einen eigenen linuxbasierten DSL-Router hat dann besteht die Möglichkeit daß dieser via iptables die Datenpakete an die MTU anpaßt. Dazu muß das Firewallskript erweitert werden um folgende Zeile:

Code:
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

=== Weitere Infos zum Thema 'MTU' gibts hier ===

Ermitteln des optimalen MTU Wertes:
http://www.gschwarz.de/mtu-wert.htm

Internetverbindung: Manche Webseiten lassen sich nicht aufrufen:
http://portal.suse.de/sdb/de/2001/11/cg_internet.html

MTU optimieren:
http://gw.renner.bei.t-online.de/windowsxp/mtu.htm

MTU-Mini-FAQ (für xDSL-Zugänge über PPPoE)
http://www.sauff.com/dsl-faq/mtu-mini-faq.html

Lexikonbeschreibung MTU
http://de.wikipedia.org/wiki/Maximum_Transfer_Unit

== DNS-Probleme ==

Es hat sich gezeigt dass manche DSL-Router Probleme mit der DNS-Weiterleitung haben.

Der DSL-Router bekommt in der Regel bei der Einwahl ueber PPPoE die Adresse eines DNS-Servers des Providers dynamisch zugewiesen.

Client-PCs wiederum verwenden dann als DNS-Server die IP-Adresse des DSL-Routers. Der DSL-Router soll DNS-Anfragen von Clients an den DNS-Server des Providers weiterleiten und ebenso die Antwort an den Client weiterreichen.

Aus irgendwelchen mir unbekannten Gruenden hakt es dabei immer wieder.

Die Symptome sind nicht eindeutig - mal gehts, mal nicht, mal gehen bestimmte Seiten aber andere nicht.

Es wurde auch schon mehrfach berichtet daß es unter Windows funktioniert, unter Linux aber nicht.

Ich habe schon mal mit einem Firmwareupdate des DSL-Routers Besserung erzielen koennen.

Eine Alternative ist es das Problem einfach zu umgehen und die Adresse eines DNS-Servers des Providers direkt beim Client einzutragen. Das stellt dann ein Problem dar wenn der Provider den DNS auf einen anderen Server umzieht oder bei mehreren DNS-Servern einer ausfaellt.

Da viele T-DSL ueber T-Online verwenden hier ein Link mit Adressen mehrerer DNS-Server von T-Online:

http://atelier89.de/users/dirk/t-o/010.html

Bei meinem DSL-Router kann man im Webinterface nachsehen welche DNS-Server er momentan benutzt.

Der DNS-Server laesst sich auch so einstellen:
yast2 - Netzwerkdienste - DNS- und Hostname

Nachtrag: Ein Fehler in der Datei /etc/nsswitch.conf kann dazu führen daß DNS zur Namensauflösung gar nicht verwendet wird. Deshalb sicherheitshalber die Zeile 'hosts:' überprüfen. Eine i.A. funktionierende Variante ist

Code:
host: files dns

Nachtrag: IPv6 für Konqueror abschalten

wbast hat Folgendes geschrieben:
Ich habe jetzt heraus gekriegt woran das lag.

Und zwar versuchte bei mir der Konqueror(und nur der) IPv6-Adressen aufzulösen.

Das habe ich im abgewöhnt mit einem

export KDE_NO_IPV6=1

in der ~/.bashrc

Nachtrag: IPv6 für Firefox abschalten

geko hat Folgendes geschrieben:

Firefox aufrufen und in Adresszeile
Code:
about:config

eingeben.

Folgenden Wert suchen:
Code:
network.dns.disableIPv6 Standart boolean false

Durch anklicken ändern in:
Code:
network.dns.disableIPv6 vom Ben.. boolean true

Noch kurz Firefox neustarten!

== Anmerkung ==
{{Überarbeiten}}
Dort gibt es noch eine weiterführende Diskussion, die habe ich nicht eingearbeitet:
http://www.linux-club.de/ftopic16677.html
eingefügt von --[[Benutzer:Yehudi|Yehudi]] 08:52, 12. Sep 2006 (CEST)
[[TCP/IP-Netzwerke und Internetzugang]][[Category:TCP/IP]]

Internetverbindungsprobleme - IPv6 MTU DNS

2006-12-28T19:03:20Z

Martin Breidenbach: /* DNS-Probleme */

Autor: Martin Breidenbach

Zunächst einmal muss geklärt werden:

ist die Datentransferrate niedrig (z.B. bei Downloads) oder dauert es ewig bis z.B. im Mozilla eine Seite aufgebaut wird ? Oder lassen sich bestimmte Seiten einfach nicht aufrufen ?

Es gibt drei Standardursachen für dieses Problem (nicht notwendigerweise in dieser Reihenfolge):

1. TCP/IP v6 (abschalten) 
2. bei DSL ist die MTU zu groß 
3. Probleme mit dem DNS 

Ihr solltet keineswegs einfach mal alles so abändern wie hier beschrieben. Es geht hier darum einen Fehler einzukreisen und zum umgehen. Ein 'korrekt' arbeitendes System wird hierdurch nicht schneller.

Der Reihe nach:

== IPv6 abschalten ==

TCP/IP verwendet vier Bytes zur Adressierung von Rechnern. Durch das rasante Anwachsen des Internets besteht das Problem dass so langsam die Adressen ausgehen.

Deswegen hat man einen Nachfolger definiert der 16 statt 4 Bytes für die Adressierung verwendet.

