forum.lissyara.su

Добавлено: **2010-03-24 10:09:07**

[ pptp client ] ------ [ vpn mpd5 ] ---- [ nat gateway ] ---- [ WAN router ]

Не понимаю, почему запросы в нашу белую сеть из нашей серой сети через NAT "зависают в воздухе" или ещё черт знает где.
Все остальные, т.е. абсолютно любые запросы по любым сервисам на любые хосты, только не наши, прибегают в результате обратно к клиенту успешно.

Серая сеть назначается вторым пулом из радиуса.

В частности , вот что происходит с сервисом DNS

Когда на клиенте 172.17.253.41:
dig bmw.com @8.8.8.8
запрос DNS успешен

На NATе:

Код: Выделить всё

00:15:17:a3:b1:bd (oui Unknown) > 00:0c:29:91:6b:5f (oui Unknown), ethertype IPv4 (0x0800), length 67: 172.17.253.41.59508 > google-public-dns-a.google.com.domain: 875+ A? bmw.com. (25)                                                                                                   
00:0c:29:91:6b:5f (oui Unknown) > 00:15:17:a3:b1:bd (oui Unknown), ethertype IPv4 (0x0800), length 83: google-public-dns-a.google.com.domain > 172.17.253.41.59508: 875 1/0/0 A origin.bmw.com (41)
00:15:17:a3:b1:bd (oui Unknown) > 00:0c:29:91:6b:5f (oui Unknown), ethertype IPv4 (0x0800), length 62: 172.17.253.41.53240 > google-public-dns-a.google.com.domain: 60589+ A? 94. (20)
00:15:17:a3:b1:bd (oui Unknown) > 00:0c:29:91:6b:5f (oui Unknown), ethertype IPv4 (0x0800), length 62: 172.17.253.41.53240 > google-public-dns-a.google.com.domain: 31808+ AAAA? 94. (20)
00:0c:29:91:6b:5f (oui Unknown) > 00:15:17:a3:b1:bd (oui Unknown), ethertype IPv4 (0x0800), length 137: google-public-dns-a.google.com.domain > 172.17.253.41.53240: 60589 NXDomain 0/1/0 (95)
00:0c:29:91:6b:5f (oui Unknown) > 00:15:17:a3:b1:bd (oui Unknown), ethertype IPv4 (0x0800), length 137: google-public-dns-a.google.com.domain > 172.17.253.41.53240: 31808 NXDomain 0/1/0 (95)

На MPD:

Код: Выделить всё

00:15:17:a3:b1:bd (oui Unknown) > 00:0c:29:91:6b:5f (oui Unknown), ethertype IPv4 (0x0800), length 67: 172.17.253.41.59508 > google-public-dns-a.google.com.domain: 875+ A? bmw.com. (25)
00:0c:29:91:6b:5f (oui Unknown) > 00:15:17:a3:b1:bd (oui Unknown), ethertype IPv4 (0x0800), length 83: google-public-dns-a.google.com.domain > 172.17.253.41.59508: 875 1/0/0 A origin.bmw.com (41)
00:15:17:a3:b1:bd (oui Unknown) > 00:0c:29:91:6b:5f (oui Unknown), ethertype IPv4 (0x0800), length 62: 172.17.253.41.53240 > google-public-dns-a.google.com.domain: 60589+ A? 94. (20)
00:15:17:a3:b1:bd (oui Unknown) > 00:0c:29:91:6b:5f (oui Unknown), ethertype IPv4 (0x0800), length 62: 172.17.253.41.53240 > google-public-dns-a.google.com.domain: 31808+ AAAA? 94. (20)
00:0c:29:91:6b:5f (oui Unknown) > 00:15:17:a3:b1:bd (oui Unknown), ethertype IPv4 (0x0800), length 137: google-public-dns-a.google.com.domain > 172.17.253.41.53240: 60589 NXDomain 0/1/0 (95)
00:0c:29:91:6b:5f (oui Unknown) > 00:15:17:a3:b1:bd (oui Unknown), ethertype IPv4 (0x0800), length 137: google-public-dns-a.google.com.domain > 172.17.253.41.53240: 31808 NXDomain 0/1/0 (95)

