Problem: Linux Masquerading - Kernel 2.4

[Raistlin]

Kann mir jemand bitte mal den einen oder anderen Tip geben, der bei folgendem Problem hilft?

 

Ich habe einen Linux Router, der auf Kernel 2.4.31 mit Strongswan 2.4.1 läuft. Der Rechner hat 3 Netzwerkkarten, eine für LAN, eine für DMZ (z.Zt. nicht verbunden) und eine für das Internet. Normalerweise soll er ins Internet rein Masquerading betreiben und an die IPSEC-Gegenstellen normal routen.

Alle Adressen im LAN und bei den IPSEC-Gegenstellen sind private Adressen (z.B. 192.168.x.y). Allerdings stellt der Rechner zeitweise minutenlang seinen Dienst als Router und das Masquerading ein.

Mir erscheint nun ungewöhnlich, daß von einem anderen PC im LAN her der Linux-Rechner durchgehend anpingbar ist, ein Rechner der IPSEC-Gegenstelle oder ein Internet-Host aber nicht.

Von der IPSEC-Gegenstelle aus ist der Linux-Rechner über die IPSEC Schnittstelle durchgehend erreichbar (auf der IP-Adresse der LAN-Schnittstelle), nur ein Rechner im LAN hinter dem Linux Router ist nicht anpingbar.

Diese Unterbrechungen dauern zwischen wenigen Sekunden bis hin zu 2-3 Minuten, danach läuft alles wieder wie vorher. Ein nun 2 Tage laufender Dauerping ergibt auch nur einen Gesamtverlust von ca. 1% der Pakete.

In den Logfiles habe ich bisher keinen Hinweis gefunden, was die Ursache sein könnte.

[daraubasbua]

Hoi

 

Meine masqueradingerfahrungen bezioehen sich auf einen 2.0 Kernel, und auch das ist lang her.

 

ABER:

Wieso sieht der IPSEC (=externe Internetschnittstelle?) Rechner die LAN Schnittstelle des Routers ? Er sollte doch nur die IPSEC SChnittstelle sehen?

 

Ideen dazu:

 

1. DMZ Schniuttstelle konfiguriert, bei Problemen versucht der Route hier einen alternativen Pfad?

2. Routing inkorrekt? Z.B. externe Schnittstelle des Routers statt interner als Gateway definiert, oder etwas ähnliches.

3. Problem mit der Namensauflösung?

[Raistlin]

Es war natürlich Nummer 4: IP Adresskonflikt mit einem blöden Windows PC.

 

Der hatte doch tatsächlich versucht die selbe IP zu haben, wie der Router!

 

BTW: Der IPSEC Rechner sieht die LAN Schnittstelle des Routers, weil der Router dafür auch da ist: allen Verkehr von IPSEC Gegenstellen ins LAN zu routen. Dafür ist es ja ein VPN.