Страница 1 из 1
Проблема с роутингом или фаерволом? [solved]
Добавлено: 2009-06-18 16:16:46
napalm
Есть сервер, к которому по pptp подключается клиент.
На сервере имеется интерфейс в локальную сеть 10.1.0.0/22, ради которой pptp подключение и осуществляется:
Код: Выделить всё
em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
options=b<RXCSUM,TXCSUM,VLAN_MTU>
inet 10.1.1.50 netmask 0xfffffc00 broadcast 10.1.3.255
ether 00:13:20:6f:3e:da
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
...
tun8: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1500
inet 10.2.0.1 --> 10.1.100.1 netmask 0xffffffff
Opened by PID 64796
При этом, с серверного pptp-интерфейса клиент виден, а с локального - нет:
Код: Выделить всё
# ping -S 10.2.0.1 10.1.100.1
PING 10.1.100.1 (10.1.100.1) from 10.2.0.1: 56 data bytes
64 bytes from 10.1.100.1: icmp_seq=0 ttl=64 time=1.624 ms
64 bytes from 10.1.100.1: icmp_seq=1 ttl=64 time=1.087 ms
^C
--- 10.1.100.1 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max/stddev = 1.087/1.356/1.624/0.268 ms
# ping -S 10.1.1.50 10.1.100.1
PING 10.1.100.1 (10.1.100.1) from 10.1.1.50: 56 data bytes
^C
--- 10.1.100.1 ping statistics ---
3 packets transmitted, 0 packets received, 100% packet loss
роутинг:
Код: Выделить всё
# netstat -rn | grep tun8
10.1.100/24 10.1.100.1 UGS 0 425 tun8
10.1.100.1 10.2.0.1 UH 1 1068 tun8
# route -n get 10.1.100.1
route to: 10.1.100.1
destination: 10.1.100.1
interface: tun8
flags: <UP,HOST,DONE>
recvpipe sendpipe ssthresh rtt,msec rttvar hopcount mtu expire
0 0 0 0 0 0 1500 0
фаерволл после пингов с 10.1.1.50:
Код: Выделить всё
# ipfw show | head -2
00010 0 0 allow ip from 10.1.1.50 to any via tun8
00011 0 0 allow ip from any to any via tun8
фаерволл после пингов по-умолчанию (с 10.2.0.1):
Код: Выделить всё
# ipfw show | head -2
00010 0 0 allow ip from 10.1.1.50 to any via tun8
00011 4 336 allow ip from any to any via tun8
Хелп
Re: Проблема с роутингом или фаерволом?
Добавлено: 2009-06-18 16:27:12
napalm
Да, забыл сказать, что это не единственный клиент.
Есть по аналогичной схеме подключенный 10.1.40.1, с которым проблем нет:
Код: Выделить всё
tun5: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1500
inet 10.2.0.1 --> 10.1.40.1 netmask 0xffffffff
Opened by PID 75839
# ping -S 10.1.1.50 10.1.40.1
PING 10.1.40.1 (10.1.40.1) from 10.1.1.50: 56 data bytes
64 bytes from 10.1.40.1: icmp_seq=0 ttl=255 time=11.865 ms
64 bytes from 10.1.40.1: icmp_seq=1 ttl=255 time=11.654 ms
64 bytes from 10.1.40.1: icmp_seq=2 ttl=255 time=24.165 ms
64 bytes from 10.1.40.1: icmp_seq=3 ttl=255 time=13.322 ms
64 bytes from 10.1.40.1: icmp_seq=4 ttl=255 time=11.797 ms
^C
--- 10.1.40.1 ping statistics ---
5 packets transmitted, 5 packets received, 0% packet loss
round-trip min/avg/max/stddev = 11.654/14.561/24.165/4.840 ms
# ipfw show | head -2
00009 3 252 allow ip from 10.1.1.50 to any via tun5
00010 0 0 allow ip from 10.1.1.50 to any via tun8
Re: Проблема с роутингом или фаерволом?
Добавлено: 2009-06-18 16:44:36
paradox
бардак какойто
к чему там 1.1.50 via tun* ?