Details: http://de.wikipedia.org/wiki/Ipv6

Wenn ipv6 aktiviert ist passiert es dass Linux zuerst versucht ipv6 und dann das 'gute alte' [[TCP/IP-Referenzmodell|TCP/IP]] zu benutzen. Da ipv6 momentan im Internet noch nicht benutzt wird kann man es auf dem Client abschalten.

Wie man ipv6 abschaltet steht in diesem Artikel der SuSE Supportdatenbank:

http://portal.suse.com/sdb/de/2003/10/90_mozilla_ipv6.html

Zitat:
Symptom

Sobald sie irgendetwas in die Mozilla URL-Leiste eingeben friert Mozilla ein.

Ursache

Mozilla versucht Namensauflösung zuerst über IPv6. Wenn Sie SuSEfirewall2 benutzen ist IPv6 allerdings komplett gesperrt. Deswegen läuft die Abfrage ins Leere und wartet auf einen Timeout von ca. 60 Sekunden.

Lösung

Sie können, wenn Sie ihn nicht benötigen, den IPv6 Support komplett abschalten.

Für SUSE Linux 9.0 können Sie dies tun Sie, indem Sie folgende Zeilen in der Datei /etc/modules.conf ändern.

alias net-pf-10 ipv6
#alias net-pf-10 off

nach

#alias net-pf-10 ipv6
alias net-pf-10 off

Alternativ steht über das Online Update mittlerweile eine modifizierte Version der SuSEfirewall2 zur Verfügung, die die nötigen Pakete auf dem lokalen Rechner nicht mehr blockiert.

Unter SUSE Linux 9.1 (genauer: mit Kernel 2.6.x) gibt es statt der Datei /etc/modules.conf jetzt die Datei /etc/modprobe.conf.

Wenn Sie unter SUSE Linux 9.1 IPv6 grundsätzlich deaktivieren möchten, müssen Sie in der Datei /etc/modprobe.conf die folgende Änderung vornehmen:

alias net-pf-10 ipv6

nach

alias net-pf-10 ipv6
install ipv6 /bin/true

Weiter unten gibt es noch Hinweise wie man IPv6 für Konqueror und Firefox abschalten kann.

Noch ein Artikel zu dem Thema:

http://support.novell.com/cgi-bin/search/searchtid.cgi?10098152.htm

Zitat:
The following steps should be followed to disable IPV6 on SuSE Linux Enterprise Server 9:

1- Modify /etc/modprobe.conf.local by adding the following:

#
# please add local extensions to this file
#
install ipv6 /bin/true

2- reboot

*** In some circumstances, it is also necessary to modify the /etc/modprobe.conf and change the following:

alias net-pf-10 ipv6

to

alias net-pf-10 off

Hinweis: Das hier für SLES9 beschriebene Verfahren funktioniert auch für SuSE Pro 10 (jedefalls bei mir).

== MTU zu gross ==

MTU und DNS sind Hauptverdächtige wenn sich bestimmte Webseiten nicht aufrufen lassen.

MTU = Maximum Transfer Unit
PPP = Point-to-Point Protocol
PPPoE = PPP over Ethernet

DSL verwendet hierzulande in der Regel das PPPoE Protokoll. PPP ist ein Protokoll zur Einwahl in TCP/IP-Netze das z.B. bei der Einwahl über Analog-Modem oder ISDN verwendet wird. PPPoE verwendet das PPP-Protokoll, nur eben über Ethernet und nicht Telefonleitung.

Das Problem besteht nun darin dass Ethernet-Pakete eine maximale Paketgröße haben. Wenn man nun ein Ethernet-Paket in ein PPP-Paket verpackt und das wiederum in ein Ethernet-Paket steckt (so wie das bei PPPoE geschieht) dann wird der maximal nutzbare Teil des Paketes kleiner. Und dieser ist die MTU.

Eigentlich sollte das automatisch umgesetzt werden und ein zu großes Paket gesplittet werden. Da das nicht immer so funktioniert kann man das Problem umgehen indem man auf dem Client die MTU kleiner macht.

Ein guter Wert für T-DSL ist 1492 bytes.

Die Einstellung für die MTU befinden sich bei SuSE 9.1 tief versteckt im Yast2 in den Experteneinstellungen zur Netzwerkkarte:

yast2- Netzwerkgeraete - Netzwerkkarte - ändern - Karte auswählen - Erweitert - Besondere Einstellungen - MTU

Man kann aber auch (als root) die zugehörige Konfigurationsdatei in /etc/sysconfig/network selbst bearbeiten.

Unter SuSE 9.0 heißen die:
Code:
/etc/sysconfig/network/ifcfg-ethx

wobei 'ethx' hier als Platzhalter für eth0, eth1 und so weiter steht.

Unter SuSE 9.1 heißen die Dateien etwas anders:
Code:
/etc/sysconfig/network/ifcfg-eth-id-00:00:39:c8:91:88

oder so ähnlich. Hier wird die MAC-Adresse der Netzwerkkarte zum Identifizieren verwendet.

Da drin gibt es eine Zeile 'MTU='.

