FreeBSD 8.2 routing

[Andre747]

Доброго времени суток !

Имеем
uname -a

Код: Выделить всё

[root@core ~]# uname -a
FreeBSD core 8.2-STABLE FreeBSD 8.2-STABLE #1: Mon Jul 23 14:54:45 MSK 2012     root@core:/usr/obj/usr/src/sys/FARMPOLV2  amd64

ifconfig

Код: Выделить всё

[root@core ~]# ifconfig
em0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=219b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4,WOL_MAGIC>
        ether 00:15:17:4d:9e:d0
        inet aa.bb.cc.dd netmask 0xfffffff8 broadcast aa.bb.cc.ff
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
em1: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=2098<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4,WOL_MAGIC>
        ether 00:15:17:4d:9e:d1
        inet 192.168.2.12 netmask 0xfffffe00 broadcast 192.168.3.255
        media: Ethernet 1000baseT (1000baseT <full-duplex>)
        status: active
ipfw0: flags=8801<UP,SIMPLEX,MULTICAST> metric 0 mtu 65536
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        options=3<RXCSUM,TXCSUM>
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x9
        inet6 ::1 prefixlen 128
        inet 127.0.0.1 netmask 0xff000000
        nd6 options=3<PERFORMNUD,ACCEPT_RTADV>
pfsync0: flags=0<> metric 0 mtu 1460
        syncpeer: 224.0.0.240 maxupd: 128
pflog0: flags=0<> metric 0 mtu 33152
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1500
        options=80000<LINKSTATE>
        inet 10.8.0.1 --> 10.8.0.2 netmask 0xffffffff
        Opened by PID 26058
ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1400
        inet 10.10.10.1 --> 192.168.2.237 netmask 0xffffffff
[root@core ~]#

Ядро собрано с

Код: Выделить всё

options         IPFIREWALL
options         IPFIREWALL_VERBOSE
#options        IPFIREWALL_VERBOSE_LIMIT=1000
options         IPFIREWALL_NAT
options         IPFIREWALL_FORWARD
options         IPFIREWALL_DEFAULT_TO_ACCEPT
options         LIBALIAS
options         DUMMYNET
options         IPDIVERT
options         HZ="1000"
options         SC_DISABLE_REBOOT
options         DEVICE_POLLING
options         VM_KMEM_SIZE=1073741824
options         VM_KMEM_SIZE_MAX=1073741824
options         PANIC_REBOOT_WAIT_TIME=60
options         ROUTETABLES=2

device          pf
device          pflog
device          pfsync
device          carp

options         ALTQ
options         ALTQ_CBQ
options         ALTQ_RED
options         ALTQ_RIO
options         ALTQ_HFSC
options         ALTQ_CDNR
options         ALTQ_PRIQ
options         ALTQ_NOPCC

rc.conf

Код: Выделить всё

defaultrouter="aa.bb.cc.rr"
ifconfig_em0="aa.bb.cc.dd netmask 255.255.255.248"
ifconfig_em1="192.168.2.12 netmask 255.255.254.0"
gateway_enable="YES"

Настроил хост как OpenVPN (tun0) сервер. Столкнулся с проблемой маршрутизации, а именно пинг с сервера до клиента идет, пинг с сервера в сеть за клиентом идет, пинг в свою локалку (192.168.2.0) с сервера идет.
С клиента пинг в свою локалку идет, пинг с клиента до сервера идет, а вот с клиента в сеть за сервером НЕТ.

Пример.
Пинг с клиента (10.8.0.2) в сеть за сервер на M1 (192.168.2.6)

tcpdump'ом на tun0 вижу только запросы от клиента (10.8.0.2), ответов нет.
tcpdump'ом на em1 вижу запросы от клиента (10.8.0.2) и ответы от M1(192.168.2.6).

Где кроется корень проблемы ?

