madnazz
Goto Top

Debian Apt-Get Error 404

Hallo zusammen

Ich habe hier einen HP Proliant mit Esxi 6.0 als Host, darauf läuft Pfsense in einer VM, zwei weitere VM mit Debian 8.0 und eine weitere VM mit Win7

Pfsensen:
Wan: 192.168.1.191 (DHCP von meiner Zyxel Firewall (DMZ))
Lan: 10.10.10.1 ( DHCP Server)

Debian8.0:
Lan: DHCP 10.10.10.50

Win7:
Lan: DHCP 10.10.10.10.20


Nun mein Problem ist das ich keine Updates via Apt-Get machen kann, wenn ich die VM mit Debian direkt an WAN anschliesse geht es ohne probleme, das problem liegt vermute ich bei der Firewall. Die nötigen Ports sind aber offen.

Über die Windows Machine habe ich keine Probleme, diese ist aber im selben Netz.

Habt ihr eine Rat für mich?

Grüsse Daniel

NACHTRAG:

Ein Ping auf die IP Adresse von der Debian Source funktioniert erfolgreich, auch andere Seite kann ich an Pingen, z.b geht auch wget www.google.com! Nur bei Apt-get kommt der Fehler 404 / Failed to Fetch....

Content-Key: 295121

Url: https://administrator.de/contentid/295121

Ausgedruckt am: 28.03.2024 um 11:03 Uhr

Mitglied: Looser27
Looser27 04.02.2016 um 11:07:00 Uhr
Goto Top
Moin,

kommt Deine Debian-VM denn ansonsten ins Internet?

Wenn nicht, nochmal die Firewall-Regeln und VM-Netzwerkeinstellungen prüfen.

Gruß

Looser
Mitglied: madnazz
madnazz 04.02.2016 aktualisiert um 11:11:11 Uhr
Goto Top
Ja, wenn ich die Debian Machine direkt an die Zyxel Firewall (192.168.1.x) anschliesse wie der Esxi Host und PFsensen dann funktioniert apt-get.

Ich habe oben noch was nachgetragen, was vielleicht wichtig sein könnte...
Mitglied: 117643
117643 04.02.2016 um 11:14:27 Uhr
Goto Top
sind auf dem zxcel irgendwelche Caches aktiv oder IPS-Systeme die das vielelciht verursachen?
Mitglied: orcape
orcape 04.02.2016 um 11:16:27 Uhr
Goto Top
Hi,
was sagt denn....
ifconfig
und wie sieht die...
/etc/network/interfaces
..aus?
Gruß orcape
Mitglied: Lochkartenstanzer
Lochkartenstanzer 04.02.2016 aktualisiert um 11:26:30 Uhr
Goto Top
Zitat von @madnazz:

Ein Ping auf die IP Adresse von der Debian Source funktioniert erfolgreich, auch andere Seite kann ich an Pingen, z.b geht auch wget www.google.com! Nur bei Apt-get kommt der Fehler 404 / Failed to Fetch....

Da würde ich mal mit tcpdump/wireshark einfach schauen, nach welcher URL apt fragt und diese manuell mit wget oder lynx nachschauen.

lks

PS. Meine Kristallkugel sagt, daß da ggf. ein transparenter Proxy dazwischenfukt und die verbindung unterbindet. Daß es bei direkter verbidnung geht und bei wegewahl üebr die Firewall danebengeht ist meines Erachtens ein Indiz dafür.
Mitglied: madnazz
madnazz 04.02.2016 um 11:28:15 Uhr
Goto Top
eth0 Link encap:Ethernet HWaddr 00:0c:29:7b:7b:80
inet addr:10.10.10.15 Bcast:10.10.10.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:214 errors:0 dropped:0 overruns:0 frame:0
TX packets:184 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:24024 (23.4 KiB) TX bytes:22668 (22.1 KiB)

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:65536 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)


  1. This file describes the network interfaces available on your system
  2. and how to activate them. For more information, see interfaces(5).

source /etc/network/interfaces.d/*

  1. The loopback network interface
auto lo
iface lo inet loopback

  1. The primary network interface
allow-hotplug eth0
iface eth0 inet dhcp
Mitglied: madnazz
madnazz 04.02.2016 um 11:31:22 Uhr
Goto Top
Nein, aktiviert habe ich nichts was dies betrifft.
Mitglied: Looser27
Looser27 04.02.2016 um 12:14:30 Uhr
Goto Top
Zyxel und pfSense als Routerkaskade? Doppeltes NAT? Einstellungen in der Zyxel überprüft?
Mitglied: Lochkartenstanzer
Lochkartenstanzer 04.02.2016 um 12:17:41 Uhr
Goto Top
Zitat von @Looser27:

Zyxel und pfSense als Routerkaskade? Doppeltes NAT? Einstellungen in der Zyxel überprüft?