Hier ein Beispiel:

BOOTPROTO='static'
BROADCAST='192.168.1.255'
IPADDR='192.168.1.70'
MTU='1492'
NETMASK='255.255.255.0'
NETWORK='192.168.1.0'
REMOTE_IPADDR=''
STARTMODE='onboot'
UNIQUE='7EWs.weGuQ9ywYPF'
_nm_name='bus-pci-0000:00:11.0'

Wenn man einen eigenen linuxbasierten DSL-Router hat dann besteht die Möglichkeit daß dieser via iptables die Datenpakete an die MTU anpaßt. Dazu muß das Firewallskript erweitert werden um folgende Zeile:

Code:
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

=== Weitere Infos zum Thema 'MTU' gibts hier ===

Ermitteln des optimalen MTU Wertes:
http://www.gschwarz.de/mtu-wert.htm

Internetverbindung: Manche Webseiten lassen sich nicht aufrufen:
http://portal.suse.de/sdb/de/2001/11/cg_internet.html

MTU optimieren:
http://gw.renner.bei.t-online.de/windowsxp/mtu.htm

MTU-Mini-FAQ (für xDSL-Zugänge über PPPoE)
http://www.sauff.com/dsl-faq/mtu-mini-faq.html

Lexikonbeschreibung MTU
http://de.wikipedia.org/wiki/Maximum_Transfer_Unit

== DNS-Probleme ==

Es hat sich gezeigt dass manche DSL-Router Probleme mit der DNS-Weiterleitung haben.

Der DSL-Router bekommt in der Regel bei der Einwahl ueber PPPoE die Adresse eines DNS-Servers des Providers dynamisch zugewiesen.

Client-PCs wiederum verwenden dann als DNS-Server die IP-Adresse des DSL-Routers. Der DSL-Router soll DNS-Anfragen von Clients an den DNS-Server des Providers weiterleiten und ebenso die Antwort an den Client weiterreichen.

Aus irgendwelchen mir unbekannten Gruenden hakt es dabei immer wieder.

Die Symptome sind nicht eindeutig - mal gehts, mal nicht, mal gehen bestimmte Seiten aber andere nicht.

Es wurde auch schon mehrfach berichtet daß es unter Windows funktioniert, unter Linux aber nicht.

Ich habe schon mal mit einem Firmwareupdate des DSL-Routers Besserung erzielen koennen.

Eine Alternative ist es das Problem einfach zu umgehen und die Adresse eines DNS-Servers des Providers direkt beim Client einzutragen. Das stellt dann ein Problem dar wenn der Provider den DNS auf einen anderen Server umzieht oder bei mehreren DNS-Servern einer ausfaellt.

Da viele T-DSL ueber T-Online verwenden hier ein Link mit Adressen mehrerer DNS-Server von T-Online:

http://atelier89.de/users/dirk/t-o/010.html

Bei meinem DSL-Router kann man im Webinterface nachsehen welche DNS-Server er momentan benutzt.

Der DNS-Server laesst sich auch so einstellen:
yast2 - Netzwerkdienste - DNS- und Hostname

Nachtrag: Ein Fehler in der Datei /etc/nsswitch.conf kann dazu führen daß DNS zur Namensauflösung gar nicht verwendet wird. Deshalb sicherheitshalber die Zeile 'hosts:' überprüfen. Eine i.A. funktionierende Variante ist

Code:
host: files dns

Nachtrag: IPv6 für Konqueror abschalten

wbast hat Folgendes geschrieben:
Ich habe jetzt heraus gekriegt woran das lag.

Und zwar versuchte bei mir der Konqueror(und nur der) IPv6-Adressen aufzulösen.

Das habe ich im abgewöhnt mit einem

export KDE_NO_IPV6=1

in der ~/.bashrc

Nachtrag: IPv6 für Firefox abschalten

geko hat Folgendes geschrieben:

Firefox aufrufen und in Adresszeile
Code:
about:config

eingeben.

Folgenden Wert suchen:
Code:
network.dns.disableIPv6 Standart boolean false

Durch anklicken ändern in:
Code:
network.dns.disableIPv6 vom Ben.. boolean true

Noch kurz Firefox neustarten!

== Anmerkung ==
{{Überarbeiten}}
Dort gibt es noch eine weiterführende Diskussion, die habe ich nicht eingearbeitet:
http://www.linux-club.de/ftopic16677.html
eingefügt von --[[Benutzer:Yehudi|Yehudi]] 08:52, 12. Sep 2006 (CEST)
[[TCP/IP-Netzwerke und Internetzugang]][[Category:TCP/IP]]

Internetverbindungsprobleme - IPv6 MTU DNS

2006-12-28T19:02:33Z

Martin Breidenbach: /* DNS-Probleme */

Autor: Martin Breidenbach

Zunächst einmal muss geklärt werden:

ist die Datentransferrate niedrig (z.B. bei Downloads) oder dauert es ewig bis z.B. im Mozilla eine Seite aufgebaut wird ? Oder lassen sich bestimmte Seiten einfach nicht aufrufen ?

Es gibt drei Standardursachen für dieses Problem (nicht notwendigerweise in dieser Reihenfolge):

1. TCP/IP v6 (abschalten) 
2. bei DSL ist die MTU zu groß 
3. Probleme mit dem DNS 

Ihr solltet keineswegs einfach mal alles so abändern wie hier beschrieben. Es geht hier darum einen Fehler einzukreisen und zum umgehen. Ein 'korrekt' arbeitendes System wird hierdurch nicht schneller.

Der Reihe nach:

== IPv6 abschalten ==

TCP/IP verwendet vier Bytes zur Adressierung von Rechnern. Durch das rasante Anwachsen des Internets besteht das Problem dass so langsam die Adressen ausgehen.

Deswegen hat man einen Nachfolger definiert der 16 statt 4 Bytes für die Adressierung verwendet.

Details: http://de.wikipedia.org/wiki/Ipv6

Wenn ipv6 aktiviert ist passiert es dass Linux zuerst versucht ipv6 und dann das 'gute alte' [[TCP/IP-Referenzmodell|TCP/IP]] zu benutzen. Da ipv6 momentan im Internet noch nicht benutzt wird kann man es auf dem Client abschalten.

