IPCop-Forum.de

www.ipcop-forum.de


IPCop-Community
CL-Systems
Home Home   Doku Doku   Links Links   Downloads Downloads
UnIPCop Der (Un)IPCop   IFS IPCop-ForumSpy
CopTime CopTime   Galerie IPCop-Galerie   IPCop Userkarte Userkarte
Aktuelle Zeit: 23.04.2018, 07:39

Alle Zeiten sind UTC+02:00




Ein neues Thema erstellen  Auf das Thema antworten  [ 12 Beiträge ] 
Autor Nachricht
BeitragVerfasst: 04.01.2018, 22:50 
Offline
Constable
Themenstarter
Constable

Registriert: 05.05.2011
Beiträge: 34
Wohnort: Im Norden
Moin,

seit zwei Wochen suche ich einen Fehler. Da ich absolut nichts finden kann, wollte ich fragen, ob es interne Regeln gibt, die nicht über die GUI zu ändern sind?

Problem:
2 Domänen, eine in GRÜN und eine in BLAU. In BLAU steht ein neuer Server, der Drucker (HP) in GRÜN ansprechen soll. Der Server kann die Drucker anpingen (und umgekehrt), findet sie im Netz auch automatisch samt passenden Treibern, aber wenn man dann drucken will, kommt ein Fehler; die Druckaufträge sammeln sich in der Warteschlange. Die gleichen Drucker werden auch von einem Server in GRÜN angesprochen -> funktioniert. Ein versuchsweise im blauen Netz installierter Drucker funktioniert einwandfrei. Selbst das Drucken über ipSEC an einem anderen Standort funktioniert tadellos.
Es scheint weder am Server noch den Druckern zu liegen, sondern am ipCOP, aber wo?

GRÜN 192.168.87.126/25
BLAU 192.168.133.126/25
Bei BLAU ist die Adressfilterung natürlich ausgeschaltet.

Server 192.168.133.3/25 GW 192.168.133.126
Drucker1 192.168.87.67/25 GW 192.168.87.126
Drucker2 192.168.87.69/25 GW 192.168.87.126

Zur Vereinfachung existieren die Regeln
BLAU:any >> GRÜN:any
GRÜN:any >> BLAU:any

Viele Grüße

dfk


Nach oben
   
BeitragVerfasst: 05.01.2018, 17:19 
Offline
Deputy Commissioner
Deputy Commissioner
Benutzeravatar

Registriert: 23.09.2007
Beiträge: 1081
Wohnort: an der Oder
Warum lässt du den Server nicht einfach per Tunnel nach Grün verbinden? Dann musst du auch nicht den npp (Network printing protokoll) oder sonst was von Blau nach Grün forwarden.

Ansonsten kannst du an der Konsole alle Möglichkeiten von iptables nutzen, um Netzwerkpakete zu beeinflussen.

Adressfilter in Blau ist unkritisch, solange du den Zugriff des Rechners zum IPCop erlaubst.

_________________
Immer mit der Ruhe, alles wird gut...

BildBildBild
Mein erster Post im Forum.


Nach oben
   
BeitragVerfasst: 05.01.2018, 17:51 
Offline
Constable
Themenstarter
Constable

Registriert: 05.05.2011
Beiträge: 34
Wohnort: Im Norden
In den iptables gibt es folgenden Eintrag

Code:
Chain FW_PINHOLES
ACCEPT   all   --   192.168.133.0/25      192.168.87.0/25
ACCEPT   all   --   192.168.87.0/25      192.168.133.0/25


Aber es geht trotzdem nicht. :verrueckt:

Zitat:
Warum lässt du den Server nicht einfach per Tunnel nach Grün verbinden?

Auf einem DC möchte ich nur ungern zusätzliche VPN-Verbindungen haben. Außerdem belastet das sowohl den Server als auch die FW, die ja auch so schon den Netzwerkverkehr zum Hauptnetz bewältigen muß.


Nach oben
   
BeitragVerfasst: 05.01.2018, 18:23 
Offline
Deputy Commissioner
Deputy Commissioner
Benutzeravatar

Registriert: 23.09.2007
Beiträge: 1081
Wohnort: an der Oder
Wenn du dir Gedanken über die Auslastung bei einer zusätzlichen VPN-Verbindung machst, dann solltest erst mal deine Hardwareausstattung überdenken.

In iptables wird es sicherlich mehr geben als das, was du hier gepostet hast.

_________________
Immer mit der Ruhe, alles wird gut...

BildBildBild
Mein erster Post im Forum.


Nach oben
   
BeitragVerfasst: 05.01.2018, 18:57 
Offline
Constable
Themenstarter
Constable

Registriert: 05.05.2011
Beiträge: 34
Wohnort: Im Norden
Zitat:
In iptables wird es sicherlich mehr geben als das, was du hier gepostet hast.


Klar. Aber selbst wenn ich folgenden Eintrag setze

Code:
Chain CUSTUMFORWARD
ACCEPT   all   --   192.168.133.0/25      192.168.87.0/25
ACCEPT   all   --   192.168.87.0/25      192.168.133.0/25


geht es nicht. Und diese Regeln müßten doch vor allen anderen stehen, richtig?

Und was die Hardware angeht, liegt vielleicht daran, daß die "rote Leitung" eben auch Gigabit ist.


Nach oben
   
BeitragVerfasst: 05.01.2018, 19:06 
Offline
Deputy Commissioner
Deputy Commissioner
Benutzeravatar

Registriert: 23.09.2007
Beiträge: 1081
Wohnort: an der Oder
Dir ist schon bewusst, dass du bei CDIR aufpassen musst, ob der Rechner im korrekten Subnetz ist?
Warum machst die Netze so klein? Sind dir 253 Clients zu viel oder warum lässt du nur 125 zu?