Wenn andere Webseiten per wget erreichbar sind, sollte das für apt normalerweise auch möglich sein. Ich vermute daher daß es irgendein filter, transparenter proxy oder eien Firewallregel ist, die das bewirkt. Die Antowrt 404 sagt mir, daß es vermutlich ein Proxy sein wird, weil angeblich bei direkter Verbindung ja funktioniert.

lks
Mitglied: Looser27
Looser27 04.02.2016 um 12:39:43 Uhr
Goto Top
Sollte dann nicht normalerweise eine Meldung vom Proxy kommen, die besagt, wer oder was geblockt hat und warum?
So macht es zumindest die pfSense...

Daher denke ich eher Richtung Firewall-Regel.

Looser
Mitglied: madnazz
madnazz 04.02.2016 um 13:48:26 Uhr
Goto Top
Mitglied: madnazz
madnazz 04.02.2016 um 13:54:26 Uhr
Goto Top
Das betrifft dann den Proxy von pfsense, ich habe squidguard deaktiviert somit sollte dieser nix blockieren?

Zitat von @Lochkartenstanzer:

Zitat von @Looser27:

Zyxel und pfSense als Routerkaskade? Doppeltes NAT? Einstellungen in der Zyxel überprüft?


Wenn andere Webseiten per wget erreichbar sind, sollte das für apt normalerweise auch möglich sein. Ich vermute daher daß es irgendein filter, transparenter proxy oder eien Firewallregel ist, die das bewirkt. Die Antowrt 404 sagt mir, daß es vermutlich ein Proxy sein wird, weil angeblich bei direkter Verbindung ja funktioniert.

lks
Mitglied: madnazz
madnazz 04.02.2016 um 13:59:19 Uhr
Goto Top
Wenn die Debian Machine an der Zyxel ist geht apt-get somit können wir die zyxel auschliessen?

Zitat von @madnazz:

Das betrifft dann den Proxy von pfsense, ich habe squidguard deaktiviert somit sollte dieser nix blockieren?

Zitat von @Lochkartenstanzer:

Zitat von @Looser27:

Zyxel und pfSense als Routerkaskade? Doppeltes NAT? Einstellungen in der Zyxel überprüft?


Wenn andere Webseiten per wget erreichbar sind, sollte das für apt normalerweise auch möglich sein. Ich vermute daher daß es irgendein filter, transparenter proxy oder eien Firewallregel ist, die das bewirkt. Die Antowrt 404 sagt mir, daß es vermutlich ein Proxy sein wird, weil angeblich bei direkter Verbindung ja funktioniert.