Wie man ipv6 abschaltet steht in diesem Artikel der SuSE Supportdatenbank:

http://portal.suse.com/sdb/de/2003/10/90_mozilla_ipv6.html

Zitat:
Symptom

Sobald sie irgendetwas in die Mozilla URL-Leiste eingeben friert Mozilla ein.

Ursache

Mozilla versucht Namensauflösung zuerst über IPv6. Wenn Sie SuSEfirewall2 benutzen ist IPv6 allerdings komplett gesperrt. Deswegen läuft die Abfrage ins Leere und wartet auf einen Timeout von ca. 60 Sekunden.

Lösung

Sie können, wenn Sie ihn nicht benötigen, den IPv6 Support komplett abschalten.

Für SUSE Linux 9.0 können Sie dies tun Sie, indem Sie folgende Zeilen in der Datei /etc/modules.conf ändern.

alias net-pf-10 ipv6
#alias net-pf-10 off

nach

#alias net-pf-10 ipv6
alias net-pf-10 off

Alternativ steht über das Online Update mittlerweile eine modifizierte Version der SuSEfirewall2 zur Verfügung, die die nötigen Pakete auf dem lokalen Rechner nicht mehr blockiert.

Unter SUSE Linux 9.1 (genauer: mit Kernel 2.6.x) gibt es statt der Datei /etc/modules.conf jetzt die Datei /etc/modprobe.conf.

Wenn Sie unter SUSE Linux 9.1 IPv6 grundsätzlich deaktivieren möchten, müssen Sie in der Datei /etc/modprobe.conf die folgende Änderung vornehmen:

alias net-pf-10 ipv6

nach

alias net-pf-10 ipv6
install ipv6 /bin/true

Weiter unten gibt es noch Hinweise wie man IPv6 für Konqueror und Firefox abschalten kann.

Noch ein Artikel zu dem Thema:

http://support.novell.com/cgi-bin/search/searchtid.cgi?10098152.htm

Zitat:
The following steps should be followed to disable IPV6 on SuSE Linux Enterprise Server 9:

1- Modify /etc/modprobe.conf.local by adding the following:

#
# please add local extensions to this file
#
install ipv6 /bin/true

2- reboot

*** In some circumstances, it is also necessary to modify the /etc/modprobe.conf and change the following:

alias net-pf-10 ipv6

to

alias net-pf-10 off

Hinweis: Das hier für SLES9 beschriebene Verfahren funktioniert auch für SuSE Pro 10 (jedefalls bei mir).

== MTU zu gross ==

MTU und DNS sind Hauptverdächtige wenn sich bestimmte Webseiten nicht aufrufen lassen.

MTU = Maximum Transfer Unit
PPP = Point-to-Point Protocol
PPPoE = PPP over Ethernet

DSL verwendet hierzulande in der Regel das PPPoE Protokoll. PPP ist ein Protokoll zur Einwahl in TCP/IP-Netze das z.B. bei der Einwahl über Analog-Modem oder ISDN verwendet wird. PPPoE verwendet das PPP-Protokoll, nur eben über Ethernet und nicht Telefonleitung.

Das Problem besteht nun darin dass Ethernet-Pakete eine maximale Paketgröße haben. Wenn man nun ein Ethernet-Paket in ein PPP-Paket verpackt und das wiederum in ein Ethernet-Paket steckt (so wie das bei PPPoE geschieht) dann wird der maximal nutzbare Teil des Paketes kleiner. Und dieser ist die MTU.

Eigentlich sollte das automatisch umgesetzt werden und ein zu großes Paket gesplittet werden. Da das nicht immer so funktioniert kann man das Problem umgehen indem man auf dem Client die MTU kleiner macht.

Ein guter Wert für T-DSL ist 1492 bytes.

Die Einstellung für die MTU befinden sich bei SuSE 9.1 tief versteckt im Yast2 in den Experteneinstellungen zur Netzwerkkarte:

yast2- Netzwerkgeraete - Netzwerkkarte - ändern - Karte auswählen - Erweitert - Besondere Einstellungen - MTU

Man kann aber auch (als root) die zugehörige Konfigurationsdatei in /etc/sysconfig/network selbst bearbeiten.

Unter SuSE 9.0 heißen die:
Code:
/etc/sysconfig/network/ifcfg-ethx

wobei 'ethx' hier als Platzhalter für eth0, eth1 und so weiter steht.

Unter SuSE 9.1 heißen die Dateien etwas anders:
Code:
/etc/sysconfig/network/ifcfg-eth-id-00:00:39:c8:91:88

oder so ähnlich. Hier wird die MAC-Adresse der Netzwerkkarte zum Identifizieren verwendet.

Da drin gibt es eine Zeile 'MTU='.