если он к тунелям вообще отношения не имеет
Re: Проблема с роутингом или фаерволом?
Добавлено: 2009-06-18 16:46:51
napalm
Не понял вопрос.
К чему данные правила? Для работы - ни к чему, они сейчас временно для отладки, чтобы видеть прохождения пакетов.
Re: Проблема с роутингом или фаерволом?
Добавлено: 2009-06-18 16:49:13
paradox
не ну если вы хотели показать активность то можно было поставить count
но учитывая что там allow
то смысл немного другой приходит на ум...
Re: Проблема с роутингом или фаерволом?
Добавлено: 2009-06-18 17:04:16
napalm
действительно, хотел просто показать активность.
про count не подумал.
есть какие-нибудь идеи относительно проблемы?
Re: Проблема с роутингом или фаерволом?
Добавлено: 2009-06-18 17:10:31
paradox
ping -S 10.1.1.50 10.1.100.1
две разных сети
если на клинете дефолт не в тунель
то с какой радости он должен быть виден
вообще если показываете логи
то лучше показывать все
а точто хотите скрыть скрывайте первые две цифры в айпи x.x.1.1 например
а то сложно разбираться что там куда
Re: Проблема с роутингом или фаерволом?
Добавлено: 2009-06-18 17:28:41
napalm
paradox писал(а):ping -S 10.1.1.50 10.1.100.1
две разных сети
если на клинете дефолт не в тунель
то с какой радости он должен быть виден
На клиенте в тоннель не дефолт, но 10.1.0.0/22 таки в оный:
Код: Выделить всё
# netstat -rn
Routing tables
Internet:
Destination Gateway Flags Refs Use Netif Expire
default XX.XX.73.105 UGS 0 2792 rl0
10.1.100.0/24 link#2 UC 0 0 nfe0
10.1.100.1 00:13:8f:6c:80:cd UHLW 2 14 lo0
10.2.0.1 10.1.100.1 UGH 0 86 nfe0
127.0.0.1 127.0.0.1 UH 0 0 lo0
XX.XX.73.104/30 link#1 UC 0 0 rl0
XX.XX.73.105 00:18:f3:73:45:ea UHLW 2 3037 rl0 1088
В любом случае, проблема где-то на сервере, т.к. при пинге клиента с локальной IP сервера,
пакет не появляется даже на исходящем интерфейсе.
Не видно ни средствами ipfw, ни tcpdump (хотя ipfw в данном случае первичен на исход, т.к. ближе к ядру)
paradox писал(а):вообще если показываете логи
то лучше показывать все
а точто хотите скрыть скрывайте первые две цифры в айпи x.x.1.1 например
а то сложно разбираться что там куда
без проблем, я показываю всё, что мне кажется касается проблемы, чтобы не запутать ничем лишним.
если что-то упустил, скажите, с благодарностью выложу для совместного анализа
Re: Проблема с роутингом или фаерволом?
Добавлено: 2009-06-18 17:33:16
napalm
Сорри, конечно же не:
napalm писал(а):Код: Выделить всё
# netstat -rn
Routing tables
Internet:
Destination Gateway Flags Refs Use Netif Expire
default XX.XX.73.105 UGS 0 2792 rl0
10.1.100.0/24 link#2 UC 0 0 nfe0
10.1.100.1 00:13:8f:6c:80:cd UHLW 2 14 lo0
10.2.0.1 10.1.100.1 UGH 0 86 nfe0
127.0.0.1 127.0.0.1 UH 0 0 lo0
XX.XX.73.104/30 link#1 UC 0 0 rl0
XX.XX.73.105 00:18:f3:73:45:ea UHLW 2 3037 rl0 1088
Это я положил pptp-сессию.
Вот так:
Код: Выделить всё
Destination Gateway Flags Refs Use Netif Expire
default XX.XX.73.105 UGS 0 69 rl0
10.1.0.0/22 10.2.0.1 UGS 0 0 tun0
10.1.100.0/24 link#2 UC 0 0 nfe0
10.2.0.1 10.1.100.1 UGH 1 0 tun0
127.0.0.1 127.0.0.1 UH 0 0 lo0
XX.XX.73.104/30 link#1 UC 0 0 rl0
XX.XX.73.105 00:18:f3:73:45:ea UHLW 2 56 rl0 1172
Re: Проблема с роутингом или фаерволом?