lks
Mitglied: madnazz
madnazz 04.02.2016 um 14:01:09 Uhr
Goto Top
Ign http://ftp.ch.debian.org jessie InRelease
Ign http://ftp.ch.debian.org jessie-updates InRelease
Ign http://ftp.ch.debian.org jessie Release.gpg
Ign http://ftp.ch.debian.org jessie-updates Release.gpg
Ign http://ftp.ch.debian.org jessie Release
Ign http://ftp.ch.debian.org jessie-updates Release
Ign http://ftp.ch.debian.org jessie/main Sources/DiffIndex
Ign http://ftp.ch.debian.org jessie/contrib Sources/DiffIndex
Ign http://ftp.ch.debian.org jessie/non-free Sources/DiffIndex
Ign http://ftp.ch.debian.org jessie/main amd64 Packages/DiffIndex
Ign http://ftp.ch.debian.org jessie/contrib amd64 Packages/DiffIndex
Ign http://ftp.ch.debian.org jessie/non-free amd64 Packages/DiffIndex
Ign http://security.debian.org jessie/updates InRelease
Ign http://security.debian.org jessie/updates Release.gpg
Ign http://security.debian.org jessie/updates Release
Ign http://security.debian.org jessie/updates/main Sources/DiffIndex
Ign http://security.debian.org jessie/updates/main amd64 Packages/DiffIndex
Ign http://ftp.ch.debian.org jessie-updates/main Sources/DiffIndex
Ign http://ftp.ch.debian.org jessie-updates/main amd64 Packages/DiffIndex
Ign http://security.debian.org jessie/updates/main Translation-en_US
Ign http://security.debian.org jessie/updates/main Translation-en
Err http://security.debian.org jessie/updates/main Sources
404 Not Found [IP: 212.211.132.250 80]
Err http://security.debian.org jessie/updates/main amd64 Packages
404 Not Found [IP: 212.211.132.250 80]
Ign http://ftp.ch.debian.org jessie/contrib Translation-en_US
Ign http://ftp.ch.debian.org jessie/contrib Translation-en
Ign http://ftp.ch.debian.org jessie/main Translation-en_US
Ign http://ftp.ch.debian.org jessie/main Translation-en
Ign http://ftp.ch.debian.org jessie/non-free Translation-en_US
Ign http://ftp.ch.debian.org jessie/non-free Translation-en
Ign http://ftp.ch.debian.org jessie-updates/main Translation-en_US
Ign http://ftp.ch.debian.org jessie-updates/main Translation-en
Err http://ftp.ch.debian.org jessie/main Sources
404 Not Found
Err http://ftp.ch.debian.org jessie/contrib Sources
404 Not Found
Err http://ftp.ch.debian.org jessie/non-free Sources
404 Not Found
Err http://ftp.ch.debian.org jessie/main amd64 Packages
404 Not Found
Err http://ftp.ch.debian.org jessie/contrib amd64 Packages
404 Not Found
Err http://ftp.ch.debian.org jessie/non-free amd64 Packages
404 Not Found
Err http://ftp.ch.debian.org jessie-updates/main Sources
404 Not Found
Err http://ftp.ch.debian.org jessie-updates/main amd64 Packages
404 Not Found
W: Failed to fetch http://ftp.ch.debian.org/debian/dists/jessie/main/source/Sources 404 Not Found

W: Failed to fetch http://ftp.ch.debian.org/debian/dists/jessie/contrib/source/Sources 404 Not Found

W: Failed to fetch http://ftp.ch.debian.org/debian/dists/jessie/non-free/source/Sources 404 Not Found

W: Failed to fetch http://ftp.ch.debian.org/debian/dists/jessie/main/binary-amd64/Packages 404 Not Found

W: Failed to fetch http://ftp.ch.debian.org/debian/dists/jessie/contrib/binary-amd64/Packa ... 404 Not Found

W: Failed to fetch http://ftp.ch.debian.org/debian/dists/jessie/non-free/binary-amd64/Pack ... 404 Not Found

W: Failed to fetch http://security.debian.org/dists/jessie/updates/main/source/Sources 404 Not Found [IP: 212.211.132.250 80]

W: Failed to fetch http://security.debian.org/dists/jessie/updates/main/binary-amd64/Packa ... 404 Not Found [IP: 212.211.132.250 80]

W: Failed to fetch http://ftp.ch.debian.org/debian/dists/jessie-updates/main/source/Source ... 404 Not Found

W: Failed to fetch http://ftp.ch.debian.org/debian/dists/jessie-updates/main/binary-amd64/ ... 404 Not Found

E: Some index files failed to download. They have been ignored, or old ones used instead.
root@web1:~# wget 212.211.132.250
--2016-02-04 13:59:54-- http://212.211.132.250/
Connecting to 212.211.132.250:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 867 [text/html]
Saving to: ‘index.html.3’

index.html.3 100%[=========================================================================================================================================>] 867 --.-KB/s in 0s