Hier ein Beispiel:

BOOTPROTO='static'
BROADCAST='192.168.1.255'
IPADDR='192.168.1.70'
MTU='1492'
NETMASK='255.255.255.0'
NETWORK='192.168.1.0'
REMOTE_IPADDR=''
STARTMODE='onboot'
UNIQUE='7EWs.weGuQ9ywYPF'
_nm_name='bus-pci-0000:00:11.0'

Wenn man einen eigenen linuxbasierten DSL-Router hat dann besteht die Möglichkeit daß dieser via iptables die Datenpakete an die MTU anpaßt. Dazu muß das Firewallskript erweitert werden um folgende Zeile:

Code:
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

=== Weitere Infos zum Thema 'MTU' gibts hier ===

Ermitteln des optimalen MTU Wertes:
http://www.gschwarz.de/mtu-wert.htm

Internetverbindung: Manche Webseiten lassen sich nicht aufrufen:
http://portal.suse.de/sdb/de/2001/11/cg_internet.html

MTU optimieren:
http://gw.renner.bei.t-online.de/windowsxp/mtu.htm

MTU-Mini-FAQ (für xDSL-Zugänge über PPPoE)
http://www.sauff.com/dsl-faq/mtu-mini-faq.html

Lexikonbeschreibung MTU
http://de.wikipedia.org/wiki/Maximum_Transfer_Unit

== DNS-Probleme ==

Es hat sich gezeigt dass manche DSL-Router Probleme mit der DNS-Weiterleitung haben.

Der DSL-Router bekommt in der Regel bei der Einwahl ueber PPPoE die Adresse eines DNS-Servers des Providers dynamisch zugewiesen.

Client-PCs wiederum verwenden dann als DNS-Server die IP-Adresse des DSL-Routers. Der DSL-Router soll DNS-Anfragen von Clients an den DNS-Server des Providers weiterleiten und ebenso die Antwort an den Client weiterreichen.

Aus irgendwelchen mir unbekannten Gruenden hakt es dabei immer wieder.

Die Symptome sind nicht eindeutig - mal gehts, mal nicht, mal gehen bestimmte Seiten aber andere nicht.

Es wurde auch schon mehrfach berichtet daß es unter Windows funktioniert, unter Linux aber nicht.

Ich habe schon mal mit einem Firmwareupdate des DSL-Routers Besserung erzielen koennen.

Eine Alternative ist es das Problem einfach zu umgehen und die Adresse eines DNS-Servers des Providers direkt beim Client einzutragen. Das stellt dann ein Problem dar wenn der Provider den DNS auf einen anderen Server umzieht oder bei mehreren DNS-Servern einer ausfaellt.

Da viele T-DSL ueber T-Online verwenden hier ein Link mit Adressen mehrerer DNS-Server von T-Online:

http://atelier89.de/users/dirk/t-o/010.html

Bei meinem DSL-Router kann man im Webinterface nachsehen welche DNS-Server er momentan benutzt.

Der DNS-Server laesst sich auch so einstellen:
yast2 - Netzwerkdienste - DNS- und Hostname

Nachtrag: Ein Fehler in der Datei /etc/nsswitch.conf kann dazu führen daß DNS zur Namensauflösung gar nicht verwendet wird. Deshalb sicherheitshalber die Zeile 'hosts:' überprüfen. Eine i.A. funktionierende Variante ist 'host: files dns'

Nachtrag: IPv6 für Konqueror abschalten

wbast hat Folgendes geschrieben:
Ich habe jetzt heraus gekriegt woran das lag.

Und zwar versuchte bei mir der Konqueror(und nur der) IPv6-Adressen aufzulösen.

Das habe ich im abgewöhnt mit einem

export KDE_NO_IPV6=1

in der ~/.bashrc

Nachtrag: IPv6 für Firefox abschalten

geko hat Folgendes geschrieben:

Firefox aufrufen und in Adresszeile
Code:
about:config

eingeben.

Folgenden Wert suchen:
Code:
network.dns.disableIPv6 Standart boolean false

Durch anklicken ändern in:
Code:
network.dns.disableIPv6 vom Ben.. boolean true

Noch kurz Firefox neustarten!

== Anmerkung ==
{{Überarbeiten}}
Dort gibt es noch eine weiterführende Diskussion, die habe ich nicht eingearbeitet:
http://www.linux-club.de/ftopic16677.html
eingefügt von --[[Benutzer:Yehudi|Yehudi]] 08:52, 12. Sep 2006 (CEST)
[[TCP/IP-Netzwerke und Internetzugang]][[Category:TCP/IP]]

Integration von ClamAV in Squid

2006-09-16T17:21:21Z

Martin Breidenbach: /* Benötigte Pakete von SuSE */

Autor: Martin Breidenbach

== Einleitung ==

Mit dem SquidClamAV Redirector kann man den Virenscanner ClamAV in den Proxy Squid integrieren. Dateien werden damit vor Download virengescannt.

Ich habe die Installation unter SuSE 10.0 und SuSE 10.1 durchgeführt.

Es befindet sich dazu ein HOWTO auf http://www.jackal-net.at/tiki-read_article.php?articleId=1

Dazu noch ein paar Bemerkungen:

== Benötigte Pakete von SuSE ==

Zur Installation benötigt man (mindestens) folgende Pakete von SuSE (und davon abhängende):

* python
* python-devel
* gcc
* make
* squid
* clamav

Danach clamav konfigurieren (mindestens den Virensignaturupdate mit freshclam (siehe /usr/share/doc/packages/clamav/clamdoc.pdf)) und natürlich den squid konfigurieren (mindestens acl für das lokale Netz definieren und freischalten) und testen.

Hinweis: freshclam befindet sich (zumindest bei SuSE 10.0/10.1) in /usr/bin und nicht in /usr/local/bin wie in clamdoc.pdf beschrieben.

== Python-Schnittstelle pyclamav für ClamAV installieren ==

Dann benötigt man pyclamav von http://xael.org/norman/python/pyclamav/index.html

Aktuelle Version von pyclamav-x.y.z.tar.gz herunterladen, entpacken und installieren mit

* python setup.py build
* python setup.py install

== SCAVR installieren ==

Dann SCAVR entsprechend der oben genannten Anleitung installieren.