P.S. на этом же сервер запущен mpd5 и работает.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Andre747]

забыл прикрепить netstat -rn

Код: Выделить всё

[root@core ~]# netstat -rn
Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            aa.bb.cc.rr       UGS         0  2138167    em0
10.8.0.1           link#12            UHS         0        0    lo0
10.8.0.2           link#12            UH          0        0   tun0
10.10.10.1         link#13            UHS         0        0    lo0
10.11.0.0/23       10.8.0.2           UGS         0        0   tun0   <- сеть за клиентом
127.0.0.1          link#9             UH          0   265949    lo0
192.168.2.0/23     link#2             U           0  1769733    em1
192.168.2.12       link#2             UHS         0        0    lo0
192.168.2.237      link#13            UH          0    36512    ng0
aa.bb.cc.dd/29    link#1             U           0    23198    em0
aa.bb.cc.dd      link#1             UHS         0    16950    lo0

да ! еще !

на сервере делаю

Код: Выделить всё

[root@core ~]# ping -S 10.8.0.1 192.168.2.6
PING 192.168.2.6 (192.168.2.6) from 10.8.0.1: 56 data bytes
^C
--- 192.168.2.6 ping statistics ---
14 packets transmitted, 0 packets received, 100.0% packet loss
[root@core ~]#

и тишина !

если эта конструкция заработает, то и впн будет пахать.

[harmless]

Что в фаерволе?

[Andre747]

сорри забыл дописать !

натов никаких нет !

в ipfw2 на время эксперимента было добавлено правило

ipfw -q add 1 allow ip from any to any via any

[harmless]

Вроде на сервере все норм, а что на клиенте?

[FreeBSP]

Код: Выделить всё

                                                     |--------------тоннель-------------|
(192.168.2.6) <-{192.168.2.0/23}-> (192.168.2.12@em1 | 10.8.0.1@tun0) <-> (10.8.0.2@if1 | IP@if2) <-{10.11.0.0/23}-> (10.11.X.Y)
                             . . . (_____________ сервер____________) <-> (________клиент_______) . . .

пинг с сервера до клиента идет,
пинг с сервера в сеть за клиентом идет,
пинг в свою локалку (192.168.2.0) с сервера идет.
С клиента пинг в свою локалку идет,
пинг с клиента до сервера идет,
а вот с клиента в сеть за сервером НЕТ.

идут ли пинги из сети за клиентов на сервер?

Пример.
Пинг с клиента (10.8.0.2) в сеть за сервер на M1 (192.168.2.6)
tcpdump'ом на tun0 вижу только запросы от клиента (10.8.0.2), ответов нет.
tcpdump'ом на em1 вижу запросы от клиента (10.8.0.2) и ответы от M1(192.168.2.6).

маршруты на 2.6 и tcpdump на em1 сервера во время пинга покажите
пингг просто уходит и не возвращается, или идет какой-то icmp ответ?

PS кстати маршрут в сетку за клиентом не сипользуется, судя по netstat -rn
и зачем две таблицы маршрутизации?

[Andre747]

вот для наглядности.

[harmless]

Так а с М1 пинг на 10ю.8.0.2 идет?

[snorlov]

Так а с М1 пинг на 10ю.8.0.2 идет?

Должен идти везде, у тебя же файеров на пути нет...

[FreeBSP]

вот для наглядности.

ай какой хороший человек, нет бы сразу так

по прямым соединениям идти должен
интересно, почему при пинге с внешнего интерфейса внутренней тети ответы где то теряются
как минимум надо tcpdump надо и маршруты 2.6

[gumeniuc]

Проверить бы пинг с M1 на tun0 сервера

[Andre747]

Нарисовал всю сеть как она есть !


А теперь поехали !

Host M1 (192.168.2.6)

Код: Выделить всё

root@server:~$ ping 10.11.0.190
PING 10.11.0.190 (10.11.0.190) 56(84) bytes of data.
64 bytes from 10.11.0.190: icmp_seq=1 ttl=63 time=4.08 ms
64 bytes from 10.11.0.190: icmp_seq=2 ttl=63 time=3.25 ms
64 bytes from 10.11.0.190: icmp_seq=3 ttl=63 time=3.16 ms
64 bytes from 10.11.0.190: icmp_seq=4 ttl=63 time=2.71 ms
64 bytes from 10.11.0.190: icmp_seq=5 ttl=63 time=4.72 ms
64 bytes from 10.11.0.190: icmp_seq=6 ttl=63 time=3.00 ms
64 bytes from 10.11.0.190: icmp_seq=7 ttl=63 time=3.36 ms
^C
--- 10.11.0.190 ping statistics ---
7 packets transmitted, 7 received, 0% packet loss, time 6008ms
rtt min/avg/max/mdev = 2.716/3.474/4.728/0.643 ms
root@server:~$

