MPD+NAT не доходят некоторые пакеты

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
RimiX
рядовой
Сообщения: 11
Зарегистрирован: 2009-09-25 12:56:04

MPD+NAT не доходят некоторые пакеты

Непрочитанное сообщение RimiX » 2010-03-24 10:09:07

[ pptp client ] ------ [ vpn mpd5 ] ---- [ nat gateway ] ---- [ WAN router ]

Не понимаю, почему запросы в нашу белую сеть из нашей серой сети через NAT "зависают в воздухе" или ещё черт знает где.
Все остальные, т.е. абсолютно любые запросы по любым сервисам на любые хосты, только не наши, прибегают в результате обратно к клиенту успешно.

Серая сеть назначается вторым пулом из радиуса.

В частности , вот что происходит с сервисом DNS

Когда на клиенте 172.17.253.41:
dig bmw.com @8.8.8.8
запрос DNS успешен

На NATе:

Код: Выделить всё

00:15:17:a3:b1:bd (oui Unknown) > 00:0c:29:91:6b:5f (oui Unknown), ethertype IPv4 (0x0800), length 67: 172.17.253.41.59508 > google-public-dns-a.google.com.domain: 875+ A? bmw.com. (25)                                                                                                   
00:0c:29:91:6b:5f (oui Unknown) > 00:15:17:a3:b1:bd (oui Unknown), ethertype IPv4 (0x0800), length 83: google-public-dns-a.google.com.domain > 172.17.253.41.59508: 875 1/0/0 A origin.bmw.com (41)
00:15:17:a3:b1:bd (oui Unknown) > 00:0c:29:91:6b:5f (oui Unknown), ethertype IPv4 (0x0800), length 62: 172.17.253.41.53240 > google-public-dns-a.google.com.domain: 60589+ A? 94. (20)
00:15:17:a3:b1:bd (oui Unknown) > 00:0c:29:91:6b:5f (oui Unknown), ethertype IPv4 (0x0800), length 62: 172.17.253.41.53240 > google-public-dns-a.google.com.domain: 31808+ AAAA? 94. (20)
00:0c:29:91:6b:5f (oui Unknown) > 00:15:17:a3:b1:bd (oui Unknown), ethertype IPv4 (0x0800), length 137: google-public-dns-a.google.com.domain > 172.17.253.41.53240: 60589 NXDomain 0/1/0 (95)
00:0c:29:91:6b:5f (oui Unknown) > 00:15:17:a3:b1:bd (oui Unknown), ethertype IPv4 (0x0800), length 137: google-public-dns-a.google.com.domain > 172.17.253.41.53240: 31808 NXDomain 0/1/0 (95)
На MPD:

Код: Выделить всё

00:15:17:a3:b1:bd (oui Unknown) > 00:0c:29:91:6b:5f (oui Unknown), ethertype IPv4 (0x0800), length 67: 172.17.253.41.59508 > google-public-dns-a.google.com.domain: 875+ A? bmw.com. (25)
00:0c:29:91:6b:5f (oui Unknown) > 00:15:17:a3:b1:bd (oui Unknown), ethertype IPv4 (0x0800), length 83: google-public-dns-a.google.com.domain > 172.17.253.41.59508: 875 1/0/0 A origin.bmw.com (41)
00:15:17:a3:b1:bd (oui Unknown) > 00:0c:29:91:6b:5f (oui Unknown), ethertype IPv4 (0x0800), length 62: 172.17.253.41.53240 > google-public-dns-a.google.com.domain: 60589+ A? 94. (20)
00:15:17:a3:b1:bd (oui Unknown) > 00:0c:29:91:6b:5f (oui Unknown), ethertype IPv4 (0x0800), length 62: 172.17.253.41.53240 > google-public-dns-a.google.com.domain: 31808+ AAAA? 94. (20)
00:0c:29:91:6b:5f (oui Unknown) > 00:15:17:a3:b1:bd (oui Unknown), ethertype IPv4 (0x0800), length 137: google-public-dns-a.google.com.domain > 172.17.253.41.53240: 60589 NXDomain 0/1/0 (95)
00:0c:29:91:6b:5f (oui Unknown) > 00:15:17:a3:b1:bd (oui Unknown), ethertype IPv4 (0x0800), length 137: google-public-dns-a.google.com.domain > 172.17.253.41.53240: 31808 NXDomain 0/1/0 (95)
Когда на клиенте 172.17.253.41:
dig bmw.com @94.232.184.42
запрос DNS по таймауту неуспешен