Ich bekam bezüglich "redirector_access deny localhost" die Meldung daß die acl localhost unbekannt sei. Deswegen habe ich die weiter unten stehende Definition der acl localhost nach oben vor diese Zeile verschoben.

== SCAVR testen ==

Testen kann man z.B. mit dem EICAR Testfile: http://www.eicar.org/anti_virus_test_file.htm

[[Category:Squid]]

Quellenangaben:
* [http://www.clamav.net/ ClamAV Project Home Page]
* [http://www.jackal-net.at/tiki-read_article.php?articleId=1 SquidClamAV Redirector von Micheal Lang]
* [http://xael.org/norman/python/pyclamav/index.html pyClamAV: using libclamav with python von Alexandre Norman]

Integration von ClamAV in Squid

2006-09-16T15:05:03Z

Martin Breidenbach:

Autor: Martin Breidenbach

== Einleitung ==

Mit dem SquidClamAV Redirector kann man den Virenscanner ClamAV in den Proxy Squid integrieren. Dateien werden damit vor Download virengescannt.

Ich habe die Installation unter SuSE 10.0 und SuSE 10.1 durchgeführt.

Es befindet sich dazu ein HOWTO auf http://www.jackal-net.at/tiki-read_article.php?articleId=1

Dazu noch ein paar Bemerkungen:

== Benötigte Pakete von SuSE ==

Zur Installation benötigt man (mindestens) folgende Pakete von SuSE (und davon abhängende):

* python
* python-devel
* gcc
* make
* squid
* clamav

Danach clamav konfigurieren (mindestens den Virensignaturupdate mit freshclam (siehe /usr/share/doc/packages/clamav/clamdoc.pdf) und natürlich den squid konfigurieren (mindestens acl für das lokale Netz definieren und freischalten) und testen.

Hinweis: freshclam befindet sich (zumindest bei SuSE 10.0/10.1) in /usr/bin und nicht in /usr/local/bin wie in clamdoc.pdf beschrieben.

== Python-Schnittstelle pyclamav für ClamAV installieren ==

Dann benötigt man pyclamav von http://xael.org/norman/python/pyclamav/index.html

Aktuelle Version von pyclamav-x.y.z.tar.gz herunterladen, entpacken und installieren mit

* python setup.py build
* python setup.py install

== SCAVR installieren ==

Dann SCAVR entsprechend der oben genannten Anleitung installieren.

Ich bekam bezüglich "redirector_access deny localhost" die Meldung daß die acl localhost unbekannt sei. Deswegen habe ich die weiter unten stehende Definition der acl localhost nach oben vor diese Zeile verschoben.

== SCAVR testen ==

Testen kann man z.B. mit dem EICAR Testfile: http://www.eicar.org/anti_virus_test_file.htm

[[Category:Squid]]

Quellenangaben:
* [http://www.clamav.net/ ClamAV Project Home Page]
* [http://www.jackal-net.at/tiki-read_article.php?articleId=1 SquidClamAV Redirector von Micheal Lang]
* [http://xael.org/norman/python/pyclamav/index.html pyClamAV: using libclamav with python von Alexandre Norman]

Integration von ClamAV in Squid

2006-09-16T15:03:13Z

Martin Breidenbach:

Autor: Martin Breidenbach

== Einleitung ==

Mit dem SquidClamAV Redirector kann man den Virenscanner ClamAV in den Proxy Squid integrieren. Dateien werden damit vor Download virengescannt.

Ich habe die Installation unter SuSE 10.0 und SuSE 10.1 durchgeführt.

Es befindet sich dazu ein HOWTO auf http://www.jackal-net.at/tiki-read_article.php?articleId=1

Dazu noch ein paar Bemerkungen:

== Benötigte Pakete von SuSE ==

Zur Installation benötigt man (mindestens) folgende Pakete von SuSE (und davon abhängende):

* python
* python-devel
* gcc
* make
* squid
* clamav

Danach clamav konfigurieren (mindestens den Virensignaturupdate mit freshclam (siehe /usr/share/doc/packages/clamav/clamdoc.pdf) und natürlich den squid konfigurieren (mindestens acl für das lokale Netz definieren und freischalten) und testen.

Hinweis: freshclam befindet sich (zumindest bei SuSE 10.0/10.1) in /usr/bin und nicht in /usr/local/bin wie in clamdoc.pdf beschrieben.

== Python-Schnittstelle pyclamav für ClamAV installieren ==

Dann benötigt man pyclamav von http://xael.org/norman/python/pyclamav/index.html

Aktuelle Version von pyclamav-x.y.z.tar.gz herunterladen, entpacken und installieren mit

python setup.py build
python setup.py install

== SCAVR installieren ==

Dann SCAVR entsprechend der oben genannten Anleitung installieren.

Ich bekam bezüglich [code]redirector_access deny localhost[/code] die Meldung daß die acl localhost unbekannt sei. Deswegen habe ich die weiter unten stehende Definition der acl localhost nach oben vor diese Zeile verschoben.

== SCAVR testen ==

Testen kann man z.B. mit dem EICAR Testfile: http://www.eicar.org/anti_virus_test_file.htm

[[Category:Squid]]

Quellenangaben:
[http://www.jackal-net.at/tiki-read_article.php?articleId=1 SquidClamAV Redirector von Micheal Lang]
[http://xael.org/norman/python/pyclamav/index.html pyClamAV: using libclamav with python von Alexandre Norman]

Integration von ClamAV in Squid

2006-09-16T15:00:53Z

Martin Breidenbach:

Autor: Martin Breidenbach

== Einleitung ==

Mit dem SquidClamAV Redirector kann man den Virenscanner ClamAV in den Proxy Squid integrieren. Dateien werden damit vor Download virengescannt.