root@server:~$ ping 10.11.0.217
PING 10.11.0.217 (10.11.0.217) 56(84) bytes of data.
64 bytes from 10.11.0.217: icmp_seq=1 ttl=126 time=4.21 ms
64 bytes from 10.11.0.217: icmp_seq=2 ttl=126 time=3.82 ms
64 bytes from 10.11.0.217: icmp_seq=3 ttl=126 time=3.33 ms
64 bytes from 10.11.0.217: icmp_seq=4 ttl=126 time=3.48 ms
^C
--- 10.11.0.217 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3004ms
rtt min/avg/max/mdev = 3.339/3.717/4.219/0.338 ms
root@server:~$

Host S2 (10.11.0.217)

Код: Выделить всё

C:\Documents and Settings\Admin>ping 10.8.0.1

Обмен пакетами с 10.8.0.1 по 32 байт:

Ответ от 10.8.0.1: число байт=32 время=4мс TTL=63
Ответ от 10.8.0.1: число байт=32 время=2мс TTL=63
Ответ от 10.8.0.1: число байт=32 время=2мс TTL=63

Статистика Ping для 10.8.0.1:
    Пакетов: отправлено = 3, получено = 3, потеряно = 0 (0% потерь),
Приблизительное время приема-передачи в мс:
    Минимальное = 2мсек, Максимальное = 4 мсек, Среднее = 2 мсек
Control-C
C:\Documents and Settings\Admin>ping 192.168.2.12

Обмен пакетами с 192.168.2.12 по 32 байт:

Ответ от 192.168.2.12: число байт=32 время=2мс TTL=63
Ответ от 192.168.2.12: число байт=32 время=2мс TTL=63
Ответ от 192.168.2.12: число байт=32 время=2мс TTL=63
Ответ от 192.168.2.12: число байт=32 время=2мс TTL=63

Статистика Ping для 192.168.2.12:
    Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь),
Приблизительное время приема-передачи в мс:
    Минимальное = 2мсек, Максимальное = 2 мсек, Среднее = 2 мсек

C:\Documents and Settings\Admin>ping 192.168.2.6

Обмен пакетами с 192.168.2.6 по 32 байт:

Превышен интервал ожидания для запроса.

Статистика Ping для 192.168.2.6:
    Пакетов: отправлено = 1, получено = 0, потеряно = 1 (100% потерь),
Control-C
^C
C:\Documents and Settings\Admin>tracert 192.168.2.6

Трассировка маршрута к 192.168.2.6 с максимальным числом прыжков 30

  1    <1 мс    <1 мс    <1 мс  10.11.0.190
  2     5 ms     4 ms     4 ms  10.8.0.1
 3     *        *        *     Превышен интервал ожидания для запроса.
  4  ^C
C:\Documents and Settings\Admin>

Запускаем на S2 (10.11.0.217) еще раз ping -t 192.168.2.6 и смотрим tcpdump на Servere

Код: Выделить всё

[root@core ~]# tcpdump -ni tun0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tun0, link-type NULL (BSD loopback), capture size 96 bytes
20:10:27.562361 IP 10.11.0.217 > 192.168.2.6: ICMP echo request, id 512, seq 28419, length 40
20:10:32.754200 IP 10.11.0.217 > 192.168.2.6: ICMP echo request, id 512, seq 28675, length 40
20:10:37.761152 IP 10.11.0.217 > 192.168.2.6: ICMP echo request, id 512, seq 28931, length 40
20:10:42.768373 IP 10.11.0.217 > 192.168.2.6: ICMP echo request, id 512, seq 29187, length 40
^C
4 packets captured
4 packets received by filter
0 packets dropped by kernel
[root@core ~]# tcpdump -ni em1 host 10.11.0.217
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on em1, link-type EN10MB (Ethernet), capture size 96 bytes
20:11:14.686339 IP 10.11.0.217 > 192.168.2.6: ICMP echo request, id 512, seq 29443, length 40
20:11:14.687036 IP 192.168.2.6 > 10.11.0.217: ICMP echo reply, id 512, seq 29443, length 40
20:11:19.821687 IP 10.11.0.217 > 192.168.2.6: ICMP echo request, id 512, seq 29699, length 40
20:11:19.822048 IP 192.168.2.6 > 10.11.0.217: ICMP echo reply, id 512, seq 29699, length 40
20:11:24.828787 IP 10.11.0.217 > 192.168.2.6: ICMP echo request, id 512, seq 29955, length 40
20:11:24.829257 IP 192.168.2.6 > 10.11.0.217: ICMP echo reply, id 512, seq 29955, length 40
20:11:29.835998 IP 10.11.0.217 > 192.168.2.6: ICMP echo request, id 512, seq 30211, length 40
20:11:29.836350 IP 192.168.2.6 > 10.11.0.217: ICMP echo reply, id 512, seq 30211, length 40
^C
8 packets captured
9087 packets received by filter
0 packets dropped by kernel
[root@core ~]#

