Webserver ist von aussen nicht mehr erreichbar

[fish]

Hallo,

sehr schönes Forum hier, ich bin schon länger am mitlesen!

Ich und ein paar Freunde hatten die Idee, zusammen einen Rootserver zu mieten. Linuxerfahrung habe ich schon, allerdings mehr auf Desktop Ebene. Nachdem ich mich etwas mehr darüber informiert hatte, bin ich aus dem "Projekt" ausgestiegen und habe mich entschieden, erstmal lokal mit einem Home-Server rumzuspielen, was jede Menge Spass macht. Der Rest "meiner Truppe" hat nun zwar den Rootserver, aber ansonsten keine Ahnung - wohl nur noch eine Frage der Zeit, bis eine Spamschleuder mehr im Netz ist...sigh.

Anyway, hier mein Problem:

Ich habe einen Jinzora Streaming Server eingerichtet, um meine Musik zu Hause auf dem Palm übers WLAN zu hören. Das hat auch geklappt, nun ist er aber nicht mehr erreichbar. Das ganze hat angefangen, als members.dyndns.org den DDOS Attacken erlag. Ich bin nun wieder vor Ort (also beim Server) aber irgendwie klappt es nun nicht mehr.

Über 192.168.0.175:80 komme ich zwar noch auf die Jinzora Seite, aber mit mein.dyndns.org klappt es nicht.

Hier ein paar Ausgaben:

/etc/apache2/apache.conf (der relevante Teil)

ServerName localhost

NameVirtualHost *:80

<VirtualHost *:80>
    ServerName mein.dyndns.org
    ServerAlias mein.dyndns.org
    DocumentRoot /var/www/jinzora2
    HostnameLookups On
    UseCanonicalName On
</VirtualHost>

fish@fishbox:~$ ifconfig
eth0      Link encap:Ethernet  HWaddr 00:00:E8:23:82:65
          inet addr:192.168.0.175  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::200:e8ff:fe23:8265/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:37771 errors:3 dropped:0 overruns:0 frame:0
          TX packets:39956 errors:1 dropped:0 overruns:0 carrier:2
          collisions:0 txqueuelen:1000
          RX bytes:4523792 (4.3 MiB)  TX bytes:43057323 (41.0 MiB)
          Interrupt:12 Base address:0xa800

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:92671 errors:0 dropped:0 overruns:0 frame:0
          TX packets:92671 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:9155266 (8.7 MiB)  TX bytes:9155266 (8.7 MiB)

Die Ports 21, 22 und 80 sind im Router weitergeleitet - aber weder mein FTP, SSH noch Webserver sind erreichbar. Im lokalen Netzwerk funktioniert alles, aber nicht übers Netz. Ich muss dabei allerdings anmerken, dass ich es von einem PC innerhalb des Netzes versuche - also ein PC mit der gleichen externen IP wie der Server. Keine Ahnung, ob das einen Einfluss hat oder nicht. Gemäss verschiedenen Portscans/Porttests im Netz sind meine Ports 21, 22 und 80 offen, oder werden als stealth angezeigt. Das sollte also okay sein, oder?

Hier noch die ddclient.conf

  GNU nano 1.3.10           File: /etc/ddclient.conf

# Configuration file for ddclient generated by debconf
#
# /etc/ddclient.conf

pid=/var/run/ddclient.pid
protocol=dyndns2
use=web, if=eth0
server=members.dyndns.org
wildcard=yes
login=xxx
password='xxx'
mein.dyndns.org

Wenn ich auf dyndns.org gehe und dort die IP angucke, scheint sie korrekt zu sein.

Auch ein einloggen über SSH direkt mit der externen/public Server-IP (anstatt der DynDNS) funktioniert nicht.

Die /etc/ssh/sshd_conf

# Package generated configuration file
# See the sshd(8) manpage for details

# What ports, IPs and protocols we listen for
Port 22
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes

# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 768

# Logging
SyslogFacility AUTH
LogLevel INFO

# Authentication:
LoginGraceTime 120
PermitRootLogin no
StrictModes yes

RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile     %h/.ssh/authorized_keys

# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes

# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no

# Change to no to disable tunnelled clear text passwords
PasswordAuthentication yes

# Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
KeepAlive yes
#UseLogin no

#MaxStartups 10:30:60
#Banner /etc/issue.net

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

Subsystem sftp /usr/lib/openssh/sftp-server

UsePAM no

Ich bin gerade etwas ratlos, wieso das alles nicht klappt.

Server System ist Ubuntu Dapper LTS Server Edition, der Client läuft auf Kubuntu Feisty 7.04 Beta.

Bin froh um jede Hilfe, vielen Dank!!

 

[Messiah]

Hi,

was sagt denn 'route -n' und 'arp -n' auf dem streaming Server? Kommst Du von dem Gerät aus nach aussen ins WAN?

