Traceroute liefert keine Ergebnisse

[MacErik]

Hallo,
ich versuche mittels Traceroute den Weg zu einem Server rauszufinden. Leider bekomme ich bei allen Serven, die ich versucht habe (u.a. macuser.de, heise.de) nur folgendes:

„Traceroute“ wurde gestartet…

traceroute to heise.de (193.99.144.80), 64 hops max, 40 byte packets
 1  router (192.168.0.1)  7.430 ms  0.903 ms  0.809 ms
 2  * * *
 3  * * *
 4  * * *
 5  * * *
 6  * * *
 7  * * *
 8  * * *
 9  * * *
10  * * *
11  * * *
12  * * *
13  * * *
14  * * *

Woran kann es liegen?

Erik

 

[falkgottschalk]

Übe Dich in Geduld.
Bei mir geht's:

traceroute to heise.de (193.99.144.80), 64 hops max, 40 byte packets
1 http://www.routerlogin.com (192.168.10.254) 1.694 ms 0.695 ms 0.579 ms
2 * * *
3 217.0.76.38 (217.0.76.38) 38.503 ms 38.135 ms 37.881 ms
4 217.239.40.86 (217.239.40.86) 38.555 ms 39.380 ms 38.216 ms
5 193.159.224.42 (193.159.224.42) 38.819 ms 38.788 ms 38.705 ms
6 heise1.f.de.plusline.net (213.83.46.195) 39.750 ms 387.858 ms 296.639 ms
7 heise1.f.de.plusline.net (213.83.46.195) 39.280 ms !X * 39.678 ms !X

 

[xymos]

Veiliecht ist dem einem oder anderen aufgefallen das bei einem Traceroute ein Packet verworfen bzw. nicht beantwortet wird.
Das sieht dann ungefähr so aus:

1 1.2.3.4 4 msec 0 msec 4 msec
2 5.6.7.8 4 msec 4 msec 0 msec
3 9.10.11.12 7 msec 0 msec 4 msec
4 13.14.15.16 4 msec * 0 msec

In der vierten Tracesequenz ist im zweiten Packet ein Timeout zu sehen (durch den * gekennzeichnet).
Die Ursache dafür ist, das der Router (wahrscheinlich) ein Cisco mit einem IOS-Release > 12.1 ist.
Seit der Version 12.1 ist innerhalb des IOS eine Funktion eingebaut die DoS Attacken unterdrücken/verhindern soll.
Ein unreachable wird nur zum gleichen Ziel geschickt, wenn mindestens 500 ms zwischen den Requests liegen.
Diesen Wert kann man innerhalb der Konfig verändern. Dies geschieht z.B mit "ip icmp rate-limit unreachable 1000"
oder MannFrau schaltet es mit "no ip icmp rate-limit unreachable" ab.

Diese ICMP Limitierung ist bei allen ICMP unreachables intergriert (laut Definition in RFC 792).

type = 3, code
0 = net unreachable;
1 = host unreachable;
2 = protocol unreachable;
3 = port unreachable;
4 = fragmentation needed and DF set;
5 = source route failed.

Bei allen anderen ICMP Typen (z.B time exceeded) gibt es diese Limitierung nicht.

 

[MacErik]

Übe Dich in Geduld.

Wie lange dauert das bei dir ca.?
Mein obiges Beispiel habe ich nach ungefähr 5 Minuten abgebrochen.

 

[MacErik]

Kannn niemand helfen?

 

[MacMännchen]

traceroute läuft doch auch über UDP (ausser ICMP).

Da du offenbar nur "Sterne" erhältst, hast du event. eine Firewall, die alle UDP-Pakete blockt?

 

[Saugkraft]

Oder der Router blockt ICMP Pakete. Bei ner Firewalllösung, die auf ipchains basiert durchaus denkbar.

 

[MacErik]

Die Firewall auf dem Rechner ist deaktiviert.
In den Firewall-Einstellungen des Routers lautet ein Eintrag:
Action: Allow
Name: WAN Ping
Source: WAN,*
Destination: *,*
Protocol: ICMP,8

Wenn ich das richtig deute sollte das so richtig sein und Pings funktionieren auch, nur Traceroutes eben nicht.

Erik

 

[MacMännchen]

Die Firewall auf dem Rechner ist deaktiviert.

das passt ja auch zu deiner Ausgabe von traceroute (post #1). Bis zum Router kommt er, aber nicht weiter.

Hast du einen Softwarerouter?
Dann könntest du von da aus einen Traceroute starten und mit netstat überprüfen.

Bei Hardware Router -> versuchen, ausgehende UDP freizugeben.

Edit: mit "Softwarerouter" meine ich jetzt sowas wie einen Linux Rechner o.ä.

 

[MacMännchen]

@MacErik
was für einen Router verwendest du? Das wäre für weitere Tipps hilfreich.

 

[MacErik]

Entschuldigung für die späte Reaktion, aber ich bekam leider keine Mail mit deiner Antwort und dein Beitrag wurde mir auch nicht im Kontrollzentrum angezeigt. Das passiert in letzter Zeit häufiger!

Ich benutze einen D-Link DI-514.

Bei Hardware Router -> versuchen, ausgehende UDP freizugeben.

Ich wüsste nicht, wo das geht.

Erik

 

[MacMännchen]

ich kenne den D-Link DI-514 leider nicht, bestimmt kennt ihn Jemand aus dem Forum hier.

Es sollte irgendwo in der Konfiguration, in einem Untermenü entweder unter "Netzwerk" oder unter "Sicherheit" möglich sein, Ports zu sperren oder auch freizugeben.

Traceroute verwendet hohe UDP-Ports, jenseits der 30000. Falls du eine Sperre findest, entferne sie testweise doch mal für alle UDP-Ports > 30000.

Eins muss ich dazusagen:
Duch eine unbedachte Routeränderung an den Ports kann man sich auch einsperren (im lokalen Netz), oder schlimmer, ein Scheunentor zum Internet aufmachen.

Wenn du dir unsicher bist, was du da einstellst, empfehle ich dir daher, es zu lassen, und lieber nur Sterne beim Traceroute in Kauf zu nehmen.

 

[MacErik]

Hi MacMännchen,
Danke erstmal für deine Mühe.
Ich habe schon eine Vorstellung davon, was ich da einstelle und wo es haken könnte. Deshalb stört es mich umso mehr, dass ich den Fehler nicht finde.
In den Firewall- und Filter-Einstellungen des Routers sind keine Regeln zu entdecken, die Traceroute verhindern könnten.
Vom Router aus kann man zwar pingen (das geht ja auch vom Rechner aus) aber kein Traceroute ausführen.

Erik