Добавлено: 2009-06-18 17:34:26
paradox
а где на клинете тунель что то я не вижу....
давай тогда сначала
при поднятом тунеле когда ничего не работает (как ты говоришь)
с клиента
и с сервера
и ifconfig
с клиента и с сервера
и пинг с клиента который по твоему должен работать(а он не работает)
потом будем дальше смотреть
Re: Проблема с роутингом или фаерволом?
Добавлено: 2009-06-18 17:51:11
napalm
Клиент:
Код: Выделить всё
# netstat -rn
Routing tables
Internet:
Destination Gateway Flags Refs Use Netif Expire
default XX.XX.73.105 UGS 0 76 rl0
10.1.0.0/22 10.2.0.1 UGS 0 0 tun0
10.1.100.0/24 link#2 UC 0 0 nfe0
10.1.100.1 00:13:8f:6c:80:cd UHLW 1 2 lo0
10.2.0.1 10.1.100.1 UGH 1 0 tun0
127.0.0.1 127.0.0.1 UH 0 0 lo0
XX.XX.73.104/30 link#1 UC 0 0 rl0
XX.XX.73.105 00:18:f3:73:45:ea UHLW 2 81 rl0 1168
# ifconfig
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=8<VLAN_MTU>
ether 00:50:fc:cb:4a:78
inet XX.XX.73.106 netmask 0xfffffffc broadcast XX.XX.73.107
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
nfe0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=8<VLAN_MTU>
ether 00:13:8f:6c:80:cd
inet 10.1.100.1 netmask 0xffffff00 broadcast 10.1.100.255
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> metric 0 mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4
inet6 ::1 prefixlen 128
inet 127.0.0.1 netmask 0xff000000
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1500
inet 10.1.100.1 --> 10.2.0.1 netmask 0xffffffff
Opened by PID 753
Сервер:
Код: Выделить всё
# netstat -rn | grep -v UHLW
Routing tables
Internet:
Destination Gateway Flags Refs Use Netif Expire
default XX.XX.72.57 UGS 105833958 3421724058 fxp0
10.1/22 link#1 UC 0 0 em0
10.1.7/24 10.1.7.1 UGS 0 2 tun9
10.1.7.1 10.2.0.1 UH 1 0 tun9
10.1.39/24 10.1.39.1 UGS 0 261887 tun4
10.1.39.1 10.2.0.1 UH 1 0 tun4
10.1.40/24 10.1.40.1 UGS 0 410564 tun5
10.1.40.1 10.2.0.1 UH 1 519 tun5
10.1.53/24 10.1.53.1 UGS 28161 28161 gif0
10.1.53.1 10.1.1.50 UH 441 448 gif0
10.1.61.1 10.1.1.50 UH 628 649 gif10
10.1.100/24 10.1.100.1 UGS 0 0 tun8
10.1.100.1 10.2.0.1 UH 1 0 tun8
10.1.108/24 10.1.108.1 UGS 0 0 tun1
10.1.108.1 10.2.0.1 UH 1 0 tun1
10.1.111/24 10.1.111.1 UGS 0 0 tun3
10.1.111.1 10.2.0.1 UH 1 0 tun3
10.1.112/24 10.1.112.1 UGS 0 575994 tun2
10.1.112.1 10.2.0.1 UH 1 0 tun2
10.1.118/24 10.1.118.1 UGS 0 0 fxp0
10.1.121.1 10.1.1.50 UH 2224 2233 gif4
10.1.122.1 10.1.1.50 UH 112 121 gif5
10.1.124.1 10.1.1.50 UH 40 87 gif8
10.1.250/24 10.1.250.1 UGS 0 2459236 tun7
10.1.250.1 10.2.0.1 UH 1 530 tun7
10.1.251/24 10.1.251.1 UGS 0 180986 tun0
10.1.251.1 10.2.0.1 UH 1 0 tun0
10.2.0.17 10.2.0.1 UH 0 0 tun6
127.0.0.1 127.0.0.1 UH 0 1768934 lo0
XX.XX.72.56/29 link#3 UC 0 0 fxp0
XX.XX.72.60/32 link#3 UC 0 0 fxp0
XX.XX.21.17/32 link#3 UC 0 0 fxp0
# ifconfig
em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
options=b<RXCSUM,TXCSUM,VLAN_MTU>
inet 10.1.1.50 netmask 0xfffffc00 broadcast 10.1.3.255
ether 00:13:20:6f:3e:da
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
