folgendes Problem: Wir nutzen an unserer Schule das CAD-Programm BricsCAD (übrigens eine Empfehlung, da es für Schulen kostenlos ist und es eine vollwertige Linux-Version gibt) mit einer Netzwerk-Lizenz.
Dazu läuft auf dem Linuxmuster.net-Server ein Lizenzmanager-Dienst. Damit BricsCAD auf den Clients sich seine Lizenzen vom Server holen kann, muss auf dem Server der Port 5053 offen sein. Ich habe diesen Port sowohl in der /etc/linuxmuster/base_ports, als auch in der allowed_ports freigegeben und bisher hat es auch tadellos funktioniert.
Jetzt läuft es nicht mehr, weil der Port 5053, obwohl ich nichts an der Konfiguration geändert habe, nicht mehr offen ist (Test mit nmap) und die Clients bekommen keine Lizenzinformationen mehr.
Meine Vermutung ist, dass dieses Verhalten nach einem import_workstations auftritt.
ich vermute Du musst die Freigabe auf dem Server machen.
Dazu die Datei
/etc/linuxmuster/allowedports editieren und den Port eintragen. Je nachdem
ob Du UDP, oder TCP brauchst musst DU den Port in eine der Zeilen schreiben.
danke für Deine Hilfe. Das habe ich gemacht. Auf dem Server ist in der /etc/linuxmuster/base_ports und in der /etc/linuxmuster/allowed_ports sowohl unter tcp, als auch unter udp der Port 5053 eingetragen. Einen restart der Firewall habe ich auch gemacht. Wie gesagt, lief die Sache über ein Jahr lang völlig problemlos.
Das Problem tauchte vor kurzem zum ersten Mal nach einem wegen einer Stromabschaltung geplanten Neustart des Servers auf und dann seit letztem Freitag nach einem import_workstations.
Interessanterweise ist der Port 5054, der für die Wartung des Lizenzmanagers offen sein, und der auf gleiche Weise in die base_ports und allowed_ports eingetragen ist, nach wie vor offen.
Stoppe ich die Linuxmuster-Firewall finden, die BricsCAD-Clients den Lizenzmanager, starte ich sie wieder, kann keine Verbindung hergestellt werden.
Gibt es in der Linuxmuster.net noch an irgendeiener anderen Stelle eine Möglichkeit, die Firewall zu konfigurieren?
danke für Deine Hilfe. Das habe ich gemacht. Auf dem Server ist in der
/etc/linuxmuster/base_ports und in der /etc/linuxmuster/allowed_ports
sowohl unter tcp, als auch unter udp der Port 5053 eingetragen. Einen
restart der Firewall habe ich auch gemacht. Wie gesagt, lief die Sache
über ein Jahr lang völlig problemlos.
Das Problem tauchte vor kurzem zum ersten Mal nach einem wegen einer
Stromabschaltung geplanten Neustart des Servers auf und dann seit
letztem Freitag nach einem import_workstations.
wie habt ihr es damals behoben? (als es zum ersten Mal auftrat).
Interessanterweise ist der Port 5054, der für die Wartung des
Lizenzmanagers offen sein, und der auf gleiche Weise in die base_ports
und allowed_ports eingetragen ist, nach wie vor offen.
Stoppe ich die Linuxmuster-Firewall finden, die BricsCAD-Clients den
Lizenzmanager, starte ich sie wieder, kann keine Verbindung hergestellt
werden.
OK: das ist dann eindeutig die Firewall.
Gibt es in der Linuxmuster.net noch an irgendeiener anderen Stelle eine
Möglichkeit, die Firewall zu konfigurieren?
wüßte ich nicht.
Ich würde nun erstmal Logdateien wälzen.
Vielelciht hilft auch folgendes:
linuxmuster-base anhalten
den Port aus den genannten Configs raus nehmen
linuxmuster-base starten
linuxmuster-base anhalten
ports wieder in die allowed_ports und base_ports
linuxmuster-base wieder starten.
Was steht den in den blocked_ports?
Sollte es nicht reichen, wenn der Port nur in der base_ports steht?
Dort steht nämlich:
List of base intranet ports which are mandatory for workstation import.
Allowed for all intranet workstations.
Don’t edit!
… vor allem das Don’t edit! ist natürlich interessant: da müßte man mal
tiefer graben, wo man das den sonst eintragen soll.
Viele Grüße
Holger
PS: habt ihr euer BricsCAD auch an Fräsen angeschlossen?
Welche?
Welche Schnittstelle?
ich hab jetzt auch die Kommentare in allowed_ports gelesen: dein Port
sollte nur in die allowed_ports und nicht in beide Dateien.
Also base anhalten, aus base_ports raus und nur in allowed_ports rein,
dann base wieder starten und einen import machen: dann mal schauen, ob
es wieder geht.
danke für Euere Hilfe. Das mit den Firewall-Config-Dateien werde ich morgen in der Schule mal testen.
Holger, zu Deiner Frage wegen den Fräsen, werde ich mal meine Metaller fragen.
also, ich habe die base_ports auf die ursprünglichen Werte zurückgesetzt. D.h. der benötigte Port 5053 steht jetzt nur noch in der allowed_ports. Danach ein restart der Firewall. Aber es geht immer noch nicht. Rätselhaft.
bei der BricsCAD-Software sind standardmäßig die Ports 5053 und 5054 zur Verbindung mit dem bzw. zur Wartung des Lizenzmanagers vorgesehen. Das hat mit DDNS oder Bonjour nichts zu tun. Aber Du hast mich trotzdem auf eine Idee gebracht: Ich werde einfach mal andere Ports ausprobieren.
mit nmap findest Du nicht “offene port-Türen”, die - um im Bild gesprochen - durch die Firewalleinstellungen geöffnet oder geschlossen werden. Du findest nur “Türen”, hinter denen ein Dienst lauscht.
