Problem mit inadyn seit Verschärfung des Firewall

[Gero013]

Seit der Umstellung von dsld auf whitelists tut inadyn nimmer:

Jun 19 18:20:09 fritz user.warn INADYN[1864]: Sat Jun 19 18:20:09 2010: W:DYNDNS: Error 'RC_IP_CONNECT_FAILED' (0x13) when talking to IP server
Jun 19 18:20:09 fritz user.warn INADYN[1864]: Sat Jun 19 18:20:09 2010: W:'RC_IP_CONNECT_FAILED' (0x13) updating the IPs. (it 0)

Jemand ne Idee, welchen Port ich noch freigeben muss?

Gruß Gero

 

[Gero013]

Hai Leute,

bin aufgeschmissen.

Habe inzwischen etliches Seiten von dyndns durchforstet und auch inadyn Hilfen gelesen - irgendwie hab ich wohl ne Blockade.

Kann mir jemand vielleicht nen Tip geben, wie ich die Befehle zu Fuß absetzen kann oder wie ich die Kommunikation debuggen/loggen kann?
Habe schon versucht von dsld das logging einzuschalten - habe auch die Option aktiv, dass verworfene Pakete geloggt werden, aber im log erscheint nur die Fehlermeldung der verbotenen Verbindung.

Laut faq-dyndns deutet das daraufhin, dass der Port zwar offen ist, aber kein Dienst dahinter lauscht. Habe daraufhin extra den apache an meinem Rechner gestartet ...

... irgendwo habe ich noch was übergesehen.

Bin für jede Art von Hilfe dankbar.

Gruß Gero

 

[olistudent]

Sieht man da mit tcpdump was?

MfG Oliver

 

[MaxMuster]

Einige Beiträge habe ich gefunden, die als eine Ursache auf fehlerhafte Uhrzeit / NTP-Probleme verweisen.
Der gepostete Log-Eintrag sieht ja nicht komplett verkehrt aus, aber stimmt die Zeit des Routers?
Und: Hast du in der FW "related" Verkehr zugelassen??

Jörg

 

[sf3978]

Bin für jede Art von Hilfe dankbar.

Wenn es nicht nur inadyn sein muss bzw. auch ein anderer dyndns-Client sein darf, dann empfehle ich dir opendd. Funktioniert bei mir einwandfrei. Siehe hier: klick, klick, klick

EDIT:
Im Anhang nur als Beispiel, meine anonymisierte "opendd.conf".

 

[Gero013]

Hallo zusammen,

vielen Dank für Eure Unterstützung!

Sieht man da mit tcpdump was?

Phu - das ist nicht meine Welt.
Könnte ich garnicht entscheiden, ob man was sieht oder nicht.
Außerdem habe ich es nicht auf der Box und habe es in menuconfig (noch) nicht gesehen. Da bräuchte ich etwas mehr Hilfe um die Richtung zu verfolgen.

Der gepostete Log-Eintrag sieht ja nicht komplett verkehrt aus, aber stimmt die Zeit des Routers?

Sollte wohl stimmen. Auf der Box läuft ntpd und im log kommt "changing telephone time from linux time", was ohne ntpd, bzw. als ich den Port noch nicht offen hatte, nicht kam.

Und: Hast du in der FW "related" Verkehr zugelassen??

Yepp - habe es nach Eurem Fred zur FW-Umstellung nach gemacht, d.h. also auch mit related Einträgen angefangen.

Wenn es nicht nur inadyn sein muss ...

Kompliment! Du hast es echt drauf - stampfst ein Pakerl nach dem anderen aus dem Boden
Mir wurde seinerzeit inadyn empfohlen, u.a. weil ich mehrere Dyndns-Aliase ändere. Das ganze mit onlinechanged zu verbinden ist die einzig richtige Idee - das entlastet die Box.
Schätze die Umstellung auf opendd ist aber nicht zwischen Frühstück und Arbeitsanfang erledigt.

... andererseits würde ich schon gerne rausfinden, warums nimmer tut. Vor der Umstellung der Firewall hat es ja geklappt, d.h. es fehlt also sicher eine Regel. Die Ports, die ich aus den Faqs von Dyndns rauslesen konnte habe ich durchprobiert - leider ohne Erfolg.
Was mich sehr verwundert ist, dass überhaupt keine Logeinträge von dsld auftauchen. Könnte es sein, dass der ins Nirvana loggt und noch eine Konfigurationsänderung bräuchte?
Wenn ja, wo finde ich derlei?

Gruß Gero

 

[MaxMuster]

Der dsld macht in den neueren Versionen leider kein Logging mehr :-(

Jörg

 

[RalfFriedl]

Seit der Umstellung von dsld auf whitelists ...

Jemand ne Idee, welchen Port ich noch freigeben muss?

"Seit ich Verbindungen blockiere, kann inadyn keine Verbindung aufbauen".

Der Port wird vermutlich 80 sein.
Betrifft Deine Whitelist denn Ports oder Hosts?
inadyn tut das, wozu er konfiguriert ist. Bei den meisten Anbietern ist das ein einfacher http-Request. Ebenfalls ist bei den meisten Anbietern dokumentiert, wie dieser Request aussehen muß.Ist also Dein Anbieter in dieser Whitelist enthalten?