em1: flags=8802<BROADCAST,SIMPLEX,MULTICAST> mtu 1500
options=b<RXCSUM,TXCSUM,VLAN_MTU>
ether 00:07:e9:2a:95:39
media: Ethernet autoselect
status: no carrier
fxp0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
options=8<VLAN_MTU>
inet XX.XX.72.62 netmask 0xfffffff8 broadcast XX.XX.72.63
inet XX.XX.21.17 netmask 0xffffffff broadcast XX.XX.21.17
inet XX.XX.72.60 netmask 0xffffffff broadcast XX.XX.72.60
ether 00:13:20:6f:3e:d9
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
inet 127.0.0.1 netmask 0xff000000
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1500
inet 10.2.0.1 --> 10.1.251.1 netmask 0xffffffff
Opened by PID 36910
tun1: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1500
inet 10.2.0.1 --> 10.1.108.1 netmask 0xffffffff
Opened by PID 50760
tun2: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1500
inet 10.2.0.1 --> 10.1.112.1 netmask 0xffffffff
Opened by PID 66371
gif4: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1280
tunnel inet XX.XX.72.62 --> XX.XX.72.215
inet 10.1.1.50 --> 10.1.121.1 netmask 0xffffff00
gif5: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1280
tunnel inet XX.XX.72.62 --> XX.XX.74.235
inet 10.1.1.50 --> 10.1.122.1 netmask 0xffffff00
gif8: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1280
tunnel inet XX.XX.72.62 --> XX.XX.74.118
inet 10.1.1.50 --> 10.1.124.1 netmask 0xffffff00
gif10: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1280
tunnel inet XX.XX.72.62 --> XX.XX.72.70
inet 10.1.1.50 --> 10.1.61.1 netmask 0xffffff00
tun3: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1500
inet 10.2.0.1 --> 10.1.111.1 netmask 0xffffffff
Opened by PID 66373
tun4: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1500
inet 10.2.0.1 --> 10.1.39.1 netmask 0xffffffff
Opened by PID 18112
tun5: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1500
inet 10.2.0.1 --> 10.1.40.1 netmask 0xffffffff
Opened by PID 75839
tun6: flags=8050<POINTOPOINT,RUNNING,MULTICAST> mtu 1500
inet 10.2.0.1 --> 10.2.0.17 netmask 0xffffffff
Opened by PID 29116
tun7: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1500
inet 10.2.0.1 --> 10.1.250.1 netmask 0xffffffff
Opened by PID 36652
gif0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1280
tunnel inet XX.XX.72.62 --> XX.XX.72.220
inet 10.1.1.50 --> 10.1.53.1 netmask 0xffffff00
tun8: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1500
inet 10.2.0.1 --> 10.1.100.1 netmask 0xffffffff
Opened by PID 71301
tun9: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1500
inet 10.2.0.1 --> 10.1.7.1 netmask 0xffffffff
Opened by PID 68109
tun10: flags=8010<POINTOPOINT,MULTICAST> mtu 1500
из сети 10.1.0.0/22 должна быть видна сеть 10.1.100.0/24. чего не наблюдается
(при этом из данной локалки видны остальные 10.1.*.0/24)
единственный адрес, с которого видна сеть 10.1.100.0/24 - это 10.2.0.1.
Re: Проблема с роутингом или фаерволом?
Добавлено: 2009-06-18 18:07:52
paradox
сеть /24 за клиентом или где?
