Small_green_yojik Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Доброго всем дня! Буду благодарен за помощь.   Сначала обрисую планируемую схему и задачу целиком: (Лок_1 | 192.168.0.0/24) <> (192.168.0.1 Деб_1 192.168.10.2) <> (192.168.10.1 Деб_2) <> (192.168.10.3 Деб_3 192.168.2.1) <> (Лок_2 192.168.2.0/24)   Необходимо чтобы локалки смогли общаться. 192.168.10.1 - tap интерфейс и коннектятся к нему шлюзы по ipsec   Машины в подсетях пингуют друг друга, но не всегда и, после ребута (или просто через какое-то время), часть машин пинговаться перестает, но начинают пинговаться иные.   Если изолировать проблему, то: С 192.168.10.1 пингуется 192.168.0.53, но не пингуется 192.168.0.60, а через какое-то время - наоборот.     Деб_1     Деб_2   Подскажите, пожалуйста, куда копать? Всего записей: 214 | Зарегистр. 18-05-2009 | Отправлено: 15:47 15-07-2018 | Исправлено: Small_green_yojik, 15:57 15-07-2018

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Small_green_yojik Пустые ли таблицы nat в netfilter? (iptables-save лучше покажите просто)   Это вся схема или вы для нас её упростили? Возможно что там тучи соединений какой-то софт генерит и у вас на одном из шлюзов забились таблицы conntrack (это будет видно по сообщениям в syslog'е).   Ну и в момент проблемы хорошо бы взглянуть на трассировку до проблемных хостов.   p.s. давайте двигаться вперёд и вместо старых утилит. использовать новые. Для nft ещё рано, а вот iproute2 давно уже пора использовать. ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6563 | Зарегистр. 28-08-2008 | Отправлено: 12:21 16-07-2018

Small_green_yojik Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Дополню. При пинге с 192.168.10.1 до 192.168.0.60 tcpdump на 0.1 видит следующее: 12:30:23.750802 IP 192.168.10.1 > 192.168.0.60: ICMP echo request, id 13416, seq 1, length 64 12:30:23.751135 IP 192.168.0.60 > 192.168.10.1: ICMP echo reply, id 13416, seq 1, length 64   На 192.168.10.1 tcpdump видит только request: 12:37:08.950971 IP 192.168.10.1 > 192.168.0.60: ICMP echo request, id 13551, seq 4, length 64   Причем по ощущениям первые несколько хостов, на которые стучусь - видны, дальше - как будто какое-то ограничение на соединения...         Добавлено: Alukardd "iptables-save" на 0.1 :   На 10.1:   Только маскарад для интерфейса интернета.   Схема упрощена. Сейчас помониторю syslog.       Добавлено: Еще по tcpdump: "sudo tcpdump -nn icmp -i vpn_vpn"   13:02:47.168081 IP 192.168.10.1 > 192.168.0.60: ICMP echo request, id 13827, seq 4, length 64 13:02:47.168414 IP 192.168.0.60 > 192.168.10.1: ICMP echo reply, id 13827, seq 4, length 64   Т.е. эхо на нужном интерфейсе. Дропается где-то на 10.2 > 10.1.       Добавлено: В syslog ничего криминального не вижу.   Грепы по conntrack на cat syslog - пустые (если конечно там должно быть нечто подобное).   на 0.1 net.netfilter.nf_conntrack_count = 403 net.netfilter.nf_conntrack_max = 65536   На 10.1 net.netfilter.nf_conntrack_count = 60 net.netfilter.nf_conntrack_max = 1548576     Добавлено: При пинге с 0.60 до 10.1, так же, request последний видно на vpn_vpn с обратной стороны тишина.   Т.е. похоже что проблема на Деб_2.   Это VPS на OpenVZ с ipsec туннелем на softether.   Всего записей: 214 | Зарегистр. 18-05-2009 | Отправлено: 12:39 16-07-2018

Small_green_yojik Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Добавлю: Пингую два произвольных адреса из подсети - пингуются, третий и далее - нет. Через какое-то время можно снова попинговать - картина та же. Причем те, что были ранее непингуемыми пинговаться будут на ура, начиная с 3-го  - вигвам.   Эдакий fail2ban.   Всего записей: 214 | Зарегистр. 18-05-2009 | Отправлено: 18:45 16-07-2018

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Small_green_yojik tcpdump на deb1 на каком интерфейсе выполнялся? ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6563 | Зарегистр. 28-08-2008 | Отправлено: 19:53 16-07-2018