Greetz,
Ralf

 

[fish]

fish@fishbox:~$ route -n

Kernel IP routing table

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
0.0.0.0         192.168.0.1     0.0.0.0         UG    0      0        0 eth0


fish@fishbox:~$ arp -n

Address                  HWtype  HWaddress           Flags Mask            Iface
192.168.0.1              ether   00:14:D1:C0:0E:4C   C                     eth0
192.168.0.166            ether   00:C0:9F:0E:08:BB   C                     eth0

Kommst Du von dem Gerät aus nach aussen ins WAN?

Wie kann ich das denn testen?

Also ich kann auf dem Server z.B. Programme übers Web installieren mit apt-get.

Ansonsten verbinde ich mich normalerweise nur vom Laptop über SSH auf den Server...

 

[Messiah]

Hi,

das sieht gut aus. Wenn Du mit apt-get (debian? Ubuntu?) installieren kannst, hast Du auch ordentlich Verbindung nach aussen.

Stellt sich die Frage, warum das nicht über den dns geht.

Mach mal auf der Kommandozeile:

dig <dyndns-name> ANY

und kopier das bitte mal hierher. Vielleicht stimmts ja einfach bei dyndns nicht so richtig mit den Einstellungen. Ist der dyndns client aktiv?

Greetz,
Ralf

 

[fish]

(debian? Ubuntu?)

Ubuntu 6.06 LTS Server Edition.

dig <dyndns-name> ANY

fish@fishbook:~$ dig xxx.dyndns.org ANY

; <<>> DiG 9.3.4 <<>> xxx.dyndns.org ANY
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 12579
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;xxx.dyndns.org.            IN      ANY

;; ANSWER SECTION:
xxx.dyndns.org.     60      IN      A       84.226.xx.xxx

;; Query time: 128 msec
;; SERVER: 192.168.1.1#53(192.168.1.1)
;; WHEN: Tue Mar 27 11:55:42 2007
;; MSG SIZE  rcvd: 52

Und ja, der ddclient ist aktiv.

 

[Messiah]

Hi fish,

jetzt sammeln wir mal Infos, vielleicht kapier ich das dann ja oder es liest jemand mit der nicht wie ich auf dem Schlauch steht

- Du kannst lokal auf den Server zugreifen. Ein Notebook im lokalen Netz kann also mit http://192.168.0.175 auf den Server zugreifen.

- Dein dyndns Eintrag scheint in Ordnung. Der dyndns.org Eintrag zeigt auf die 84.xxx.xxx.xxx - was in dem Fall auch Deine aktuelle Einwahl-IP ist: Prüf das bitte noch indem Du auf Deinen Einwahl-Router gehst und dort im Status schaust, dass das Ergebnis der dortigen: 'Aktuellen WAN IP' auch dem Ergebnis von 'dig <xxxxx.dyndns.org>' entspricht.

Bleiben zwei Möglichkeiten:

- Entweder ist der dyndns.org Eintrag doch nicht aktuell, dann liegts an denen oder dem ddclient

- Oder irgendwas blockt incoming Anfragen von aussen auf den Rechner, d.h. das port forwarding des Routers wurde nicht richtig gesetzt. Das hast Du doch gemacht?

Greetz,
Ralf

 

[fish]

Sorry, musste notfallmässig zum Zahnarzt, Wurzelbehandlung und all den Kram, darum die späte Antwort...

- Du kannst lokal auf den Server zugreifen. Ein Notebook im lokalen Netz kann also mit http://192.168.0.175 auf den Server zugreifen.

Ja, siehe lokal.png.

- Dein dyndns Eintrag scheint in Ordnung. Der dyndns.org Eintrag zeigt auf die 84.xxx.xxx.xxx - was in dem Fall auch Deine aktuelle Einwahl-IP ist: Prüf das bitte noch indem Du auf Deinen Einwahl-Router gehst und dort im Status schaust, dass das Ergebnis der dortigen: 'Aktuellen WAN IP' auch dem Ergebnis von 'dig <xxxxx.dyndns.org>' entspricht.

Ja, das Ergebnis ist gleich, die IP stimmt.

- Entweder ist der dyndns.org Eintrag doch nicht aktuell, dann liegts an denen oder dem ddclient

Das kann ich wohl ausschliessen.

- Oder irgendwas blockt incoming Anfragen von aussen auf den Rechner, d.h. das port forwarding des Routers wurde nicht richtig gesetzt. Das hast Du doch gemacht?

Daran wird es wohl liegen...aber ja, das habe ich eigentlich gemacht!

Port 80, 22 und 21 sind auf 192.168.0.175 weitergeleitet...

 

[V40]

Hallo,

probiere doch mal bitte über einen Proxy deine DynDNS Adresse aufzurufen.

