[Berlin-wireless] kleines nat problem mit ff-firmware
Sven-Ola Tücke
sven-ola
So Aug 24 09:00:37 CEST 2008
Moins,
dann muss ich mir wohl was anderes ausdenken. Es gibt eine flush() Funktion,
die koennte man z.b. in ein Extra-Modul einkompilieren und beim Laden
ausloesen. Ich guck' mal...
// Sven-Ola
Stefan Sperling wrote:
> On Sun, Aug 17, 2008 at 08:12:45AM +0200, Sven-Ola Tücke wrote:
>> Hey,
>>
>> physisch dran? Muss hoechstwarscheinlich gar nicht sein. Aber die
>> Firmware neu flashen - das muesste sein. Wegen neuem Linux-Kernel - den
>> kann man nicht einfach installieren. Ich hab's natuerlich ausprobiert und
>> bin recht sicher, das die Probe-FW laeuft. Was nicht klar ist, ob diesse
>> OpenVPN/Conntrack-Geschichte damit aus der Welt ist...
>
> Also, wenn man die Module lädt nachdem die set_masq() Funktion
> aufgerufen wird stehen gar keine NAT regeln mehr in den Tables.
>
> D.h. anscheinend braucht man die Module schon zum Erstellen der
> NAT regeln. Damit gibts ne zirkuläre Abhängigkeit die wir nicht
> auflösen können -> zu frühe ip_conntrack einträge per module
> später laden verhindern ist nicht.
>
> rmmod ip_conntrack zum flushen der conntrack einträge scheint
> übrigens auch nicht zu gehen:
>
> root at dachjo:~# lsmod | grep conntrack
> ip_conntrack 25008 0 [ipt_MASQUERADE iptable_nat ipt_state]
> root at dachjo:~# rmmod ip_conntrack
> root at dachjo:~# echo $?
> 0
> root at dachjo:~# lsmod | grep conntrack
> ip_conntrack 25008 0 [ipt_MASQUERADE iptable_nat ipt_state]
> root at dachjo:~#
>
> Analog für ipt_MASQUERADE, ipt_state und iptable_nat.
>
> Hat der Kernel evtl. keinen module-entladen support?
> Das ist optional bei einigen Kernel versionen AFAIK.
>
> Ich werde meinem VPN jetzt sagen, es soll nicht allzu oft
> keep-alive Packete an die Gegenstelle schicken. Dadurch wird
> das Risiko, dass ein falscher Eintrag zu falschem NAT verhalten
> führt hoffentlich etwas verringert.
>
> Wenn das Problem aufftritt hilft halt nur VPN aus, router
> rebooten, kurz warten, vpn an :/
>
> Übrigens ist das Problem heute schon wieder 2 Mal aufgetreten,
> jeweils auf beiden Routern, mit ca. ner halben Stunde dazwischen.
> Kein Ahnung warum das sogar einfach im laufenden Betrieb, also ohne
> reboot der router passieren kann.
>
> Sieht sonst noch jemand das Problem im eigenen Setup, oder bin ich
> der einzige der das reproduzieren kann? Das wäre interessant zu wissen.
> Ich schickte übrigens alle 2 Sekunden Keep-alive messages.
> Evtl. findet man das Problem auch wenn man in gleicher oder noch
> schnellerer Folge irgendwelche UDP Packete durch einen ff-firmware
> router schickt der NAT macht.
>
> Und kann die Welt nicht endlich mal komplett auf IPv6 umsteigen damit
> man kein NAT mehr braucht? Dann wär dieser Bug einfach weg.
> Wäre langsam eh mal an der Zeit.
>
> Danke,
> Stefan
Mehr Informationen über die Mailingliste Berlin