Small_green_yojik Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Alukardd vpn_vpn - это 192.168.10.2   Цитата: Еще по tcpdump: "sudo tcpdump -nn icmp -i vpn_vpn"   13:02:47.168081 IP 192.168.10.1 > 192.168.0.60: ICMP echo request, id 13827, seq 4, length 64 13:02:47.168414 IP 192.168.0.60 > 192.168.10.1: ICMP echo reply, id 13827, seq 4, length 64   Т.е. эхо на нужном интерфейсе. Дропается где-то на 10.2 > 10.1.   Всего записей: 214 | Зарегистр. 18-05-2009 | Отправлено: 12:42 17-07-2018

Small_green_yojik Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору BOCTOKOB Да. Так тоже будет работать. Только редиректить будет 10.1, при этом ping будет рассказывать о " icmp_seq=6 Redirect Host(New nexthop: 192.168.10.3)"   Но проблема порылась раньше. Не работает еще на следующем этапе:   Деб_1: Destination     Gateway         Genmask         Flags Metric Ref    Use Iface 192.168.0.0     192.168.0.1     255.255.255.0   UG    0      0        0 enp2s1 192.168.10.0    192.168.10.2    255.255.255.0   UG    0      0        0 vpn_vpn     Деб_2: Destination     Gateway         Genmask         Flags Metric Ref    Use Iface 192.168.0.0     192.168.10.2    255.255.255.0   UG    0      0        0 tap_soft 192.168.10.0    192.168.10.1    255.255.255.0   UG    0      0        0 tap_soft   Сдается мне дело не в маршрутах, а в том, что что-то рубит соединения. И это что-то не iptables. Т.е. не iptables на Деб_1 и Деб_2 (может быть дело в хостовых правилах, но я пока смутно представляю возможно ли это - openvz юзал только как гость).   Добавлено: Уточню. Пакеты из подсети 0.0/24 с некоторых машин перестают пробираться через 10.2 на 10.1 Всего записей: 214 | Зарегистр. 18-05-2009 | Отправлено: 11:54 18-07-2018 | Исправлено: Small_green_yojik, 11:56 18-07-2018

Small_green_yojik Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Отредактировал (выключил сервис делающий соединения с 10.2 на 10.1) В продолжение темы (поковыряться удается редко и, как правило, не в рабочее время - пока не возникла острая необходимость).     На 10.2 "sudo tcpdump -vvv -i vpn_vpn > ~/tmp_tcp". Делаю телнет на 3128 с рабочей машины (которая не улетела в псевдобан):     192.168.0.53.52168 > 192.168.10.1.3128: Flags , cksum 0xb3c5 (correct), seq 30956282, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0     192.168.10.1.3128 > 192.168.0.53.52168: Flags [S.], cksum 0xbcea (correct), seq 598512903, ack 30956283, win 14600, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0     192.168.0.53.52168 > 192.168.10.1.3128: Flags [.], cksum 0x35c5 (correct), seq 1, ack 1, win 256, length 0     192.168.0.53.52168 > 192.168.10.1.3128: Flags [F.], cksum 0x35c4 (correct), seq 1, ack 1, win 256, length 0     192.168.10.1.3128 > 192.168.0.53.52168: Flags [F.], cksum 0x3650 (correct), seq 1, ack 2, win 115, length 0     192.168.0.53.52168 > 192.168.10.1.3128: Flags [.], cksum 0x35c3 (correct), seq 2, ack 2, win 256, length 0       Делаю тоже самое на машине из псевдобана:         192.168.0.53.52589 > 192.168.10.1.3128: Flags [S], cksum 0x49c9 (correct), seq 2997621373, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0     192.168.0.53.52589 > 192.168.10.1.3128: Flags [S], cksum 0x49c9 (correct), seq 2997621373, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0     192.168.0.53.52589 > 192.168.10.1.3128: Flags [S], cksum 0x49c9 (correct), seq 2997621373, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0     [s]Добавлено: Нашел источник проблемы: sudo tail /usr/vpnserver/server_log/vpn_20180730.log Although the virtual hub has attempt to assign a new IP address 192.168.0.53 was made, 4 IP addresses have already been assigned for this service. According to the security policy, this session is denied routing and is therefore allowed to hold no more than 4 IP addresses. The packet has been discarded.     Добавлено:  bool RequireBridgeRoutingMode true in  declare ClientOption На стороне клиента решает вопрос.   Огромное СПАСИБО неравнодушным!   И прошу прощения за свои лютые тормоза (это ж как ручник натянуть нужно, чтобы искать логи vpn сервака в последнюю очередь). Всего записей: 214 | Зарегистр. 18-05-2009 | Отправлено: 14:35 30-07-2018 | Исправлено: Small_green_yojik, 16:25 30-07-2018

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Linux проблема с маршрутизацией между интерфейсами

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование