в чем то косяк на шлюзе, а понять не могу

[Zedik]

FreeBSD 7.2
Схема подключения
10.0.2.0/24 <---> [gw_vlan_2_10.0.2.1 + gw_vlan_7_192.168.7.10] <---> 192.168.7.9_роутер_сторонней_организации_172.1.1.1 <---> ПК_с_IP_172.1.1.5
====

# netstat -rn | grep 172.1.1.
172.1.1.0/24 192.168.7.9 UGS 0 775 vlan7

# netstat -rn | grep 10.0.2
10.0.2.0/24 link#25 UC 0 0 vlan2

делаю на ПК 10.0.2.5
ping 172.1.1.5....а в ответ молчание
в это время на интерфейсе шлюза куда подключен этот ПК, видно что пакеты уходят:

# tcpdump -n -i vlan2 host 172.1.1.5
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on vlan2, link-type EN10MB (Ethernet), capture size 96 bytes
08:37:27.010901 IP 10.0.2.5 > 172.1.1.5: ICMP echo request, id 512, seq 27915, length 40
08:37:32.507552 IP 10.0.2.5 > 172.1.1.5: ICMP echo request, id 512, seq 28171, length 40
08:37:38.010323 IP 10.0.2.5 > 172.1.1.5: ICMP echo request, id 512, seq 28427, length 40

На интерфейсе адреса назначения видно что пакет уходит и возвращается ответ:

# tcpdump -n -i vlan7 host 172.1.1.5
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on vlan7, link-type EN10MB (Ethernet), capture size 96 bytes
08:39:44.501239 IP 10.0.2.5 > 172.1.1.5: ICMP echo request, id 512, seq 34315, length 40
08:39:44.520722 IP 172.1.1.5 > 10.0.2.5: ICMP echo reply, id 512, seq 34315, length 40
08:39:50.000887 IP 10.0.2.5 > 172.1.1.5: ICMP echo request, id 512, seq 34571, length 40
08:39:50.020371 IP 172.1.1.5 > 10.0.2.5: ICMP echo reply, id 512, seq 34571, length 40
08:39:55.500661 IP 10.0.2.5 > 172.1.1.5: ICMP echo request, id 512, seq 34827, length 40
08:39:55.520398 IP 172.1.1.5 > 10.0.2.5: ICMP echo reply, id 512, seq 34827, length 40

в правилах pf разрешаю пока весь трафик

int_2= "vlan2"
int_7= "vlan7"
icmp_types="{echoreq, unreach}"
set block-policy return
set skip on lo0
antispoof quick for {lo0, $int_2,$int_7}"
pass in all
pass out all

т.е. получается от интерфейса 7 не проходят пакеты в интерфейс 2. а вот почему не могу понять??
есть еще подсети других организаций, немного с другим видом включения в сеть- так там все нормально.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[sch]

может antispoof путается в vlan-ах?
попробуй убрать эту директиву для проверки

[Zedik]

может antispoof путается в vlan-ах?
попробуй убрать эту директиву для проверки

пробовал

[Zedik]

up

[paradox]

а попробуй на роутере своем где vlan
сделать пинг того же компа токо подставь -S айпишник с той сети что пигнуешь
будет ответ пигну или нет

[Zedik]

пинг того же компа токо подставь -S айпишник с той сети что пигнуешь
будет ответ пигну или нет

нет ответов.

# ping -S 10.0.2.1 172.1.1.5
PING 172.1.1.5 (172.1.1.5) from 10.0.2.1: 56 data bytes
......молчание.....

а вот tcpdump

# tcpdump -n -i vlan7 host 172.1.1.5
09:35:46.975079 IP 10.0.2.1 > 172.1.1.5: ICMP echo request, id 50700, seq 168, length 64
09:35:46.994465 IP 172.1.1.5 > 10.0.2.1: ICMP echo reply, id 50700, seq 168, length 64
09:35:47.981073 IP 10.0.2.1 > 172.1.1.5: ICMP echo request, id 50700, seq 169, length 64
09:35:48.000579 IP 172.1.1.5 > 10.0.2.1: ICMP echo reply, id 50700, seq 169, length 64

[paradox]

подставь разные -S и посмотри с какой сети веренться пигн
можно даже для проверки вырубить фаерволы все чтобы чистый pass all был

[Zedik]

подставь разные -S и посмотри с какой сети веренться пигн

нюанс в том, что на роутере_сторонней_организации в подсеть 172.1.1.0 доступ разрешен только из 10.0.2.0/24
ставить другую сеть бессмыслено- пакеты даже не дойдут туда.
а с фаерволом для проверок и выставлял pass all

[paradox]

а с фаерволом для проверок и выставлял pass all

ну я бы для уверенности его выключил еще в ядре
или он туда вкомпилен?

могут еще быть варианты с роутингом
хз
думать надо

[Zedik]

а с фаерволом для проверок и выставлял pass all

ну я бы для уверенности его выключил еще в ядре

он вкомпилен...
роутинг таков, ничего криминального, ведь на шлюз ответ приходит:

172.1.1.0/24 192.168.7.9 UGS 0 2704 vlan7
192.168.7.0/24 link#26 UC 0 0 vlan7

много других маршрутов, но они не связаны с этим никаким боком.

# ifconfig vlan7
vlan7:
inet 192.168.7.10
vlan: 7 parent interface: lagg0

вот и я как, появляется возможность, впихиваю шлюз в боевую сеть и тестирую, пытаясь разобраться почему не работает. где косяк. пока безрезультатно

[paradox]

настрой pflog
и смотри куда и как оно ходит и где обрываеться
хотя я к примеру склоняюсь к ipfw log который более как по мне понятен и прозрачен

[Zedik]

настрой pflog

спасибо за помощь.
буду пробовать и pflog и pftop и tcpdump.
жду день когда опять можно будет вставить сервер в боевой режим.

[Zedik]

# tcpdump -n -e -ttt -i vlan7

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on vlan7, link-type EN10MB (Ethernet), capture size 96 bytes
118515 MY_NEW_GW_MAC > remote_MAC, ethertype IPv4 (0x0800), length 74: 10.0.2.5 > 172.1.1.5: ICMP echo request, id 512, seq 10849, length 40
019480 remote_MAC > 00:11:22:33:44:55, ethertype IPv4 (0x0800), length 74: 172.1.1.5 > 10.0.2.5: ICMP echo reply, id 512, seq 10849, length 40

MY_NEW_GW_MAC не равен 00:11:22:33:44:55
смею предположить, что на роутере_сторонней_организации с arp таблицей не лады.
как решение- привлекать администратора роутера и изменять там, либо править мой mac.
тогда подскажите пожалуста как сменить мак, чтобы и при перезагрузке он остался "новым" при условии, что настроен Link aggregation control protocol (lagg0) и на нем висят vlanы? желательно для rc.conf
ifconfig_vlan7="тра-та-та ether new_mac" не катит

[Zedik]

подскажите пожалуста как сменить мак, чтобы и при перезагрузке он остался "новым" при условии, что настроен Link aggregation control protocol (lagg0) и на нем висят vlanы? желательно для rc.conf
ifconfig_vlan7="тра-та-та ether new_mac" не катит

сам и отвечу:
в rc.conf
ifconfig_lagg0_alias0="ether хх:хх:хх:хх:хх:хх" в итоге на интерфейсах, которые объединяет lagg, а так же все вланы висящие на нем будут иметь mac хх:хх:хх:хх:хх:хх.
подмена mac адреса исправила мне ситуацию.
всем спасибо за помощь!