На NATе:

Код: Выделить всё

00:15:17:a3:b1:bd (oui Unknown) > 00:0c:29:91:6b:5f (oui Unknown), ethertype IPv4 (0x0800), length 67: 172.17.253.41.52234 > 94.232.184.42.domain: 27503+ A? bmw.com. (25)
00:0c:29:91:6b:5f (oui Unknown) > 00:15:17:a3:b1:bd (oui Unknown), ethertype IPv4 (0x0800), length 486: 94.232.184.42.domain > 172.17.253.41.52234: 27503 1/13/12 A origin.bmw.com (444)
00:15:17:a3:b1:bd (oui Unknown) > 00:0c:29:91:6b:5f (oui Unknown), ethertype IPv4 (0x0800), length 67: 172.17.253.41.52234 > 94.232.184.42.domain: 27503+ A? bmw.com. (25)
00:0c:29:91:6b:5f (oui Unknown) > 00:15:17:a3:b1:bd (oui Unknown), ethertype IPv4 (0x0800), length 486: 94.232.184.42.domain > 172.17.253.41.52234: 27503 1/13/12 A origin.bmw.com (444)
На MPD:

Код: Выделить всё

00:15:17:a3:b1:bd (oui Unknown) > 00:0c:29:91:6b:5f (oui Unknown), ethertype IPv4 (0x0800), length 67: 172.17.253.41.52234 > 94.232.184.42.domain: 27503+ A? bmw.com. (25)
00:15:17:a3:b1:bd (oui Unknown) > 00:0c:29:91:6b:5f (oui Unknown), ethertype IPv4 (0x0800), length 67: 172.17.253.41.52234 > 94.232.184.42.domain: 27503+ A? bmw.com. (25)
И это со всеми запросами к любым серверам в нашей белой сети, т.е. например http также подвисают в воздухе.
Последний раз редактировалось RimiX 2010-03-24 13:13:32, всего редактировалось 2 раза.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: MPD+NAT не доходят пакеты

Непрочитанное сообщение hizel » 2010-03-24 11:01:29

в каком месте 94.232.184.42 ?
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

RimiX
рядовой
Сообщения: 11
Зарегистрирован: 2009-09-25 12:56:04

Re: MPD+NAT не доходят пакеты

Непрочитанное сообщение RimiX » 2010-03-24 11:31:19

hizel писал(а):в каком месте 94.232.184.42 ?
В соседней белой сети доступной по дефолтному маршруту.
НАТ тоже на дефолтном интерфейсе.

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: MPD+NAT не доходят пакеты

Непрочитанное сообщение hizel » 2010-03-24 11:34:42

тада ipfw show и netstat -rnW на НАТ-е кажите
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

RimiX
рядовой
Сообщения: 11
Зарегистрирован: 2009-09-25 12:56:04

Re: MPD+NAT не доходят пакеты

Непрочитанное сообщение RimiX » 2010-03-24 11:42:43

hizel писал(а):тада ipfw show и netstat -rnW на НАТ-е кажите
ipfw show

Код: Выделить всё

00121     0       0 allow ip from any to me via em1
00122   192   10752 allow ip from me to any via em1
00301     0       0 deny log tcp from any to not table(53) dst-port 53 in via em1
00302     0       0 deny log udp from any to not table(53) dst-port 53 in via em1
00303     0       0 deny log tcp from not table(53) 53 to any out via em1
00304     0       0 deny log udp from not table(53) 53 to any out via em1
00506   897   51887 fwd 127.0.0.1,8080 log tcp from any to not table(80) dst-port 443 in recv em1
00507   404   98737 fwd 127.0.0.1,8080 log tcp from any to not table(80) dst-port 80 in recv em1
00511   466   46615 allow tcp from any to table(80) in via em1
00512   383   71116 allow tcp from not table(80) 80 to any out via em1
00513   135    8164 deny log tcp from any to any not dst-port 53,80,443 in recv em1
00514     9     678 deny log udp from any not 53 to any out via em1
00700  1915  136392 divert 8668 ip from 172.17.253.0/24{2-253} to any out via em2
00701  2075  847105 divert 8668 ip from any to 94.232.184.72 in via em2
01009  1381  197102 allow ip from any to 10.10.12.0/24 via em0
01010    99   15233 allow ip from 10.10.12.0/24 to any via em0
01011     0       0 allow ip from any to 10.0.0.3 via em0
01012     0       0 allow ip from 10.0.0.3 to any via em0
01020  4054  977718 allow ip from any to any via em1
01025  4171  995329 allow ip from any to any via em2
01030   186   10416 allow ip from any to any via lo0
65534 16950 1625695 deny log ip from any to any
65535     0       0 deny ip from any to any
ipfw table all list

Код: Выделить всё

---table(53)---
8.8.4.4/32 0
8.8.8.8/32 0
94.232.184.42/32 0
94.232.184.46/32 0
208.67.220.220/32 0
208.67.222.222/32 0
---table(80)---
79.142.19.17/32 0
94.232.184.70/32 0
127.0.0.1/32 0
172.17.253.254/32 0
195.20.196.34/32 0
195.234.190.42/32 0
217.112.42.37/32 0
netstat -rnW

Код: Выделить всё

Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use    Mtu    Netif Expire
default            94.232.184.65      UGS         0     4090   1500      em2
10.0.0.0/16        10.10.12.1         UGS         0        0   1500      em0
10.10.12.0/24      link#1             UC          0        0   1500      em0
10.10.12.5         00:1d:60:ea:f9:07  UHLW        1      125   1500      em0    942
94.232.184.64/28   link#3             UC          0        0   1500      em2
94.232.184.65      00:00:cd:27:e8:0a  UHLW        2        0   1500      em2   1158
127.0.0.1          127.0.0.1          UH          0        0  16384      lo0
172.17.253.0/24    link#2             UC          0        0   1500      em1
172.17.253.12      00:15:17:a3:b1:bd  UHLW        1      166   1500      em1    286
172.17.253.124     00:15:17:a3:b1:bd  UHLW        1       35   1500      em1    418
172.17.253.204     00:15:17:a3:b1:bd  UHLW        1       70   1500      em1    130
172.17.253.219     00:15:17:a3:b1:bd  UHLW        1       18   1500      em1   1164
172.17.253.254     00:0c:29:91:6b:5f  UHLW        1       93  16384      lo0

RimiX
рядовой
Сообщения: 11
Зарегистрирован: 2009-09-25 12:56:04

Re: MPD+NAT не доходят пакеты

Непрочитанное сообщение RimiX » 2010-03-24 11:44:00

По 65534 deny log ip в логах нет ни одного по сабжу пакета

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: MPD+NAT не доходят пакеты

Непрочитанное сообщение hizel » 2010-03-24 12:04:21

эм, у вас mpd и nat в одном флаконе?
я не пойму почему на НАТ-е фигурирует 172.17.253.0/24
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

RimiX
рядовой
Сообщения: 11
Зарегистрирован: 2009-09-25 12:56:04

Re: MPD+NAT не доходят пакеты

Непрочитанное сообщение RimiX » 2010-03-24 12:09:29

hizel писал(а):эм, у вас mpd и nat в одном флаконе?
я не пойму почему на НАТ-е фигурирует 172.17.253.0/24
mpd отдельная машина которая форвардит всё на
nat отдельную машину
обе в одной серой сети

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: MPD+NAT не доходят некоторые пакеты

Непрочитанное сообщение hizel » 2010-03-24 14:39:54

я скис, может посмотреть фаервол и маршрутизацию на машине с mpd?
у вас tcpdump с mpd в какую сторону логи?
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

RimiX
рядовой
Сообщения: 11
Зарегистрирован: 2009-09-25 12:56:04

Re: MPD+NAT не доходят некоторые пакеты

Непрочитанное сообщение RimiX » 2010-03-24 15:01:59

hizel писал(а):я скис, может посмотреть фаервол и маршрутизацию на машине с mpd?
у вас tcpdump с mpd в какую сторону логи?
Я сам фигею. Единственное чем отличаются приходящие пакеты с обоих dns и
впоследствии отправленных на mpd - это адрес источника (8.8.8.8 и 94.232.184.42).
Для mpd оба эти адреса пробегают по одной и той же цепочке фаерволла, это внешние адреса.
Дампы на nat и mpd сняты с интерфейсов одной серой подсети 172.17.253.1 и 172.17.253.254 cоответственно.

RimiX
рядовой
Сообщения: 11
Зарегистрирован: 2009-09-25 12:56:04

Re: MPD+NAT не доходят некоторые пакеты

Непрочитанное сообщение RimiX » 2010-04-13 10:54:50

РЕШЕНО. Проблема в свиче, там были запрещающие ACL. Подправили и всё заработало как и должно было.