Conexión al Módem realizada pero no se descargan las páginas
DesconectadoHola a todos, no estoy seguro si este tema va en este foro, en todo caso pido que el moderador lo cambie si considera que es un tema para otro foro.
El problema que tengo es el siguiente:
Poseo una conexión con Speedy de Argentina, un módem Zyxel 645 ethernet. Está configurado como Bridge, llevo la señal del módem por 2 antenas punto a punto y al final del recorrido hay un server Debian que hace la conexión a través de pppd.
Esto ha estado funcionando bien desde hace varios años.
El servidor Debian también ofrece los servicios de DNS, DHCP, Gateway, Proxy caché y Firewall.
En el día de ayer (15-08-11) dejó de cargarme las páginas web; la conexión al módem la realiza aparentemente bien, me otorga una IP de conexión y la otra es la propia que se conecta a sus servidores supongo.
En mi dhcpd.conf tengo configurado que la conexión ppp0 se transforme en eth3.
Del servidor salen 4 redes clase C: la 1.0, la 2.0. la 3.0 y la 4.0.
Como les decía ayer dejó de mostrarme las páginas web en el navegador, el título de la página lo muestra en la barra de estado del navegador, por ejemplo, si coloco www.google.com.ar, en la barra aparece google.com pero queda cargando la página sin mostrar el contenido por mucho tiempo.
Lo curioso es que andaba skype y no probé msn pero seguramente también andaba lo que sospeché que era un problema de DNS. En mi resol.cof tenía los dns de speedy 200.51.211.7 y 200.51.212.7
Llamé al soporte técnico y me reiniciaron el módem pero siguió sin andar. Un amigo me pasó otros dns se speedy como para probar. Un detalle es que al hacerles ping a los DNS que tenía configurado, no me devolvía la respuesta por lo que llamé al soporte técnico nuevamente y les dije que tenían los dns caídos, me lo confirmó y pasó el dato a su supervisor.
Finalmente cambié los dns pero sigue el mismo problema.
Opté por colocar los dns de google: 8.8.8.8 y 4.4.4.4. Esta configuración la realicé en el resolv.conf, en el dhcpd.conf y en el named.conf.options.
Cuando hago nslookup www.google.com.ar o dig www.google.com.ar las respuestas son las normales.
En un principio cuando hice la consulta al nslookup www.google.com.ar el servidor que me respondió fue el 8.8.8.8 y al hacerla nuevamente me respondió el dns local, comprobando que el proxy caché funciona.
Necesito que me indiquen por cual camino empezar a transitar para ver si es un problema en el módem o alguna configuración del servidor.
Qué archivo de configuración tengo que pasarles para que vean, si se me escapó algún lugar en donde haya que configurar las direcciones dns, etc.
Para el proxy, tengo autenticación por ldap cuya bd está alojada en otro servidor, otra máquina, comprobé que cuando me pide usuario y contraseña anda bien pero queda cargando la página en forma permanente.
No sé ya qué fijarme porque en todos los archivos de logs no hay nada fuera de lo común o yo no sé interpretarlos.
Pido orientación para ir descartando los diferentes servicios que tengo levantado, por ejemplo qué pruebas puedo hacer para descartar los iptables, squid, dns, etc.
Recién hice un telnet www.clarin.com.ar 80 y se conectó.
Muchas gracias a todos!
- Inicie sesión o regístrese para enviar comentarios
- 252 lecturas
Hola
Podes hacer muchas cosas.
tenes por lo menos dos lugares para poner el dns en /etc/network/interfaces y en el resol, podrias ver como estan. yo tambien tuve un problema parecido hace unos meses, pero nunca supe cual era el motivo, creo que se me borraba el resolv (y desde entonces siempre instalo un bind no es mucho trabajo y igual a el le podes cargar los dns y pongo el nameserver en el interfaces)
yo diria que es mas probable que se colgo tu squid (si lo usas como cache)que erro te da el navegador?
como se carga tu iptables?
si es problema del dns saca el ip en letras, pasalo a numeros y escribilo en un navegador,
si es squid, lo mas probable es que de erro si no esta colgado, si esta funcionando podes averiguarlo con un service squid status o un service squid restart y te dice algun erro,
si el squid esta corriendo podes ver si escucha cuando abris un navegador con netstat | grep 3128 o el puerto que use
si el server tiene un navegador podes ponerlo con el proxy y ver si navega con la direccion en ip o en letras
tambien podes entrar a los routers y ver como estan quiza alguno se colgo (algun log o status)
se puede vaciar el cache del proxy y recargarlo, puede tener varias decenas de gigas, los logss tambien si los genera pueden ser muy grandes (si no los borra).
lo de firewall como lo haces con iptables o ...?
con una pc normal conectada direcatmente la router navega? no digo que desconfigures el que tenes, pero podes probar con otro.