Es gab schon öfter den Fall das ein lokal laufender Webserver nicht erreichbar war wenn man das so getestet hat. (Also lokal über die DynDNS Adresse auf eine anderes Gerät im lokalen Netz zuzugreifen.)

Oder nenne einfach mal die DynDNS Adresse, dann versuchen das welche von ausserhalb mal.

 

[fish]

fishbox.dyndns.org

 

[V40]

Hallo,

ich bin der festen Überzeugung das dass Problem beim Router zu suchen ist.

Wenn du die Möglichkeit hast, dann definiere mal 192.168.0.175 als DMZ und probiere das ganze nochmal.

Sämtliche Versuche scheitern, so wie es aussieht, an deinem Router.

 

[fish]

Danke, aber wie kann das sein?

Siehe Screenshots...sigh

(es geht mir erstmal nur um die Webseite - die FTP/SSH Ports können so momentan nicht klappen, das ist klar...)

Nochmals Danke für eure Hilfe!

Das mit der DMZ werde ich gleich versuchen.

 

[fish]

So, DMZ ist an.

Klappt es nun? :\

 

[fish]

Sorry für den Dreifachpost, das mach ich sonst eigentlich nicht...

Es gab schon öfter den Fall das ein lokal laufender Webserver nicht erreichbar war wenn man das so getestet hat. (Also lokal über die DynDNS Adresse auf eine anderes Gerät im lokalen Netz zuzugreifen.)

Im Zyxel Teil habe ich das loopback interface aktiviert, daher sollte das kein Problem sein, siehe hier:

Jinzora :: Free Your Media :: Forums

Im Trendnet steht dazu folgendes:

Note: You might have trouble accessing a virtual server using its public identity (WAN-side IP-address of the gateway or its dynamic DNS name) from a machine on the LAN. Your requests may not be looped back or you may be redirected to the "Forbidden" page.

This will happen if you have an Access Control Rule configured for this LAN machine.

The requests from the LAN machine will not be looped back if Internet access is blocked at the time of access. To work around this problem, access the LAN machine using its LAN-side identity.

Requests may be redirected to the "Forbidden" page if web access for the LAN machine is restricted by an Access Control Rule. Add the WAN-side identity (WAN-side IP-address of the router or its dynamic DNS name) on the Advanced -> Web Filter screen to work around this problem.

Da ich aber keine Access Control verwende, sollte das doch okay sein, oder?

 

[V40]

Hallo,

nein es geht nicht.
Also ich hatte es vorhin probiert, komme aber erst jetzt zum Antworten.

Im Zyxel Teil habe ich das loopback interface aktiviert, daher sollte das kein Problem sein, siehe hier:

Ist diese Einstellung immer noch so vorhanden?
Denn dort steht auch das diese Eisntellungen bei einem Neustart des Routers verloren gehen.

Was mich gerade irritiert sind die Screenshots.

Wieviele Router sind denn in deinem Netzwerk vorhanden?
Sitzen die Router (der Router) und der Server im selben Subnetz?

Hat der erste Router (von aussen gesehen) ein Webinterface und ist über Telnet ansprechbar?

 

[fish]

v40, Danke fürs testen!

An was könnte es dann liegen?

Vor dem Server ist folgendes:

1. Zyxel 623ME

2. TweakPC - TRENDnet TEW-611 BRP Wireless-LAN Router - Hardwaretests, Previews, Overclocking, Tipps und mehr

Der Trendnet kriegt vom Zyxel über DHCP die public IP und verteilt interne Netzwerk IPs an die PCs, an MACs gebunden. Auch nach dem Reboot ist das Loopback-Inteface vom Zyxel Teil noch an, habs (wie im obigen verlinkten Thread erläutert) in die autoexec geschrieben.

Die Frage mit dem Subnetz verstehe ich so nicht - was genau meinst du damit? Beide Router haben ein Webinteface...

 

[fish]

Hallo, ich habe den Server nun neu aufgesetzt. Das war sowieso geplant und hat nichts mit meiner nicht funktionierenden DynDNS zu tun. Allerdings ist nun Jinzora natürlich nicht mehr erreichbar, da ich es noch nicht wieder aufgesetzt habe. Dies nur zur Info, falls noch wer versucht, zu helfen. Wo das Problem liegt bzw. lag, weiss ich allerdings immer noch nicht...

Hier mein kleines Dankeschön für die versuchte Hilfe:

Kleiner Home-Server mit Ubuntu 6.06 LTS

HOWTO: Kleiner Home-Server mit Ubuntu 6.06 LTS Ganz am Anfang, eine Anmerkung: Linux ist mir mittlerweile relativ vertraut, aber Linux auf dem Server ist eine andere Geschichte und für mich noch Neuland. Daher gebe ich keine Garantie für diese "Anleitung" - vielmehr ist sie als...

serversupportforum.de