/22 это на сервере? или где
что то я смотрю к серверу прямо никто не подключен одни тунели
так кого надо увидеть клиенту?
или за клиентом кого то кому то надо увидеть?
Re: Проблема с роутингом или фаерволом?
Добавлено: 2009-06-18 18:21:16
napalm
есть сервер с двумя интерфейсами
1. аплинк в мир
2. в офисную локалку /22
клиенты со своими /24 сетями подключаются к офисному серверу и начинают видеть офисную /22
все клиенты 10.1.*.0/24 (где * от 4 до 255, за исключением 100) видят 10.1.0.0/22.
Re: Проблема с роутингом или фаерволом?
Добавлено: 2009-06-18 18:29:44
paradox
если чесно я не увидел что бы сервер был подключен в локалку )))
там нет иодной записи в таблице роутинга о том что есть айпи+мак по интерфейсу em0
на клиенте гетефей енейбл есть?
в rc.conf
что говорит пинг с клиента в сети/24 который проходит через клинета pptp на бсд на айпи
10.2.0.1
и
10.1.1.50
Re: Проблема с роутингом или фаерволом?
Добавлено: 2009-06-18 18:54:17
napalm
paradox писал(а):если чесно я не увидел что бы сервер был подключен в локалку )))
там нет иодной записи в таблице роутинга о том что есть айпи+мак по интерфейсу em0
Есть. Сорри, я это счел очевидным, и зарубил по "grep -v UHLW".
Код: Выделить всё
...
10.1.0.0 ff:ff:ff:ff:ff:ff UHLWb 1 3 em0 =>
10.1/22 link#1 UC 0 0 em0
10.1.0.9 00:1e:8c:45:d2:ff UHLW 1 646313 em0 300
10.1.0.10 00:1c:25:34:3b:e8 UHLW 1 349 em0 1056
10.1.0.15 00:0c:76:16:97:f0 UHLW 1 47024738 em0 985
10.1.0.77 00:16:e6:8a:29:cb UHLW 1 39856802 em0 807
...
paradox писал(а):на клиенте гетефей енейбл есть?
в rc.conf
есть
Код: Выделить всё
# sysctl -A | grep forwarding
net.inet.ip.forwarding: 1
paradox писал(а):что говорит пинг с клиента в сети/24 который проходит через клинета pptp на бсд на айпи
10.2.0.1
и
10.1.1.50
Код: Выделить всё
# ping 10.2.0.1
PING 10.2.0.1 (10.2.0.1): 56 data bytes
64 bytes from 10.2.0.1: icmp_seq=0 ttl=64 time=1.324 ms
64 bytes from 10.2.0.1: icmp_seq=1 ttl=64 time=0.825 ms
^C
--- 10.2.0.1 ping statistics ---
2 packets transmitted, 2 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 0.825/1.075/1.324/0.249 ms
# ping 10.1.1.50
PING 10.1.1.50 (10.1.1.50): 56 data bytes
^C
--- 10.1.1.50 ping statistics ---
4 packets transmitted, 0 packets received, 100.0% packet loss
Соответственно tcpdump на сервере:
Код: Выделить всё
# tcpdump -ni tun8
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tun8, link-type NULL (BSD loopback), capture size 68 bytes
18:53:18.593245 IP 10.1.100.1 > 10.2.0.1: ICMP echo request, id 57347, seq 0, length 64
18:53:18.593265 IP 10.2.0.1 > 10.1.100.1: ICMP echo reply, id 57347, seq 0, length 64
18:53:19.593944 IP 10.1.100.1 > 10.2.0.1: ICMP echo request, id 57347, seq 1, length 64
18:53:19.593963 IP 10.2.0.1 > 10.1.100.1: ICMP echo reply, id 57347, seq 1, length 64
18:53:27.950584 IP 10.1.100.1 > 10.1.1.50: ICMP echo request, id 57603, seq 0, length 64
18:53:28.951020 IP 10.1.100.1 > 10.1.1.50: ICMP echo request, id 57603, seq 1, length 64
18:53:29.952063 IP 10.1.100.1 > 10.1.1.50: ICMP echo request, id 57603, seq 2, length 64
18:53:30.953003 IP 10.1.100.1 > 10.1.1.50: ICMP echo request, id 57603, seq 3, length 64
^C
8 packets captured
8 packets received by filter
0 packets dropped by kernel
Re: Проблема с роутингом или фаерволом?
