traceroute и ipsec туннель

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
uderik
рядовой
Сообщения: 35
Зарегистрирован: 2007-10-24 12:15:47

traceroute и ipsec туннель

Непрочитанное сообщение uderik » 2008-09-07 18:30:01

Привет всем.

Есть ipsec туннель:

Код: Выделить всё

gif3: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1500
        tunnel inet 10.0.254.2 --> 10.0.254.12
        inet 10.0.112.1 --> 10.0.112.2 netmask 0xfffffffc
между сетями 192.168.1.0/24 (10.0.112.1 сторона) и 192.168.2.0/24 (10.0.112.2 сторона)

Код: Выделить всё

  1    <1 ms    <1 ms    <1 ms  192.168.2.1
  2     *        *        *     Превышен интервал ожидания для запроса.
  3    18 ms    13 ms    14 ms  192.168.1.11 
Почему не видно 2го хопа ?
Последний раз редактировалось Alex Keda 2008-09-08 10:40:31, всего редактировалось 1 раз.
Причина: Товарищщи, юзайте кнопочку [code], цените чужое время...

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: traceroute и ipsec туннель

Непрочитанное сообщение zingel » 2008-09-07 21:57:52

TTL покажите
Z301171463546 - можно пожертвовать мне денег

uderik
рядовой
Сообщения: 35
Зарегистрирован: 2007-10-24 12:15:47

Re: traceroute и ipsec туннель

Непрочитанное сообщение uderik » 2008-09-07 23:16:57

zingel писал(а):TTL покажите
TTL в каком месте? Он тут точно не причем.

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: traceroute и ipsec туннель

Непрочитанное сообщение zingel » 2008-09-08 9:17:58

поверь, в том, что я отвечаю, я разбираюсь, это первое, второе - "превышен интервал ожидания для запроса", в этом случае может быть равно no route to host. Давай вывод

Код: Выделить всё

traceroute -SvnI <host> 
нормальный, flow-вывод и:

Код: Выделить всё

netstat -rn && netstat -ib
Z301171463546 - можно пожертвовать мне денег

uderik
рядовой
Сообщения: 35
Зарегистрирован: 2007-10-24 12:15:47

Re: traceroute и ipsec туннель

Непрочитанное сообщение uderik » 2008-09-08 11:43:31

zingel писал(а):поверь, в том, что я отвечаю, я разбираюсь, это первое, второе - "превышен интервал ожидания для запроса", в этом случае может быть равно no route to host. Давай вывод

Код: Выделить всё

traceroute -SvnI <host> 
нормальный, flow-вывод и:

Код: Выделить всё

netstat -rn && netstat -ib
тоже самое только из другой сети, на 192.168.0/16 нету там фри

Код: Выделить всё

traceroute to 10.25.0.10 (10.25.0.10), 64 hops max, 60 byte packets
 1  10.45.0.40 36 bytes to 10.45.0.111  0.555 ms  0.711 ms  0.490 ms (0% loss)
 2  * * * (100% loss)
 3  10.25.0.10 40 bytes to 10.45.0.111  66.321 ms  65.279 ms  65.327 ms (0% loss)

Код: Выделить всё

PING 10.0.112.1 (10.0.112.1): 56 data bytes
64 bytes from 10.0.112.1: icmp_seq=0 ttl=63 time=63.580 ms
64 bytes from 10.0.112.1: icmp_seq=1 ttl=63 time=63.586 ms
64 bytes from 10.0.112.1: icmp_seq=2 ttl=63 time=63.102 ms
^C
--- 10.0.112.1 ping statistics ---
3 packets transmitted, 3 packets received, 0% packet loss
round-trip min/avg/max/stddev = 63.102/63.423/63.586/0.227 ms

Код: Выделить всё

PING 10.0.112.2 (10.0.112.2): 56 data bytes
64 bytes from 10.0.112.2: icmp_seq=0 ttl=62 time=65.509 ms
64 bytes from 10.0.112.2: icmp_seq=1 ttl=62 time=65.807 ms
^C
--- 10.0.112.2 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max/stddev = 65.509/65.658/65.807/0.149 ms
Так что no route to host тут не причем :( это было бы слишком просто

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: traceroute и ipsec туннель

Непрочитанное сообщение zingel » 2008-09-08 11:50:23

чтот я сегодня приболел...