Когда на клиенте 172.17.253.41:
dig bmw.com @94.232.184.42
запрос DNS по таймауту неуспешен

На NATе:

Код: Выделить всё

00:15:17:a3:b1:bd (oui Unknown) > 00:0c:29:91:6b:5f (oui Unknown), ethertype IPv4 (0x0800), length 67: 172.17.253.41.52234 > 94.232.184.42.domain: 27503+ A? bmw.com. (25)
00:0c:29:91:6b:5f (oui Unknown) > 00:15:17:a3:b1:bd (oui Unknown), ethertype IPv4 (0x0800), length 486: 94.232.184.42.domain > 172.17.253.41.52234: 27503 1/13/12 A origin.bmw.com (444)
00:15:17:a3:b1:bd (oui Unknown) > 00:0c:29:91:6b:5f (oui Unknown), ethertype IPv4 (0x0800), length 67: 172.17.253.41.52234 > 94.232.184.42.domain: 27503+ A? bmw.com. (25)
00:0c:29:91:6b:5f (oui Unknown) > 00:15:17:a3:b1:bd (oui Unknown), ethertype IPv4 (0x0800), length 486: 94.232.184.42.domain > 172.17.253.41.52234: 27503 1/13/12 A origin.bmw.com (444)

На MPD:

Код: Выделить всё

00:15:17:a3:b1:bd (oui Unknown) > 00:0c:29:91:6b:5f (oui Unknown), ethertype IPv4 (0x0800), length 67: 172.17.253.41.52234 > 94.232.184.42.domain: 27503+ A? bmw.com. (25)
00:15:17:a3:b1:bd (oui Unknown) > 00:0c:29:91:6b:5f (oui Unknown), ethertype IPv4 (0x0800), length 67: 172.17.253.41.52234 > 94.232.184.42.domain: 27503+ A? bmw.com. (25)

И это со всеми запросами к любым серверам в нашей белой сети, т.е. например http также подвисают в воздухе.

Добавлено: **2010-03-24 11:01:29**

в каком месте 94.232.184.42 ?

Добавлено: **2010-03-24 11:31:19**

hizel писал(а):в каком месте 94.232.184.42 ?

В соседней белой сети доступной по дефолтному маршруту.
НАТ тоже на дефолтном интерфейсе.

Добавлено: **2010-03-24 11:34:42**

тада ipfw show и netstat -rnW на НАТ-е кажите

Добавлено: **2010-03-24 11:42:43**

hizel писал(а):тада ipfw show и netstat -rnW на НАТ-е кажите

ipfw show

Код: Выделить всё

00121     0       0 allow ip from any to me via em1
00122   192   10752 allow ip from me to any via em1
00301     0       0 deny log tcp from any to not table(53) dst-port 53 in via em1
00302     0       0 deny log udp from any to not table(53) dst-port 53 in via em1
00303     0       0 deny log tcp from not table(53) 53 to any out via em1
00304     0       0 deny log udp from not table(53) 53 to any out via em1
00506   897   51887 fwd 127.0.0.1,8080 log tcp from any to not table(80) dst-port 443 in recv em1
00507   404   98737 fwd 127.0.0.1,8080 log tcp from any to not table(80) dst-port 80 in recv em1
00511   466   46615 allow tcp from any to table(80) in via em1
00512   383   71116 allow tcp from not table(80) 80 to any out via em1
00513   135    8164 deny log tcp from any to any not dst-port 53,80,443 in recv em1
00514     9     678 deny log udp from any not 53 to any out via em1
00700  1915  136392 divert 8668 ip from 172.17.253.0/24{2-253} to any out via em2
00701  2075  847105 divert 8668 ip from any to 94.232.184.72 in via em2
01009  1381  197102 allow ip from any to 10.10.12.0/24 via em0
01010    99   15233 allow ip from 10.10.12.0/24 to any via em0
01011     0       0 allow ip from any to 10.0.0.3 via em0
01012     0       0 allow ip from 10.0.0.3 to any via em0
01020  4054  977718 allow ip from any to any via em1
01025  4171  995329 allow ip from any to any via em2
01030   186   10416 allow ip from any to any via lo0
65534 16950 1625695 deny log ip from any to any
65535     0       0 deny ip from any to any

ipfw table all list

Код: Выделить всё

---table(53)---
8.8.4.4/32 0
8.8.8.8/32 0
94.232.184.42/32 0
94.232.184.46/32 0
208.67.220.220/32 0
208.67.222.222/32 0
---table(80)---
79.142.19.17/32 0
94.232.184.70/32 0
127.0.0.1/32 0
172.17.253.254/32 0
195.20.196.34/32 0
195.234.190.42/32 0
217.112.42.37/32 0

netstat -rnW

Код: Выделить всё

Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use    Mtu    Netif Expire
default            94.232.184.65      UGS         0     4090   1500      em2
10.0.0.0/16        10.10.12.1         UGS         0        0   1500      em0
10.10.12.0/24      link#1             UC          0        0   1500      em0
10.10.12.5         00:1d:60:ea:f9:07  UHLW        1      125   1500      em0    942
94.232.184.64/28   link#3             UC          0        0   1500      em2
94.232.184.65      00:00:cd:27:e8:0a  UHLW        2        0   1500      em2   1158
127.0.0.1          127.0.0.1          UH          0        0  16384      lo0
172.17.253.0/24    link#2             UC          0        0   1500      em1
172.17.253.12      00:15:17:a3:b1:bd  UHLW        1      166   1500      em1    286
172.17.253.124     00:15:17:a3:b1:bd  UHLW        1       35   1500      em1    418
172.17.253.204     00:15:17:a3:b1:bd  UHLW        1       70   1500      em1    130
172.17.253.219     00:15:17:a3:b1:bd  UHLW        1       18   1500      em1   1164
172.17.253.254     00:0c:29:91:6b:5f  UHLW        1       93  16384      lo0

Добавлено: **2010-03-24 11:44:00**

По 65534 deny log ip в логах нет ни одного по сабжу пакета

Добавлено: **2010-03-24 12:04:21**

эм, у вас mpd и nat в одном флаконе?
я не пойму почему на НАТ-е фигурирует 172.17.253.0/24

Добавлено: **2010-03-24 12:09:29**

hizel писал(а):эм, у вас mpd и nat в одном флаконе?
я не пойму почему на НАТ-е фигурирует 172.17.253.0/24

mpd отдельная машина которая форвардит всё на
nat отдельную машину
обе в одной серой сети

Добавлено: **2010-03-24 14:39:54**

я скис, может посмотреть фаервол и маршрутизацию на машине с mpd?
у вас tcpdump с mpd в какую сторону логи?

Добавлено: **2010-03-24 15:01:59**

hizel писал(а):я скис, может посмотреть фаервол и маршрутизацию на машине с mpd?
у вас tcpdump с mpd в какую сторону логи?

Я сам фигею. Единственное чем отличаются приходящие пакеты с обоих dns и
впоследствии отправленных на mpd - это адрес источника (8.8.8.8 и 94.232.184.42).
Для mpd оба эти адреса пробегают по одной и той же цепочке фаерволла, это внешние адреса.
Дампы на nat и mpd сняты с интерфейсов одной серой подсети 172.17.253.1 и 172.17.253.254 cоответственно.

Добавлено: **2010-04-13 10:54:50**

РЕШЕНО. Проблема в свиче, там были запрещающие ACL. Подправили и всё заработало как и должно было.

forum.lissyara.su

MPD+NAT не доходят некоторые пакеты

MPD+NAT не доходят некоторые пакеты

Re: MPD+NAT не доходят пакеты

Re: MPD+NAT не доходят пакеты

Re: MPD+NAT не доходят пакеты

Re: MPD+NAT не доходят пакеты

Re: MPD+NAT не доходят пакеты

Re: MPD+NAT не доходят пакеты

Re: MPD+NAT не доходят пакеты

Re: MPD+NAT не доходят некоторые пакеты

Re: MPD+NAT не доходят некоторые пакеты

Re: MPD+NAT не доходят некоторые пакеты