Saludos
Muchas gracias alambre por contestar. Te detallo a continuación:
Hola
Podes hacer muchas cosas.
tenes por lo menos dos lugares para poner el dns en /etc/network/interfaces y en el resol, podrias ver como estan. yo tambien tuve un problema parecido hace unos meses, pero nunca supe cual era el motivo, creo que se me borraba el resolv (y desde entonces siempre instalo un bind no es mucho trabajo y igual a el le podes cargar los dns y pongo el nameserver en el interfaces)
Mi archivo resolv.conf
search iab.org.arnameserver 192.168.1.7
nameserver 8.8.8.8
nameserver 8.8.4.4
Mi archivo network/interfaces
# This file describes the network interfaces available on your system# and how to activate them. For more information, see interfaces(5).
# The loopback network interface
auto lo
iface lo inet loopback
# Al caño del ADSL
auto eth3
iface eth3 inet static
address 192.168.2.6
netmask 255.255.255.0
network 192.168.2.0
broadcast 192.168.2.255
#Al las casas
auto eth2
iface eth2 inet static
address 192.168.3.1
netmask 255.255.255.0
network 192.168.3.0
broadcast 192.168.3.255
# A la red administrativa
auto eth1
iface eth1 inet static
address 192.168.1.7
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255
#Al laboratorio
auto eth0
iface eth0 inet static
address 192.168.4.1
netmask 255.255.255.0
network 192.168.4.0
broadcast 192.168.4.255
auto dsl-provider
iface dsl-provider inet ppp
provider dsl-provider
# please do not modify the following line
pre-up /sbin/ifconfig eth3 up # line maintained by pppoeconf
Y mi archivo dhcpd.conf
# option definitions common to all supported networks...option domain-name "iab.org.ar";
#option domain-name-servers serveriab.iab.org.ar;
option subnet-mask 255.255.255.0;
default-lease-time 604800;
max-lease-time 2592000;
#ddns-domainname "iab.org.ar";
#ddns-update-style interim;
#ddns-updates on;
#Configuracion rama capellania y hogares
subnet 192.168.3.0 netmask 255.255.255.0 {
range 192.168.3.20 192.168.3.79;
option domain-name-servers 192.168.3.1, 8.8.8.8, 8.8.8.4;
option broadcast-address 192.168.3.255;
option routers 192.168.3.1;
option subnet-mask 255.255.255.0;
}
#Configuracion rama administrativa
subnet 192.168.1.0 netmask 255.255.255.0 {
range 192.168.1.20 192.168.1.79;
option domain-name-servers 192.168.1.7, 8.8.8.8, 8.8.4.4;
option broadcast-address 192.168.1.255;
option routers 192.168.1.7;
option subnet-mask 255.255.255.0;
}
yo diria que es mas probable que se colgo tu squid (si lo usas como cache)que erro te da el navegador?
como se carga tu iptables?
Los Iptables se cargan al arrancar el sistema. Un archivo .sh dentro del /etc/init.d
Un error que figura por lo menos en Crhome es:
"error de lectura"
el sistema ha devuelto el siguiente mensaje.
(104) connection reset by peer
si es problema del dns saca el ip en letras, pasalo a numeros y escribilo en un navegador,
He probado con letras y con las Ips y el resultado es el mismo. Creo que puedo descartar un problema de DNS no?
si es squid, lo mas probable es que de erro si no esta colgado, si esta funcionando podes averiguarlo con un service squid status o un service squid restart y te dice algun erro,
si el squid esta corriendo podes ver si escucha cuando abris un navegador con netstat | grep 3128 o el puerto que use
si el server tiene un navegador podes ponerlo con el proxy y ver si navega con la direccion en ip o en letras
No probé lo del service squid status porque no tengo el comando service pero veo que funciona el squid (o supongo yo) al hacer un ps -ef |grep squid
tambien podes entrar a los routers y ver como estan quiza alguno se colgo (algun log o status)
Entré a la configuración del módem y ahí dice que está levantado, con transferencia, etc.
se puede vaciar el cache del proxy y recargarlo, puede tener varias decenas de gigas, los logss tambien si los genera pueden ser muy grandes (si no los borra).
Esta parte todavía no lo hice...
lo de firewall como lo haces con iptables o ...?
Paso el script del firewall hecho con iptables.
Quiero aclarar que todo esto funcionaba hasta ayer desde hace varios años.
#!/bin/shecho -n Aplicando reglas de firewall
#FLUSH de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
iptables -t mangle -F
#politicas por defecto
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
#el localhost se deja
iptables -A INPUT -s localhost -i lo -j ACCEPT
#al firewall accedemos desde la red local
iptables -A INPUT -s 192.168.0.0/16 -j ACCEPT
#marcamos paquetes para limitar el uso del ancho de banda
#upload
iptables -t mangle -A FORWARD -s 192.168.3.0/24 -d ! 192.168.0.0/16 -j MARK --set-mark 3
iptables -t mangle -A FORWARD -s ! 192.168.0.0/16 -d 192.168.0.0/24 -j MARK --set-mark 4
iptables -t mangle -A FORWARD -s ! 192.168.0.0/16 -d 192.168.3.0/24 -j MARK --set-mark 4
#enmascaramiento de la red local
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.3.0/24 -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.4.0/24 -o ppp0 -j MASQUERADE
#clamping mss
#iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
iptables -o ppp0 --insert FORWARD 1 -p tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
#/etc/ppp/ip-up.d/0clampmss
#casos exepcionales y temporales
iptables -A FORWARD -s 192.168.1.4 -d 192.168.0.0/16 -j ACCEPT
#iptables -A FORWARD -s 192.168.1.12 -d 192.168.0.0/16 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/16 -d 192.168.1.4 -j ACCEPT
iptables -A FORWARD -s 192.168.3.226 -d 192.168.0.0/16 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/16 -d 192.168.3.226 -j ACCEPT
#para darle accesos a todas partes a la maquina de sistemas
iptables -A FORWARD -s 192.168.1.15 -d 192.168.0.0/16 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/16 -d 192.168.1.15 -j ACCEPT
iptables -A FORWARD -s 192.168.1.9 -j ACCEPT
iptables -A FORWARD -s 192.168.1.4 -j ACCEPT
#iptables -A FORWARD -s 192.168.1.12 -j ACCEPT
iptables -A FORWARD -s 192.168.3.5 -j ACCEPT
iptables -A FORWARD -s 192.168.1.15 -j ACCEPT
iptables -A FORWARD -s 192.168.3.226 -j ACCEPT
#para aceptar las conexiones del exterior que son repuestas a conexiones nuevas nuestras
iptables -A INPUT -s localhost -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -s localhost -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -m state --state ESTABLISHED,RELATED -j ACCEPT
#redireccionamos a la pagina web y que vuelva a salir
iptables -A FORWARD -s 192.168.1.6 -i eth1 -j ACCEPT
iptables -A FORWARD -s 192.168.1.8 -i eth1 -j ACCEPT
#telefonia IP
iptables -A FORWARD -s 192.168.0.0/16 -d 192.168.1.2 -j ACCEPT
#iptables -A FORWARD -s 192.168.1.29 -d 192.168.0.0/16 -j ACCEPT
iptables -A FORWARD -s 192.168.1.2 -j ACCEPT
iptables -A FORWARD -s 192.168.3.14 -i eth2 -d 192.168.1.0/24 -j ACCEPT
#retorno
iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -d 192.168.3.0/24 -j ACCEPT
#aceptamos que vayan a puertos 80 y 443 (http y https)
#iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -s 192.168.3.0/24 -i eth2 -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -i eth0 -p tcp --dport 443 -j ACCEPT
#iptables -A FORWARD -s 10.28.1.0/24 -i eth1 -p tcp --dport 443 -j ACCEPT
#aceptamos que sincronicen relojes NTP
iptables -A FORWARD -s 192.168.0.0/16 -p udp --dport 123 -j ACCEPT
#aceptamos que consulten DNS
iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -s 192.168.3.0/24 -i eth2 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -s 192.168.3.0/24 -i eth2 -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -i eth0 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -i eth0 -p udp --dport 53 -j ACCEPT
#aceptamos que vayan al msn
iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p tcp --dport 1863 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p udp --dport 1863 -j ACCEPT
iptables -A FORWARD -s 192.168.3.0/24 -i eth2 -p tcp --dport 1863 -j ACCEPT
iptables -A FORWARD -s 192.168.3.0/24 -i eth2 -p udp --dport 1863 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -i eth0 -p tcp --dport 1863 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -i eth0 -p udp --dport 1863 -j ACCEPT
iptables -A FORWARD -s 192.168.4.0/24 -i eth0 -p tcp --dport 1863 -j ACCEPT
iptables -A FORWARD -s 192.168.4.0/24 -i eth0 -p udp --dport 1863 -j ACCEPT
#####################################VPN#####################
#aceptamos que usen FTP pasivo
iptables -A FORWARD -s 192.168.0.0/16 -p tcp --dport 20:21 -j ACCEPT