2016-02-04 13:59:54 (71.8 MB/s) - ‘index.html.3’ saved [867/867]
Mitglied: madnazz
madnazz 04.02.2016 um 14:02:15 Uhr
Goto Top
Die IP: 212.211.132.250 wird als not found via apt-get angezeigt

wenn ich wget auf diese IP mache, funktioniert es, beide nutzen den selben port, port 80 ?
Mitglied: orcape
orcape 04.02.2016 um 14:05:23 Uhr
Goto Top
Gib mal die Google-IP ein, ob Du da Verbindung hast...
173.194.113.31
DNS-Problem?
Mitglied: madnazz
madnazz 04.02.2016 um 14:13:48 Uhr
Goto Top
PING 173.194.113.31 (173.194.113.31) 56(84) bytes of data.
64 bytes from 173.194.113.31: icmp_seq=1 ttl=53 time=17.3 ms
64 bytes from 173.194.113.31: icmp_seq=2 ttl=53 time=17.8 ms
64 bytes from 173.194.113.31: icmp_seq=3 ttl=53 time=17.4 ms
64 bytes from 173.194.113.31: icmp_seq=4 ttl=53 time=18.1 ms
64 bytes from 173.194.113.31: icmp_seq=5 ttl=53 time=18.6 ms
^C
--- 173.194.113.31 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4006ms
rtt min/avg/max/mdev = 17.352/17.874/18.634/0.482 ms
Mitglied: michi1983
michi1983 04.02.2016 um 14:19:40 Uhr
Goto Top
Wenn du die Adresse per DCHP beziehst, sollte in der
/etc/resolv.conf
ein DNS Server drinstehen über den die Maschine auflöst.
Mitglied: Looser27
Looser27 04.02.2016 um 14:19:48 Uhr
Goto Top
Routerkaskade und keine DNS-Weiterleitung eingerichtet. Somit kommt die Anfrage zwar raus, aber die Antwort nur bis zur Zyxel und wegen fehlender Weiterleitung nicht bis zur pfSense.
Mitglied: orcape
orcape 04.02.2016 um 14:24:55 Uhr
Goto Top
DNS-Problem?
Was sagt...
nmap 192.168.1.x -p 53 (Gateway-IP)
Mitglied: Looser27
Looser27 04.02.2016 um 14:27:02 Uhr
Goto Top
@aqui hat dazu doch ein schickes Tutorial geschrieben
Mitglied: madnazz
madnazz 04.02.2016 um 14:30:13 Uhr
Goto Top
cat /etc/resolv.conf
domain mad.ch
search mad.ch
nameserver 8.8.8.8
nameserver 8.8.8.4
Mitglied: orcape
orcape 04.02.2016 um 14:41:28 Uhr
Goto Top
Dann trage da mal den Gateway ein.
Mitglied: madnazz
madnazz 04.02.2016 um 14:52:46 Uhr
Goto Top
nmap 192.168.1.1 -p 53

Starting Nmap 6.47 ( http://nmap.org ) at 2016-02-04 14:52 CET
Stats: 0:00:05 elapsed; 0 hosts completed (0 up), 1 undergoing Ping Scan
Parallel DNS resolution of 1 host. Timing: About 0.00% done
Stats: 0:00:05 elapsed; 0 hosts completed (0 up), 1 undergoing Ping Scan
Parallel DNS resolution of 1 host. Timing: About 0.00% done
Nmap scan report for 192.168.1.1
Host is up (0.0018s latency).
PORT STATE SERVICE
53/tcp open domain

Nmap done: 1 IP address (1 host up) scanned in 7.98 seconds

Zitat von @orcape:

DNS-Problem?
Was sagt...
nmap 192.168.1.x -p 53 (Gateway-IP)
Mitglied: orcape
orcape 04.02.2016 aktualisiert um 15:10:38 Uhr
Goto Top
Kommentiere mal testweise alle Deine Eintrage in der...
/etc/resolv.conf
aus und füge 192.168.1.1 ein. Sollte das nicht helfen, aktiviere auf der pfSense den DNS-Forwarder.
Mitglied: madnazz
madnazz 04.02.2016 um 15:20:18 Uhr
Goto Top
Wenn ich 192.168.1.1 eintrage ändert das nix, den DNS Forwarder in Pfsense habe ich aktiviert mit port 53. hat aber auch nichts geholfen....

