Polskie Forum Użytkowników Debiana

Problem pojawił się nagle (wcześniej wszystko działało prawidłowo) i próbuję dojść do przyczyn całego bałaganu.

Konfiguracja sieci wygląda następująco: łącze Netii wchodzi na ruter OneAccess, który dalej jest wpięty do Mikrotika (IP: x.x.x.98). Na Mikrotiku port, do którego jest wpięty ruter neti (IP: x.x.x.97) jest w układzie mostu razem z portem, do którego mam wpięty serwer na Debianie (lekko przestarzały Lenny). Serwer używa publicznego adresu publicznym IP (x.x.x.99). Reszta sieci jest za maskaradą, ale tu nie ma żadnych problemów z działaniem.

Dzisiaj zaczęły się problemy z dostarczaniem poczty przez Postfiksa, który jest na tym serwerze. Początkowo myślałem, że wpadł do jakiejś spamlisty ale okazało się, że jest wyraźny problem z komunikacją z tymi hostami, do których nie dochodzi poczta.

Wysyłanie sygnałów ping do tych hostów skutkuje odpowiedzią: Traceroute na adresy tych hostów nie przechodzi do końca i utyka gdzieś po drodze (puszczone z innego serwera w innej sieci przechodzi do końca bez problemu).

Odpowiedź Redirect Host (New nexthop...) mam przy każdym wysłaniu sygnału ping jakiegokolwiek hosta - przy czym w większości przypadków ping idzie normalnie, ale co parę pakietów jest przeplatany właśnie tym redirectem. Szczególnie pierwszych kilkanaście pakietów tak wygląda, a potem ping się "rozpędza" i jakoś leci.

Problemu po stronie Netii nie ma - odłączyłem Mikrotika od rutera i wpiąłem się do tego OneAccessa laptopem bezpośrednio. Dałem mu publiczne IP i puściłem pingi oraz traceroute na te same adresy - poszło bez problemów (zresztą puszczane z innych komputerów w sieci przy podłączonym Mikrotiku też pracuje poprawnie - problem jest na Debianie).

Zastanawia mnie, czemu stało się to nagle - wcześniej wszystko działało bez zarzutu. Czyżby Netia coś pogrzebała w swoim ruterze? Pomożecie, bo nie mam pomysłu jak się za to zabrać.

Z góry dziękuję!

Małe uzupełnienie: firewall na Debianie wyłączyłem - bez zmian. To samo z FW na Mikrotiku - wyłączenie nic nie zmienia

1. Spróbuj włączyć tcpdump na tym Debianie i sprawdź czy lecą jakieś odpowiedzi..
2. Zobacz jeszcze tak: Pozdrawiam.

ad.1 - Tak, jeśli na Mikrotiku przez odpowiednią regułkę nie wyłączę redirect ICMP, to lecą na Debiana w ilościach hurtowych. Jeden przykładowy z tcpdumpa poniżej:

ad.2 - Próbowałem już tego wcześniej - niestety bez powodzenia

Uruchom tak: tylko wybierz odpowiedni interfejs.

Wtedy będziesz wiedział od kogo to leci, wpis który podesłałeś nie za wiele mówi o tym skąd się te pakiet biorą (no przynajmniej mnie).

Jakimś wyjściem może okazać się chwilowa blokada icmp na Debianie z poziomu iptables, tym niemniej nie jest to rozwiązanie problemu.

Miałem taki przypadek, że rutery linksysa modelu nie pamiętam wysyłały redirecty na potęgę, ale ciekawie zaczynało się dziać jak w sieci oprócz takiego rutera pojawił się niepozorny wynalazek rodem z biedronki, robił się taki piękny DoS że nie można było zalogować się na hosta wpiętego do tego samego przełącznika.

Lecą takie:
.98 to Mikrotik, 99 Debian, a 97 ruter Netii.

Problem jest dla mnie nieco dziwny, bo pojawił się nagle i nie było w tym czasie absolutnie żadnych zmian w konfiguracji routera i serwera. Chyba, że była jakaś ingerencja z zewnątrz.

Wpinając się innym kompem do portu w Mikrotiku do którego jest wpięty serwer nie mam żadnych problemów - idą wszystkie pingi i hosty, których z Debiana nie mogę osiągnąć, także śmigają bez zarzutu. Z tego powodu upatruję problemu w serwerze, choć redirecty lecą z Mikrotika. Dodatkowo ruch w drugą stronę (do Debiana) działa bez problemów - łączą się także te hosty do których w drugą stronę (z Debiana) nie można się dostać (nie mają żadnych blokad na IP z mojej sieci, bo laptop z tymczasowo nadanym IP serwera śmiga sobie jak trzeba).

Miałem podobną sytuację w momencie gdy w sieci był syf powodowany przez uszkodzoną kartę sieciową.
Ten serwer jest w tym samym vlanie co sieć za maskaradą ?

Nie mam VLAN-ów w tej infrastrukturze. Fizycznie serwer jest w tej samej sieci, a logicznie oczywiście w odrębnej podsieci (stoi na publicznym IP) w stosunku do LAN-u.

To może stanowić problem, zrób sobie osobne interfejsy typu most dla sieci za maskaradą i tego publicznego, będzie to pewna separacja.

Jeżeli problem powoduje któryś z komputerów w LAN to tak się to może objawiać, u mnie przełączało ping na innym adresie niż ten problemowy.

Ale u mnie w układzie mostu jest tylko WAN i właśnie ten serwer. Port który wychodzi na LAN jest poza mostem.

Dodane:
Problem raczej pochodzi z wadliwych kart sieciowych w komputerach w LAN, bo prosty test polegający na podpięciu laptopa w miejsce serwera (do tego samego portu w Mikrotiku i z tym samym IP) skutkuje prawidłowym wysyłaniem sygnału ping i bezproblemowym dostępem do hostów, do których Debian wcześniej nie mógł się połączyć ani ich pingować. Tak więc problem raczej na 99% tkwi w serwerze. Z kartą sieciową serwera też raczej nie ma problemu, bo zamieniłem na inną, a potem jeszcze przepiąłem na zintegrowaną na płycie i za każdym razem było to samo.

Zaczynam się zastanawiać, czy nie jest to przypadkiem efekt ingerencji z zewnątrz, ale nie widać żadnych śladów, więc musiałaby być przeprowadzona na dobrym poziomie ("chakerzy" od Skype na konferencjach Macierewicza raczej odpadają).

Lecą takie redirecty:

Kod: Zaznacz cały

09:05:37.701376 IP x.xxx.xx.98 > x.xxx.xx.99: ICMP redirect xxx.xxx.xxx.214 to host x.xxx.xx.97, length 60

.98 to Mikrotik, 99 Debian, a 97 router Netii.

O, i teraz coś widać. Pokaż jak wygląda tablica routingu na Debianie.