#iptables -A FORWARD -s 192.168.0.0/16 -p tcp --sport 21 --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
#iptables -A FORWARD -s 192.168.0.0/16 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
#denegamos el resto
iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -j DROP
iptables -A FORWARD -s 192.168.3.0/24 -i eth2 -j DROP
iptables -A FORWARD -s 192.168.0.0/24 -i eth0 -j DROP
iptables -A FORWARD -i eth0 -j DROP
#cerramos el acceso del exterior
iptables -A INPUT -i ppp0 -p tcp --dport 22 -j DROP
iptables -A INPUT -i ppp0 -p udp --dport 22 -j DROP
iptables -A INPUT -i ppp0 -p tcp --dport 111 -j DROP
iptables -A INPUT -i ppp0 -p udp --dport 111 -j DROP
iptables -A INPUT -i ppp0 -p tcp --dport 113 -j DROP
iptables -A INPUT -i ppp0 -p udp --dport 113 -j DROP
iptables -A INPUT -i ppp0 -p tcp --dport 995 -j DROP
iptables -A INPUT -i ppp0 -p udp --dport 995 -j DROP
iptables -A INPUT -i ppp0 -p tcp --dport 445 -j DROP
iptables -A INPUT -i ppp0 -p udp --dport 445 -j DROP
iptables -A INPUT -i ppp0 -p tcp --dport 137 -j DROP
iptables -A INPUT -i ppp0 -p udp --dport 137 -j DROP
iptables -A INPUT -i ppp0 -p tcp --dport 139 -j DROP
iptables -A INPUT -i ppp0 -p udp --dport 139 -j DROP
#Rute a la maquina al Labs.
route add -net 192.168.0.0/24 gateway 192.168.4.2 dev eth0
#route add -net 10.84.24.0/24 gateway 192.168.1.36 dev eth1
con una pc normal conectada direcatmente la router navega? no digo que desconfigures el que tenes, pero podes probar con otro.
Saludos
Esto otro también tengo que probarlo, pero quería dejarles algunos archivos como para que vean si hay algo extraño.
Creo que deberías revisar ese Firewall. Así a bote pronto no parece que todas las reglas en él configuradas se correspondan con las interfaces y redes contenidas en /etc/network/interfaces.
Saludos
Creo que deberías revisar ese Firewall. Así a bote pronto no parece que todas las reglas en él configuradas se correspondan con las interfaces y redes contenidas en /etc/network/interfaces.
Saludos
Gracias por responder, el firewall ha estado andando bien desde hace años con estas reglas, no creo que sea este el problema...
Igual estoy por reinstalar todo, por ahí ya el disco rígido quizás está con sectores dañados y se ha jorobado alguna parte de algún programa, ya no sé que pensar.
Muchas gracias.
Hola
yo le daría a estos para el squid,
root@Debian0:~# /etc/init.d/squid statussquid is running.
root@Debian0:~# /etc/init.d/squid reload
Reloading Squid configuration files.
done.
root@Debian0:~# /etc/init.d/squid restart
Restarting Squid HTTP proxy: squid.
si ninguno da erro seran los iptables
hay un navegador bien chico de consola el links2 cuando abre, le das escape, en setup vas a network options proxies y podes poner el nombre del equipo o localhost:3128 tildas el conect solo via proxies, ok ok , de nuevo escape file goto url (o simplemente presionar g) y dale google en ip y letras. y ves que erro da.
En lo de las reglas estoy de acuerdo con quilloquepasa.
yo no entiendo muy bien las reglas, pero me parece que quiza funcionaba porque la política era aceptar, pero si se actualizo, quiza ya toma algun erro que no tomaba antes.
Ej
auto eth0 address 192.168.4.1
auto eth3 address 192.168.2.6
auto eth2 address 192.168.3.1
auto eth1 address 192.168.1.7
#aceptamos que consulten DNS
iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -s 192.168.3.0/24 -i eth2 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -s 192.168.3.0/24 -i eth2 -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -i eth0 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -i eth0 -p udp --dport 53 -j ACCEPT
yo mire los anteriores nomas, pero la 192.168.0 no se bien como va
y de esto
search iab.org.arnameserver 192.168.1.7
nameserver 8.8.8.8
nameserver 8.8.4.4
cuando resolves nslookup que te da?
yo pondria 127.0.0.1 en resol tipo
root@Debian0:~# nslookup google.com
Server: 127.0.0.1
Address: 127.0.0.1#53
Non-authoritative answer:
Name: google.com
Address: 209.85.195.104
digamos es lo mismo, yo se que es la misma, pero no se (no estoy seguro)de como se resuelve el routeo. podrias ver desde cada red como se resuelve, puede ser una perdida de tiempo, como puede ayudate con los iptables, pone en la red 192.168.3.1 segun dhcpd.conf pide el dns, pero esta en la 192.168.1.7, me parece que le dns se resuelve bien desde 192.168.1.x
Saludos