 

[sf3978]

[...]
Mir wurde seinerzeit inadyn empfohlen, u.a. weil ich mehrere Dyndns-Aliase ändere.
[...]

Mit opendd kannst Du auch mehrere Dyndns-Aliase ändern (updaten).

 

[Gero013]

Hab's

Habe mir temporär wget auf die Box gezogen - wollte es in Zusammenhang mit tcpdump einsetzen, aber wie sich rausstellte, war tcpdump nimmer nötig.

So wie es aussieht, ist die Box als Quelle nicht mit dem internen Netz abgedeckt, musste also als Quell-IP "any" zulassen, statt meinem internen Netz.
Frage: wie kann ich beim AVM-Firewall die Box in Regeln als Quelle oder Ziel festlegen. Ich möchte so wenig wie nötig "any" in IP-Adressen haben.

Der dsld macht in den neueren Versionen leider kein Logging mehr

Danke für die Info!
Ich fing schon an, an mir selbst zu zweifeln ...

Wenn dem so ist, würde es doch Sinn machen, die beiden Checkboxen aus der WebIF-Seite zu entfernen - oder nicht?

Mit opendd kannst Du auch mehrere Dyndns-Aliase ändern

Yo, danke. Hab's inzwischen in Deiner config auch entdeckt
Fehlt mir nur noch ein Crashkurs als Freetz-Developer

Gruß Gero

P.S. Bei inadyn scheint es noch ein Problem mit dem Loglevel zu geben.
Egal was ich einstelle, nach einem Neustart (des WebIF?) ist der Loglevel immer 0 - in der conf-Datei unter /mod/etc steht dagegen der Wert, den ich eingegeben hatte. Trotzdem sehe ich (nach Neustart des Dienstes) keine Änderung der Logausgaben.

 

[RalfFriedl]

wie sich rausstellte, war tcpdump nimmer nötig.

wie kann ich beim AVM-Firewall die Box in Regeln als Quelle oder Ziel festlegen.

Vielleicht doch mal tcpdump einsetzen?

 

[MaxMuster]

... ich wäre skeptisch, ob tcpdump dabei hilft, denn meine Vermutung:
Die IP 169.254.2.1 sieht die Box als "sich selbst an" (das tut sie z.B. für IPSec so), das ist aber nicht die, die letztlich nach draußen geht, deshalb wird vermutlich tcpdump ins Leere gehen?!?

Jörg

 

[RalfFriedl]

Vielleicht findest Du mit tcpdump etwas heraus, vielleicht auch nicht. Wenn Du es nicht probierst, findest Du nichts heraus.

 

[MaxMuster]

Wenn dem so ist, würde es doch Sinn machen, die beiden Checkboxen aus der WebIF-Seite zu entfernen - oder nicht?

Jein, bei "älteren" Boxen funktioniert das ja weiterhin. Man könnte entweder einen Hinweis einblenden (siehe Anhang), oder diese Punkte "Versionsabhängig" ausblenden (ich weiss jetzt aber nicht, seit wann das so war...)

Jörg

 

[linuxkasten]

[OT] Übrigens kann man auch wget zur Aktualisierung der IP verwenden. Man muss dazu mit wget eine spezielle Seite mit den Nutzerdaten aufrufen. [/OT]

 

[Gero013]

[OT] Übrigens kann man auch wget zur Aktualisierung der IP verwenden.[/OT]

*Lach* - das ist überhaupt nicht OT, denn genau so habe ich meinen Fehler gefunden

Gruß Gero

 

[MaxMuster]

... hast du 169.254.2.1 als Box-IP mal versucht??

Jörg

 

[linuxkasten]

Ok - ich wollte eigtl. nur sagen, dass man im Prinzip kein extra Programm braucht, das die IP aktualisiert

 

[Gero013]

... hast du 169.254.2.1 als Box-IP mal versucht??

Wie geil ist das denn?!?

Wie kommt man drauf, ne Adresse aus nem ganz anderen Segment zu nehmen?

Es funktioniert, aber jetzt wüsste ich doch gerne, warum?
Ich habe die Adresse der Schnittstelle nicht geändert, nur die in der Firewall-Regel - das bringt mein Weltbild doch stark ins Wanken.
Schließlich ist die interne IP meiner Box 169.254.1.1 - also wenn Du gesagt hättest, ich solle 169.254.1.2 versuchen, hätte ich das (zumindest halbwegs) verstanden, aber so???

Wenn Du also ne Erklärung dafür hättest, würde mich das sehr freuen.

Gruß Gero

P.S.

oder diese Punkte "Versionsabhängig" ausblenden (ich weiss jetzt aber nicht, seit wann das so war...)

Also wenn es sich an einer Version festmachen lässt, würde ich das vorziehen. Mir wurde mal beigebracht, wenn ein Anwender garnie nicht eine Chance hat, ein GUI-Element zu bedienen, dann soll er es auch nicht sehen dürfen (damals ging es um disabled contra hidden).
Die Variante, dass es völlig egal ist, was man eingibt, entspricht meiner Ansicht nach dem "garnie nicht".

 

[sf3978]

Welche IP-Adresse hat das dsl-Interface deiner FritzBox?