вот netstat -rn с M1 (192.168.2.6)

Код: Выделить всё

root@server:~# netstat -rn
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
192.168.2.0     0.0.0.0         255.255.254.0   U         0 0          0 eth0
0.0.0.0         192.168.2.8     0.0.0.0         UG        0 0          0 eth0
root@server:~#

Добавим маршруты на M1

Код: Выделить всё

root@server:~# route add -net 10.11.0.0./23 gw 192.168.2.12
root@server:~# route add -net 10.8.0.0./24 gw 192.168.2.12

Запускаем на S2 (10.11.0.217) еще раз ping 192.168.2.6 и смотрим tcpdump на Servere
И видим что все работает.

Код: Выделить всё

[root@core ~]# tcpdump -ni tun0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tun0, link-type NULL (BSD loopback), capture size 96 bytes
20:16:24.074829 IP 10.11.0.217 > 192.168.2.6: ICMP echo request, id 512, seq 30467, length 40
20:16:24.077682 IP 192.168.2.6 > 10.11.0.217: ICMP echo reply, id 512, seq 30467, length 40
20:16:25.070489 IP 10.11.0.217 > 192.168.2.6: ICMP echo request, id 512, seq 30723, length 40
20:16:25.071031 IP 192.168.2.6 > 10.11.0.217: ICMP echo reply, id 512, seq 30723, length 40
20:16:26.071596 IP 10.11.0.217 > 192.168.2.6: ICMP echo request, id 512, seq 30979, length 40
20:16:26.072091 IP 192.168.2.6 > 10.11.0.217: ICMP echo reply, id 512, seq 30979, length 40
20:16:27.073275 IP 10.11.0.217 > 192.168.2.6: ICMP echo request, id 512, seq 31235, length 40
20:16:27.073765 IP 192.168.2.6 > 10.11.0.217: ICMP echo reply, id 512, seq 31235, length 40
^C
8 packets captured
8 packets received by filter
0 packets dropped by kernel
[root@core ~]#

Запускаем на Client (10.8.0.2) ping 192.168.2.6 (ping -S 10.8.0.2 192.168.2.6) и смотрим tcpdump на Servere
И видим что все работает.

Код: Выделить всё

[root@core ~]# tcpdump -ni tun0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tun0, link-type NULL (BSD loopback), capture size 96 bytes
20:20:26.726243 IP 10.8.0.2 > 192.168.2.6: ICMP echo request, id 24414, seq 0, length 64
20:20:26.726655 IP 192.168.2.6 > 10.8.0.2: ICMP echo reply, id 24414, seq 0, length 64
20:20:27.731524 IP 10.8.0.2 > 192.168.2.6: ICMP echo request, id 24414, seq 1, length 64
20:20:27.731966 IP 192.168.2.6 > 10.8.0.2: ICMP echo reply, id 24414, seq 1, length 64
20:20:28.737183 IP 10.8.0.2 > 192.168.2.6: ICMP echo request, id 24414, seq 2, length 64
20:20:28.737769 IP 192.168.2.6 > 10.8.0.2: ICMP echo reply, id 24414, seq 2, length 64
20:20:29.742191 IP 10.8.0.2 > 192.168.2.6: ICMP echo request, id 24414, seq 3, length 64
20:20:29.742718 IP 192.168.2.6 > 10.8.0.2: ICMP echo reply, id 24414, seq 3, length 64

Получается, что если вручную прописывать маршруты то все будет работать, но это не наш метод !