Вопрос: зачем Вам второй хоп?
Z301171463546 - можно пожертвовать мне денег

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: traceroute и ipsec туннель

Непрочитанное сообщение schizoid » 2008-09-08 12:11:43

не режется фаером ниде?
ядерный взрыв...смертельно красиво...жаль, что не вечно...

uderik
рядовой
Сообщения: 35
Зарегистрирован: 2007-10-24 12:15:47

Re: traceroute и ipsec туннель

Непрочитанное сообщение uderik » 2008-09-08 12:15:27

Вопрос: зачем Вам второй хоп?
Хочу видеть через какой туннель идет маршрут, поднята динамическая маршрутизация. хочется чтобы показывала всетаки или понять почему этого не будет :(

вот что откопал, схожая проблема:
http://groups.google.com/group/mailing. ... 8abc6d7de9

uderik
рядовой
Сообщения: 35
Зарегистрирован: 2007-10-24 12:15:47

Re: traceroute и ipsec туннель

Непрочитанное сообщение uderik » 2008-09-08 12:19:10

schizoid писал(а):не режется фаером ниде?
нет не режится, все вырубил специально. Проблема именно на gif интерфейсах, тут вот еще одна особенность вылезла, трафик который приходит с gif интерфейсов, не попадает в правило на файрволе rdr from 192.168.2.0/24 to (внешний адрес) port https -> (внутренний адрес), с tun интерфейсами через openvpn таких проблем нет. Но это уже другая история, хочется пока icmp :)

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: traceroute и ipsec туннель

Непрочитанное сообщение zingel » 2008-09-08 12:28:23

не говорит ли

Код: Выделить всё

tcpdump -i gif3
чего либо подозрительного?
Z301171463546 - можно пожертвовать мне денег

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: traceroute и ipsec туннель

Непрочитанное сообщение schizoid » 2008-09-08 12:29:40

попробуй не ipnat, а divert. у мну вроде тож траблы были с ipnat'ом на гифе
ядерный взрыв...смертельно красиво...жаль, что не вечно...

uderik
рядовой
Сообщения: 35
Зарегистрирован: 2007-10-24 12:15:47

Re: traceroute и ipsec туннель

Непрочитанное сообщение uderik » 2008-09-08 12:37:50

schizoid писал(а):попробуй не ipnat, а divert. у мну вроде тож траблы были с ipnat'ом на гифе
у меня не ipnat, pf, ipfw я давно разлюбил :)

uderik
рядовой
Сообщения: 35
Зарегистрирован: 2007-10-24 12:15:47

Re: traceroute и ipsec туннель

Непрочитанное сообщение uderik » 2008-09-08 12:38:51

zingel писал(а):не говорит ли

Код: Выделить всё

tcpdump -i gif3
чего либо подозрительного?
ничего, пакеты icmp приходят, ответа нет на 2 хопе, на 3м приходят и уходят.

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: traceroute и ipsec туннель

Непрочитанное сообщение zingel » 2008-09-08 12:47:03

давайте тогда будем смотреть, как создается gif3
Z301171463546 - можно пожертвовать мне денег

uderik
рядовой
Сообщения: 35
Зарегистрирован: 2007-10-24 12:15:47

Re: traceroute и ipsec туннель

Непрочитанное сообщение uderik » 2008-09-08 13:01:31

zingel писал(а):давайте тогда будем смотреть, как создается gif3

Код: Выделить всё

gif3: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1500
        tunnel inet 10.0.254.2 --> 10.0.254.12
        inet 10.0.112.1 --> 10.0.112.2 netmask 0xfffffffc

rc.conf:
gifconfig_gif3="10.0.254.2 10.0.254.12"
ifconfig_gif3="inet 10.0.112.1 10.0.112.2 netmask 0xfffffffc mtu 1500"

ipsec.conf:
spdadd 10.0.254.12/32 10.0.254.2/32 any -P in ipsec
esp/transport/10.0.254.12-10.0.254.2/require;
spdadd 10.0.254.2/32 10.0.254.12/32 any -P out  ipsec
esp/transport/10.0.254.2-10.0.254.12/require;

uderik
рядовой
Сообщения: 35
Зарегистрирован: 2007-10-24 12:15:47

Re: traceroute и ipsec туннель

Непрочитанное сообщение uderik » 2008-09-09 1:02:00

schizoid писал(а):попробуй не ipnat, а divert. у мну вроде тож траблы были с ipnat'ом на гифе
не работающий rdr в pf, ipnat лечится options IPSEC_FILTERTUNNEL в 7.0 (в 6.3 вроде тоже) и ее вариациями в старых фрюхах.

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: traceroute и ipsec туннель

Непрочитанное сообщение zingel » 2008-09-09 19:46:51

нужно куда-то записать это, а то (себе)
Z301171463546 - можно пожертвовать мне денег

uderik
рядовой
Сообщения: 35
Зарегистрирован: 2007-10-24 12:15:47

Re: traceroute и ipsec туннель

Непрочитанное сообщение uderik » 2008-09-10 9:09:31

Есть еще у когонить какие идеи ? весь мозг себе сломал, люди пишут, что в данном случае traceroute на участке туннеля (gif3) идет не между 10.0.112.1 и 10.0.112.2, а между теннельными адресами (tunnel inet 10.0.254.2 --> 10.0.254.12), но я вообще ничего не вижу, только на стороне клиента в tcpdump'e (ICMP time exceeded in-transit, length 36)

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: traceroute и ipsec туннель

Непрочитанное сообщение paradox » 2008-09-10 9:48:52

тунели точка--точка на моей памяти вроде трассероут никада и неотдавал