Zitat von @orcape:

Kommentiere mal testweise alle Deine Eintrage in der...
/etc/resolv.conf
aus und füge 192.168.1.1 ein. Sollte das nicht helfen, aktiviere auf der pfSense den DNS-Forwarder.
Mitglied: orcape
orcape 04.02.2016 um 15:31:46 Uhr
Goto Top
Du hat aber schon den Netzwerk-Service danach neu gestartet ?
Mitglied: madnazz
madnazz 04.02.2016 um 15:43:19 Uhr
Goto Top
Ja das habe ich. Der eintrag: "nameserver 192.168.1.1" ist richtig? oder muss ich als gateway statt nameserver?

Zitat von @orcape:

Du hat aber schon den Netzwerk-Service danach neu gestartet ?
Mitglied: orcape
orcape 04.02.2016 um 15:51:28 Uhr
Goto Top
Hast Du mal den Versuch gemacht, die IP der pfSense einzutragen?
Mitglied: madnazz
madnazz 04.02.2016 um 16:04:57 Uhr
Goto Top
Soeben versucht, das ändert auch nix

Zitat von @orcape:

Hast Du mal den Versuch gemacht, die IP der pfSense einzutragen?
Mitglied: madnazz
madnazz 04.02.2016 um 16:05:32 Uhr
Goto Top
Wie soll ich die fehlende weiterleitung einrichten zwischen pfsense und zyxel?

Zitat von @Looser27:

Routerkaskade und keine DNS-Weiterleitung eingerichtet. Somit kommt die Anfrage zwar raus, aber die Antwort nur bis zur Zyxel und wegen fehlender Weiterleitung nicht bis zur pfSense.
Mitglied: Looser27
Looser27 05.02.2016 um 14:29:29 Uhr
Goto Top
Hast Du Dir die von mir oben genannte Anleitung zur Routerkaskade von @aqui mal angesehen?
Mitglied: madnazz
madnazz 05.02.2016 um 16:12:44 Uhr
Goto Top
Ja, in meinem Fall glaube ich trifft das Szenario zu.

[ Titel]

Bei mir ist folgendes:

DSL Modem in Bridge Mode
WAN: Public IP

Zywall (NAT):
Lan1 = 192.168.1.1
WAN = Public IP

PFSense (NAT):
Lan1: 10.10.10.1
WAN: 192.168.1.191


Internet -- DSLMODEM -- PublicIP -- Zywall mit NAT -- Lan1/192.168.1.1 -- Pfsense mit Nat -- Lan1/10.10.10.1

Da die Zywall NAT macht muss ich keine Statische Route zur PFsense machen, korrekt?
Mitglied: 90948
90948 05.02.2016 um 22:11:37 Uhr
Goto Top
Moin moin,

Wenn beide im NAT laufen brauchst keine statische Route zur pfSense. Läuft ein Proxy auf der pfSense? Du erwähnst mal kurz Squidguard oder ist der Proxy als transparent? Bei apt-get musst du nämlich den Proxy separat angeben. Was sagen denn die Log-Dateien bzw. die Verbindungs-states in der pfSense (Diagnostic -> States, System -> System Logs -> Firewall)?

Gruß Reini
Mitglied: 117471
117471 06.02.2016 um 10:09:31 Uhr
Goto Top
apt-get nutzt u.U. andere Proxy-Einstellungen als wget.

Hast Du dir die mal geanschaut?
Mitglied: madnazz
madnazz 10.02.2016 um 18:32:58 Uhr
Goto Top
Wir haben die Firewall neu augesetzt, nun funktioniert es. Leider weiss ich nicht was die ursache war. Besten Dank an alle für die aktive mithilfe
Mitglied: Lochkartenstanzer
Lochkartenstanzer 11.02.2016 um 11:27:37 Uhr
Goto Top
Zitat von @madnazz:

Wir haben die Firewall neu augesetzt, nun funktioniert es. Leider weiss ich nicht was die ursache war.

Wenn es nach dem "neuaufsetzen" der Firewall funktioniert, vermute ich, daß in der alten Konfiguration irgendein transparenter Proxy konfiguriert war.

lks
Mitglied: madnazz
madnazz 13.02.2016 um 11:55:35 Uhr
Goto Top
Es funktioniert auf der neuen Installation, leider hab ich nun probleme mit dem Squid Reverse Proxy. Werde dafür ein neuen Thread öffnen.

Transparent Proxy hab ich deaktiviert.