На Router (192.168.2. прописаны статические маршруты на сети 10.8.0.024 и 10.11.0.0/23 и они работают, 'то видно когда в самом начале пингуем с компа S2 комп M1. На Server tcpdump на em1.

Я так предполагаю, что нужно что то докрутить на сервере в sysctl.

Но вот что крутить ?

P.S. M1 - Linux. K7 - Windows XP. S2 - Windows XP. Кстати когда поднял K7 с default gw : 192.168.2.12 - то все сразу и запинговалось, что натолкнуло меня на мысль про ручное добавление маршрутов !

[Andre747]

Забыл дописать !

в первом случае когда не добавляем маршруты вручную.

Пинг с S2 на M1 отсутствует, но если сделать пинг с M1 на S2, то потом какое то время работает и пинг с S2 на M1.

После пинга с M1 на S2, в таблице arp на M1 появляется mac 192.168.2.12 и видимо пока он там живет то все работает.

Код: Выделить всё

root@server:~# ping 10.11.0.217
PING 10.11.0.217 (10.11.0.217) 56(84) bytes of data.
From 192.168.2.8: icmp_seq=1 Redirect Host(New nexthop: 192.168.2.12)
64 bytes from 10.11.0.217: icmp_seq=1 ttl=126 time=3.26 ms
From 192.168.2.8: icmp_seq=2 Redirect Host(New nexthop: 192.168.2.12)
64 bytes from 10.11.0.217: icmp_seq=2 ttl=126 time=3.27 ms
64 bytes from 10.11.0.217: icmp_seq=3 ttl=126 time=2.90 ms
64 bytes from 10.11.0.217: icmp_seq=4 ttl=126 time=3.89 ms
^C
--- 10.11.0.217 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3004ms
rtt min/avg/max/mdev = 2.907/3.334/3.892/0.354 ms
root@server:~#

[snorlov]

DG на K7 и M1 у вас разные... А вообще-то надо посмотреть таблицы маршрутизации на K7 и M1, и все сразу станет ясно...
Для K7 установите dg в 192.168.2.8 и добавьте маршрут на 10.8.0. и 10.11.0.0, если сервера вам не нужны хватит и 10.11.0.0

Код: Выделить всё

 route add 10.11.0.0 netmask 255... 192.168.2.12 -p

Ключик -p это чтоб маршрут был постоянный и ничего на серверах крутить не надо...

[Andre747]

не совсем правильное решение ! оно хорошо когда мало машин ! пробежался и везде добавил маршрут.
а вот если машин сотни ?

считаю правильным настроить сервер, а не бегать по клиентам.

[FreeBSP]

ну настрой анонс маршрутов по дхцп
или выдавай сервер как дефолт гв,
а с него уше посылай либо в роутер, либо в тоннель
либо на роутере прописать заворачивание тоннеля и диапазона за тоннелем на сервер
на клиентах как где то говрилось, должен быть только дг, а на дг уже рулить трафик

[FreeBSP]

а, затык вот в чом может быть
сервер роутер и клиенты 2,0/24 в одной сети. на серв приходит пинг, он его выкидывает в сеть на интерфейсе и пинг приходит на машину. а с машины уходит на роутер и только с него на сервер.
и получается в момент ухода пинга он улетает в езернет(с 3 на 2 ур сети) на мак клиента, а ответ прилетает с мака роутера.

[FreeBSP]

либо редиректить http://en.wikipedia.org/wiki/Internet_C ... l#Redirect

[snorlov]

Наверное в данном случае правильно, редирект с сервера на роутер всех пакетов не идущих в тоннель....

[FreeBSP]

и на роутере редиректить на нем пакеты для тоннеля в сервер
проситал твое предыдущее сообщение, в зависимости от того какой дг в сети основной, и зависит где редиректить
из-за того что дг разные, одна из машин пингуется, а вторая - нет

[FreeBSP]

исходя из того, ч то редиректить надо меньший объем сетей, то в качестве дг в 2,0/23 надо ставить роутер и на нем редиректить 10,11,0/23 на сервер. оба серва должны пинговаться, хотя удаленный - по внутреннему ипу