Добавлено: 2009-06-18 19:06:12
paradox
nfe0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=8<VLAN_MTU>
ether 00:13:8f:6c:80:cd inet 10.1.100.1 netmask 0xffffff00 broadcast 10.1.100.255
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1500
inet 10.1.100.1 --> 10.2.0.1 netmask 0xffffffff Opened by PID 753
меня это смущает
и нет обратного роутинга с сервера в твою сеть
на сервере нужен роутинг
но думаю ты видишь бессымсленность данной комманды
хотя попробуй
Re: Проблема с роутингом или фаерволом?
Добавлено: 2009-06-18 19:12:16
napalm
paradox писал(а):nfe0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=8<VLAN_MTU>
ether 00:13:8f:6c:80:cd inet 10.1.100.1 netmask 0xffffff00 broadcast 10.1.100.255
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1500
inet 10.1.100.1 --> 10.2.0.1 netmask 0xffffffff Opened by PID 753
меня это смущает
это нормально. много где применяется.
paradox писал(а):и нет обратного роутинга с сервера в твою сеть
на сервере нужен роутинг
но думаю ты видишь бессымсленность данной комманды
хотя попробуй
как это нет?
Код: Выделить всё
10.1.100/24 10.1.100.1 UGS 0 0 tun8
10.1.100.1 10.2.0.1 UH 1 0 tun8
Re: Проблема с роутингом или фаерволом?
Добавлено: 2009-06-18 19:20:20
paradox
просмотрел
хорошо
а с сервера который клинет pptp
ping 10.1.1.50
что говорит
Re: Проблема с роутингом или фаерволом?
Добавлено: 2009-06-18 23:55:41
napalm
napalm писал(а):Код: Выделить всё
# ping 10.1.1.50
PING 10.1.1.50 (10.1.1.50): 56 data bytes
^C
--- 10.1.1.50 ping statistics ---
4 packets transmitted, 0 packets received, 100.0% packet loss
Re: Проблема с роутингом или фаерволом?
Добавлено: 2009-06-18 23:58:10
paradox
смотри tcpdump на обоих машинах
клинете и сервере
при таком пинге
где загибаеться ответ на сервере или на клиенте
если конечно в фаерволе ты абсолютно уверен что все гуд
Re: Проблема с роутингом или фаерволом?
Добавлено: 2009-06-19 0:01:59
napalm
капец.
я с первого сообщения говорю, что проблема на сервере и показываю tcpdump.
оказывается всё ради этого совета?
Re: Проблема с роутингом или фаерволом?
Добавлено: 2009-06-19 0:06:51
paradox
все это нужно было что бы я понял вашу топологию и что куда у вас там ходит
если ты знаешь в чем проблема то зачем спрашивать у других?
а понять "чужую" топологию заете ли просто по tcpdump ам нельзя
или ты хотел что бы тебе сразу посоветовали "идите tcpdump-пите и смотрите что у вас не туда идет" ?
Re: Проблема с роутингом или фаерволом?
Добавлено: 2009-06-19 11:09:19
schizoid
может картинку нарисуй? что б было нагляднее
Re: Проблема с роутингом или фаерволом?
Добавлено: 2009-06-24 16:26:17
napalm
Проблема нашлась.
Данный адрес когда-то использовался в IPSec-туннеле, и на серваке был забыт оттуда вынестись:
Код: Выделить всё
spdadd 10.1.0.0/22 10.1.100.0/24 any -P out ipsec esp/tunnel/XX.XX.72.62-XX.XX.73.106/unique;
spdadd 10.1.100.0/24 10.1.0.0/22 any -P in ipsec esp/tunnel/XX.XX.73.106-XX.XX.72.62/unique;