EINIGE Webseiten nicht erreichbar

[MrBoe]

Guten Morgen!
Jetzt brauche ich wirklich eure Hilfe, ich habe keine Ahnung woran es liegt. Folgende Situation:

Ich habe einen Debian etch Software Router.
Auf der einen Seite Internet, auf der anderen Seite LAN.
Der Provider ist QSC.

Im LAN hängen drei bis vier Rechner. Zwei über Kabel, bis zu zwei über einen Hardware WLAN AccessPoint von d-link.

Nu das Problem:
Von den Rechnern im LAN kann ich einige Internetseiten nicht erreichen (also die Seiten werden nicht aufgebaut).
Aufgefallen ist es mir bei den Seiten:
www.nordlb.de
www.toyota.de
www.lindenstrasse.de

Folgendes konnte ich testen/beobachten:

• die Namendsauflösung der Server funktioniert auf allen Rechnern
• die Server können von allen Rechnern angepingt werden
• auf dem Router (vncserver) kann ich die Seiten anzeigen
• auf den Rechnern im LAN werden alle, bis auf die paar, Seiten normal angezeigt
• habe mit opera, firefox, iceweasel und ie unter Windows, Debian und Kubuntu getestet
• in den Browsern wird die Titelzeile des Fensters angezeigt, Seitenaufbau findet nicht statt
• MTU von ppp0 ist 1492
• es gehen keine Pakete (eth0, eth1, ppp0) verloren
• Der Provider kann es sich auch nicht erlären
• iptables Einstellungen auf dem Router folgen:
  

Ich habe als erstes sicher gestellt, dass keine iptabels auf dem Router dazwischen funken:

iptables -F
iptables -t nat -F

überprüft mit

iptables -L

Alles in Ordnung soweit. Dann habe ich Zeile für Zeile eingegeben:

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

Ab diesem Punkt funktionierte das Internet auf den Rechnern im LAN. Mehr hab ich nicht gemacht.

Vielen Dank, dass du bis hierher gelesen hast!
Was ist hier los? Irgendwelche Vorschläge, was ich noch testen könnte?

Bitte helft mir, ich würde gern mal wieder Olinebanking machen ohne vncclient.

 

[supersucker]

Hmm,

schwierig, kriegst du denn einen richtigen Time-out-Fehler oder laden die Seiten einfach ewig und werden nie fertig?

Schon mal mit wireshark oder tcpdump geschaut ob überhaupt - und wenn ja, was - bei dir ankommt?

 

[MrBoe]

Hmm, also ich habe noch nie lange genug gewartet. Laut meiner Freundin bricht der Ladevorgang nach über einer Stunde ab. Ich weiss aber nicht mit welcher Fehlermeldung.
Ein Timeout kommt zumindest nach 10 Minuten noch nicht.

Wireshark lasse ich dann auf dem Rechner im LAN laufen, oder auf dem Router? Und nach was muss ich da filtern?

 

[blur]

Moin, moin,

hört sich nach typischem MTU-Problem an, lies mal hier

Gruß
Blur

 

[Fallout]

Blur's Hinweis paßt zumindest mit meinem Test überein, die Webhosts anzupingen. www.nordlb.de filtert offensichtlich icmp komplett, und die restlichen verwerfen es sogar.

Aber Du hast ja geschrieben, daß alle Hosts von Dir anpingbar sind (?).

Gruß Daniel

 

[MrBoe]

Ich habe aus dem Gedächtnis geschrieben. Lindenstrasse und Toyota sind tatsächlich nicht anpingbar, aber die Namensauflösung funktioniert.

Den Text werde ich mir gleich mal reinziehen.
.
.
.
EDIT (autom. Beitragszusammenführung) :
.
Ich habe aus dem Gedächtnis geschrieben. Lindenstrasse und Toyota sind tatsächlich nicht anpingbar, aber die Namensauflösung funktioniert.

Der Text klingt ziemlich plausibel. Aber was ich noch nicht verstanden habe ist, warum diese Seiten jetzt auf meinem Router angezeigt werden können und auf den anderen Rechnern nix. Wenn ich das richtig verstehe, dann ist die MTU auf meinem ppp0 Device 1492 weil da noch ein pppoe Header mit 8 Byte angehängt wird, oder? Meine lokalen Interfaces haben doch aber eine MTU von 1500, da muss dann doch eigentlich gar nichts gesplittet werden.

Und hier vermutlich die Lösung:

iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

Jaja, bisher ohne Gewähr, ich habs zu hause noch nicht getestet. Nur eingestellt.