Ich habe die Installation unter SuSE 10.0 und SuSE 10.1 durchgeführt.

Es befindet sich dazu ein HOWTO auf http://www.jackal-net.at/tiki-read_article.php?articleId=1

Dazu noch ein paar Bemerkungen:

== Benötigte Pakete von SuSE ==

Zur Installation benötigt man (mindestens) folgende Pakete von SuSE (und davon abhängende):

python
python-devel
gcc
make
squid
clamav

Danach clamav konfigurieren (mindestens den Virensignaturupdate mit freshclam (siehe /usr/share/doc/packages/clamav/clamdoc.pdf) und natürlich den squid konfigurieren (mindestens acl für das lokale Netz definieren und freischalten) und testen.

Hinweis: freshclam befindet sich (zumindest bei SuSE 10.0/10.1) in /usr/bin und nicht in /usr/local/bin wie in clamdoc.pdf beschrieben.

== Python-Schnittstelle pyclamav für ClamAV installieren ==

Dann benötigt man pyclamav von http://xael.org/norman/python/pyclamav/index.html

Aktuelle Version von pyclamav-x.y.z.tar.gz herunterladen, entpacken und installieren mit

python setup.py build
python setup.py install

== SCAVR installieren ==

Dann SCAVR entsprechend der oben genannten Anleitung installieren.

Ich bekam bezüglich [code]redirector_access deny localhost[/code] die Meldung daß die acl localhost unbekannt sei. Deswegen habe ich die weiter unten stehende Definition der acl localhost nach oben vor diese Zeile verschoben.

== SCAVR testen ==

Testen kann man z.B. mit dem EICAR Testfile: http://www.eicar.org/anti_virus_test_file.htm

[[Category:Squid]]

Quellenangaben:
[http://www.jackal-net.at/tiki-read_article.php?articleId=1 SquidClamAV Redirector von Micheal Lang]
[http://xael.org/norman/python/pyclamav/index.html pyClamAV: using libclamav with python von Alexandre Norman]

Integration von ClamAV in Squid

2006-09-16T14:34:48Z

Martin Breidenbach:

Autor: Martin Breidenbach

== Einleitung ==

Mit dem SquidClamAV Redirector kann man den Virenscanner ClamAV in den Proxy Squid integrieren. Dateien werden damit vor Download virengescannt.

Ich habe die Installation unter SuSE 10.0 und SuSE 10.1 durchgeführt.

Es befindet sich dazu ein HOWTO auf [http://www.jackal-net.at/tiki-read_article.php?articleId=1].

Dazu noch ein paar Bemerkungen:

== Benötigte Pakete von SuSE ==

Zur Installation benötigt man (mindestens) folgende Pakete von SuSE (und davon abhängende):

python
python-devel
gcc
make
squid
clamav

Danach clamav konfigurieren (mindestens den Virensignaturupdate mit freshclam (siehe /usr/share/doc/packages/clamav/clamdoc.pdf) und natürlich den squid konfigurieren (mindestens acl für das lokale Netz definieren und freischalten) und testen.

Hinweis: freshclam befindet sich (zumindest bei SuSE 10.0/10.1) in /usr/bin und nicht in /usr/local/bin wie in clamdoc.pdf beschrieben.

== Python-Schnittstelle pyclamav für ClamAV installieren ==

Dann benötigt man pyclamav von [http://xael.org/norman/python/pyclamav/index.html]

Aktuelle Version von pyclamav-x.y.z.tar.gz herunterladen, entpacken und installieren mit

python setup.py build
python setup.py install

== SCAVR installieren ==

Dann SCAVR entsprechend der oben genannten Anleitung installieren.

Ich bekam bezüglich [code]redirector_access deny localhost[/code] die Meldung daß die acl localhost unbekannt sei. Deswegen habe ich die weiter unten stehende Definition der acl localhost nach oben vor diese Zeile verschoben.

== SCAVR testen ==

Testen kann man z.B. mit dem EICAR Testfile: [http://www.eicar.org/anti_virus_test_file.htm]

Squid

2006-09-16T14:31:21Z

Martin Breidenbach:

'''KEINE SONDERZEICHEN IN DIE LINKS EINFÜGEN!!!'''
Diese werden in der URL nicht korrekt aufgelöst

'''KEINE LINKS AUS DEM INHALTSVERZEICHNIS VERSCHIEBEN!!!'''
Dieses bringt den Verzeichnisbaum durcheinander.

=== [[SquidGuard als Jugendschutzfilter]] ===
=== [[Traffic Shaping mit Squid]] ===
=== [[SQUID Musterkonfigurationen]] ===
=== [[Integration von ClamAV in Squid]] ===

[[Category:Squid]]

Squid

2006-09-16T14:31:04Z

Martin Breidenbach:

Integration von ClamAV in Squid

2006-09-16T14:28:18Z

Martin Breidenbach:

Autor: Martin Breidenbach

== Einleitung ==

Mit dem SquidClamAV Redirector kann man den Virenscanner ClamAV in den Proxy Squid integrieren. Dateien werden damit vor Download virengescannt.

Ich habe die Installation heute unter SuSE 10.0 und SuSE 10.1 durchgeführt.

Es befindet sich dazu ein HOWTO auf [http://www.jackal-net.at/tiki-read_article.php?articleId=1].