Meine Vermutung: Dein Serverdienst auf Port 5053 läuft nicht.
Diagnosemöglichkeit:
Erstmal schauen, ob auf dem Server überhaupt ein Dienst läuft, der den Port 5053 bedient:
netstat -tulpen|grep 5053
Keine Ausgabe ? Dann läuft Dein Serverdienst nicht -> andere Baustelle !
Und wie kann ich trotzdem mal schauen, ob die clients überhaupt den Port 5053 des Servers “finden” ?
Du trägst nicht in den base_ports, sondern lediglich in den allowed_ports unter tcp und udp den Port 5053 ein.
Dann:
/etc/init.d/linuxmuster-base restart
Jetzt ist die Firewall mit den offenen Port-Türen wieder “online”.
Nun lässt Du versuchsweise mal Deinen apache-Server auch auf Port 5053 “schnuppern”:
Gib also einfach unter /etc/apache2/ports.conf ein LISTEN 5053
(unter den anderen LISTEN-Angaben)
Starte dann den Apache mit
service apache2 restart
So, jetzt nochmal
netstat -tulpen|grep 5053
Wenn jetzt eine Ausgabe kommt, wie: tcp6 0 0 :::5053 :::* LISTEN 0 9445260 23554/apache2
Dann wechsele auf einen client - nun muss ein: nmap 10.16.1.1 -p 5053 einen offenen Port melden !
(Du musst am Ende wieder die ports.conf zurücksetzen, also Dein “LISTEN 5053” wieder 'rausnehmen, sonst kollidieren Apache und Dein Serverdienst, der jetzt von Dir zum Laufen gebracht werden muss !)
danke für Deine sehr ausführliche Hilfe. Das Ergebnis:
netstat -tulpen|grep 5053: läuft
nmap 10.16.1.1 -p 5053: läuft
in der allowed_ports steht sowohl unter tcp, als auch unter udp Port 5053 drin
BricsCAD kann, obwohl IP 10.16.1.1 und Port 5053 für den Lizenzmanager eingetragen sind, keine Verbindung aufbauen
stoppe ich die Firewall, klappt die Verbindung
starte ich die Firewall wieder, keine Verbindung mehr
muss also definitiv an der Firewall liegen.
Ich werde morgen nach der Schule den Server mal komplett neu starten und schauen, was dann passiert.
das würde aber nun bedeuten, dass sich das Problem geändert hat: Die clients können laut Deiner Aussage definitiv über Port 5053 den Serverdienst potentiell erreichen - oder ?
Dann eine Rückfrage:
“netstat -tulpen|grep 5053 läuft” heißt also, dass Deine Ausgabe am Ende den Serverdienst auch zeigt ?
(bei meinem Beispiel oben den apache2, bei Dir müsste es dann der BriCad-Dienst sein !).
Wenn dann mit deaktivierter firewall der Dienst vom client aus erreichbar ist, liegt der Verdacht nahe, dass ein weiterer Port eine Rolle spielt. Das wäre für mich die einzige logische Erklärung neben dieser: Ich hatte früher auch mal Probleme mit den allowed_ports, weil sich bei mir zwei Bereiche überlappten - das würde ich mal kontrollieren.
Evtl. hast Du da irgendwo noch RLM stehen - das IST der Port 5053 (!). Doppeleintragungen und Überlappungen mag die Datei allowed_ports nicht !
schau Dir doch mal bei laufender Firewall die Ausgabe von “iptables -L” an, insbesondere daraufhin, ob es einen Unterschied zwischen dem Port 5053 und 5054 gibt.
Wenn Du den Port beim Server und beim Client einstellen kannst, dann wäre es auch einen Versuch wert, mal einen garantiert unverfänglichen Port wie 15053 zu versuchen.
jetzt ist das Problem wieder nach einem import_workstations aufgeschlagen. Es ist zum Haare raufen. Keine Änderung der Konfiguration. Hat monatelang klaglos funktioniert. Stoppe ich die Firewall, finden die Clients den Lizenzmanager. Starte ich die Firewall, nicht mehr. Auch bei iptables -L taucht der fragliche Port 5053 als ACCEPTED auf.
Irgendwo scheint import_workstations etwas an den Firewall-Einstellungen zu drehen, so dass der Port 5053, obwohl er in allowed_ports und base_ports eingetragen ist, nicht mehr offen ist.
ja möchte ich. Habe noch einen Medienserver laufen. Da hätte ich den Netzwerkmanager installiert. Entpacken geht, aber die Installation geht nicht los.
zuerst einmal an alle. Das Problem ist gelöst. Neben dem Port 5053 musste noch ein weiterer Port offen sein. Dieser war auch in allowed_ports gesetzt, aber BricsCAD hat - wahrscheinlich durch den Neustart des Servers - dann einfach einen anderen benutzt, obwohl ich einen spezifischen Port festgelegt hatte.
nun noch einmal speziell zu Dir. Entschuldige, dass ich mich so lange nicht gemeldet habe, aber bei mir ging es schulisch in letzter Zeit etwas turbulent zu …
Hier meine Vorgehensweise zur Installation des Lizenzmanagers:
Verzeichnis /var/rlm anlegen.
Den RLM hier herunterladen, ins Verzeichnis /var/rlm kopieren und dort entpacken.
Den Lizenzmanager mit ./rlm starten, d.h. Du musst eigentlich nichts installiern, sondern Du brauchst den RLM nur zu starten.
Liebe Grüße
Thomas
P.S. Wenn Du noch Fragen zur Lizenzierung hast, melde Dich einfach noch einmal.