_________________
Immer mit der Ruhe, alles wird gut...

BildBildBild
Mein erster Post im Forum.


Nach oben
   
BeitragVerfasst: 05.01.2018, 19:56 
Offline
Constable
Themenstarter
Constable

Registriert: 05.05.2011
Beiträge: 34
Wohnort: Im Norden
Nun, das liegt daran, daß das öffentliche Netz ein /25 ist. Und damit ich nicht dauernd umdenken muß, sind halt alle Subnetze auch /25. Mit den 125 Clients pro Subnetz bin ich bisher auch immer hingekommen.

Zitat:
Dir ist schon bewusst, dass du bei CDIR aufpassen musst, ob der Rechner im korrekten Subnetz ist?

Das verstehe ich nicht. Jeder Rechner ist grundsätzlich nur in einem Subnetz (mit Ausnahme der Server, die haben noch das SAN, das auch auf tcp/ip basiert - der betroffene Server hat aber keinen SAN-Anschluß).


Nach oben
   
BeitragVerfasst: 05.01.2018, 20:39 
Offline
Deputy Commissioner
Deputy Commissioner
Benutzeravatar

Registriert: 23.09.2007
Beiträge: 1081
Wohnort: an der Oder
doppelfischkopp hat geschrieben:
Zitat:
Dir ist schon bewusst, dass du bei CDIR aufpassen musst, ob der Rechner im korrekten Subnetz ist?

Das verstehe ich nicht. Jeder Rechner ist grundsätzlich nur in einem Subnetz (mit Ausnahme der Server, die haben noch das SAN, das auch auf tcp/ip basiert - der betroffene Server hat aber keinen SAN-Anschluß).


SAN ist mir egal. Ich wollte nur darauf hinweisen, dass der Server eine IP hat, die im richtigen Subnetbereich liegt, manchmal liegt es nur an der falschen Subnetmaske oder dem falschen Subnet wenn man mit CDIR seine Netze verkleinert.
Was sagt denn eigentlich das Firewall-log bei Zugriffversuchen des Servers auf den Drucker?

_________________
Immer mit der Ruhe, alles wird gut...

BildBildBild
Mein erster Post im Forum.


Nach oben
   
BeitragVerfasst: 05.01.2018, 20:57 
Offline
Constable
Themenstarter
Constable

Registriert: 05.05.2011
Beiträge: 34
Wohnort: Im Norden
Keine Einträge im Log, aber unter Verbindungen sind die assured/closed.

Der Server kann sogar sehen, daß der eine Drucker wenig Toner hat. Also eine grundlegende Kommunikation scheint zu funktionieren. An den Druckern sind auch alle Sicherheitsmaßnahmen vorübergehend deaktiviert.

Irgendwie crazy. Ich werde jetzt Feierabend machen. :verrueckt:

Vielleicht probiere ich nächste Woche den umgekehrten Fall, Server in GRÜN+BLAU und Drucker in BLAU.


Nach oben
   
BeitragVerfasst: 05.01.2018, 21:27 
Offline
Deputy Commissioner
Deputy Commissioner
Benutzeravatar

Registriert: 23.09.2007
Beiträge: 1081
Wohnort: an der Oder
Ohne Log wird es schwer herauszufinden, was bei dir schief läuft. Lege doch mal eine Regel an, um den Zugriff auf npp im IPCop zu loggen.
Wie schickst du eigentlich die Druckjobs vom Server zum Drucker?

Probehalber kann man es auch mit einer VPN probieren,ob der Server mit dem Drucker darüber redet. So rein Versuchsweise.

_________________
Immer mit der Ruhe, alles wird gut...

BildBildBild
Mein erster Post im Forum.


Nach oben
   
BeitragVerfasst: 10.01.2018, 22:04 
Offline
Constable
Themenstarter
Constable

Registriert: 05.05.2011
Beiträge: 34
Wohnort: Im Norden
Jetzt scheine ich einen Workaround gefunden zu haben.

A) Server jeweils in GRÜN und BLAU, Drucker in BLAU -> geht. :D

B) Server jeweils in GRÜN und BLAU, Drucker in GRÜN -> geht nicht.

Damit dürfte nun klar sein, daß das Problem doch irgendwie am ipCOP bzw. seiner Konfiguration liegt.

Dabei habe ich schon jede Zeile in den iptables durchforstet...


Nach oben
   
BeitragVerfasst: 10.01.2018, 22:30 
Offline
Deputy Commissioner
Deputy Commissioner
Benutzeravatar

Registriert: 23.09.2007
Beiträge: 1081
Wohnort: an der Oder
Es gibt nicht nur
Code:
iptables
sondern auch noch
Code:
route
,

_________________
Immer mit der Ruhe, alles wird gut...

BildBildBild
Mein erster Post im Forum.


Nach oben
   
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen  Auf das Thema antworten  [ 12 Beiträge ] 

Alle Zeiten sind UTC+02:00


Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 3 Gäste


Du darfst keine neuen Themen in diesem Forum erstellen.
Du darfst keine Antworten zu Themen in diesem Forum erstellen.
Du darfst deine Beiträge in diesem Forum nicht ändern.
Du darfst deine Beiträge in diesem Forum nicht löschen.

Suche nach:
Gehe zu Forum:  
cron
Powered by phpBB® Forum Software © phpBB Limited
Deutsche Übersetzung durch phpBB.de