Dazu noch ein paar Bemerkungen:

== Benötigte Pakete von SuSE ==

Zur Installation benötigt man (mindestens) folgende Pakete von SuSE (und davon abhängende):

python
python-devel
gcc
make
squid
clamav

Danach clamav konfigurieren (mindestens den Virensignaturupdate mit freshclam (siehe /usr/share/doc/packages/clamav/clamdoc.pdf) und natürlich den squid konfigurieren (mindestens acl für das lokale Netz definieren und freischalten) und testen.

Hinweis: freshclam befindet sich (zumindest bei SuSE 10.0/10.1) in /usr/bin und nicht in /usr/local/bin wie in clamdoc.pdf beschrieben.

== Python-Schnittstelle pyclamav für ClamAV installieren ==

Dann benötigt man pyclamav von [http://xael.org/norman/python/pyclamav/index.html]

Aktuelle Version von pyclamav-x.y.z.tar.gz herunterladen, entpacken und installieren mit

python setup.py build
python setup.py install

== SCAVR installieren ==

Dann SCAVR entsprechend der oben genannten Anleitung installieren.

Ich bekam bezüglich [code]redirector_access deny localhost[/code] die Meldung daß die acl localhost unbekannt sei. Deswegen habe ich die weiter unten stehende Definition der acl localhost nach oben vor diese Zeile verschoben.

== SCAVR testen ==

Testen kann man z.B. mit dem EICAR Testfile: [http://www.eicar.org/anti_virus_test_file.htm]

Integration von ClamAV in Squid

2006-09-16T14:25:40Z

Martin Breidenbach:

Mit dem SquidClamAV Redirector kann man den Virenscanner ClamAV in den Proxy Squid integrieren. Dateien werden damit vor Download virengescannt.

Ich habe die Installation heute unter SuSE 10.0 und SuSE 10.1 durchgeführt.

Es befindet sich dazu ein HOWTO auf [url]http://www.jackal-net.at/tiki-read_article.php?articleId=1[/url].

Dazu noch ein paar Bemerkungen:

== a) Benötigte Pakete von SuSE ==

Zur Installation benötigt man (mindestens) folgende Pakete von SuSE (und davon abhängende):

python
python-devel
gcc
make
squid
clamav

Danach clamav konfigurieren (mindestens den Virensignaturupdate mit freshclam (siehe /usr/share/doc/packages/clamav/clamdoc.pdf) und natürlich den squid konfigurieren (mindestens acl für das lokale Netz definieren und freischalten) und testen.

Hinweis: freshclam befindet sich (zumindest bei SuSE 10.0/10.1) in /usr/bin und nicht in /usr/local/bin wie in clamdoc.pdf beschrieben.

== b) Python-Schnittstelle pyclamav für ClamAV installieren ==

Dann benötigt man pyclamav von [url]http://xael.org/norman/python/pyclamav/index.html[/url]

Aktuelle Version von pyclamav-x.y.z.tar.gz herunterladen, entpacken und installieren mit

python setup.py build
python setup.py install

== c) SCAVR installieren ==

Dann SCAVR entsprechend der oben genannten Anleitung installieren.

Ich bekam bezüglich [code]redirector_access deny localhost[/code] die Meldung daß die acl localhost unbekannt sei. Deswegen habe ich die weiter unten stehende Definition der acl localhost nach oben vor diese Zeile verschoben.

== d) SCAVR testen ==

Testen kann man z.B. mit dem EICAR Testfile: [url]http://www.eicar.org/anti_virus_test_file.htm[/url]

Integration von ClamAV in Squid

2006-09-16T14:23:34Z

Martin Breidenbach:

Mit dem SquidClamAV Redirector kann man den Virenscanner ClamAV in den Proxy Squid integrieren. Dateien werden damit vor Download virengescannt.

Ich habe die Installation heute unter SuSE 10.0 und SuSE 10.1 durchgeführt.

Es befindet sich dazu ein HOWTO auf [url]http://www.jackal-net.at/tiki-read_article.php?articleId=1[/url].

Dazu noch ein paar Bemerkungen:

[b]a) Benötigte Pakete von SuSE[/b]

Zur Installation benötigt man (mindestens) folgende Pakete von SuSE (und davon abhängende):

python
python-devel
gcc
make
squid
clamav

Danach clamav konfigurieren (mindestens den Virensignaturupdate mit freshclam (siehe /usr/share/doc/packages/clamav/clamdoc.pdf) und natürlich den squid konfigurieren (mindestens acl für das lokale Netz definieren und freischalten) und testen.

Hinweis: freshclam befindet sich (zumindest bei SuSE 10.0/10.1) in /usr/bin und nicht in /usr/local/bin wie in clamdoc.pdf beschrieben.

[b]b) Python-Schnittstelle pyclamav für ClamAV installieren[/b]

Dann benötigt man pyclamav von [url]http://xael.org/norman/python/pyclamav/index.html[/url]

Aktuelle Version von pyclamav-x.y.z.tar.gz herunterladen, entpacken und installieren mit

python setup.py build
python setup.py install

[b]c) SCAVR installieren[/b]

Dann SCAVR entsprechend der oben genannten Anleitung installieren.

Ich bekam bezüglich [code]redirector_access deny localhost[/code] die Meldung daß die acl localhost unbekannt sei. Deswegen habe ich die weiter unten stehende Definition der acl localhost nach oben vor diese Zeile verschoben.

[b]d) SCAVR testen[/b]

Testen kann man z.B. mit dem EICAR Testfile: [url]http://www.eicar.org/anti_virus_test_file.htm[/url]

Squid

2006-09-16T14:22:38Z

Martin Breidenbach: