AbcLinuxu:/ Poradna / Linuxová poradna / Nejde ping na server z jiné sítě

Štítky: ATD, bez, distribuce, Internet, LAN, PC, ping, psaní, router, server, sítě, textové editory, Ubuntu, upgrade, Vim, VNC

Dotaz: Nejde ping na server z jiné sítě

1.8.2012 13:28 d.tjunikov
Nejde ping na server z jiné sítě

Přečteno: 1391×

Odpovědět | Admin

Prosím o radu – výchozí situace zde: Ubuntu 12.04 server, dvě síťové karty (eth0 – 192.168.2.41, eth1 – 192.168.3.41) po migraci z 8.04 Dvě lokální sítě (A: 192.168.2.0 a B: 192.168.3.0) fyzicky oddělené a zapojené do routeru, který je bránou pro příslušnou LAN (192.168.2.1 a 192.168.3.1) (Pfsense, 2x LAN, 1x WAN – 3x eth karta)

Server je každou kartou připojen do příslušné sítě. Obě sítě komunikují přes router do internetu. Stanice z každé LAN bez problémů pingnou (na příslušnou adresu serveru 192.168.2.41 z LAN „A“, nebo 192.168.3.41 z LAN „B“ - obě síťovky na serveru jsou funkční. Na routeru povolen přístup (směrování) z B do A (všechny IP a porty - opačně blokováno) – bez problémů mohu pinkat se svého PC v síti B na PC v síti A, vzdálený přístup přes VNC atd.

A nyní problém: Na starý server (U 8.04) jsem se bez problému dostal ze sítě B na obě adresy – buď přímo na tu „béčkovou“ kartu (stejná síť), nebo přes router na „áčkovou“ kartu. Prostě bylo jedno, jestli jsem se připojil na 192.168.3.41 nebo ..2.41. Po upgrade serveru tohle nefunguje, jen z příslušné sítě (A nebo B). Jak kdyby ten server poznal, že to leze přes router a bloknul ty příchozí pakety, či co. Podotýkám, že router routuje – na ostatní PC se z „B“ do „A“ dostanu, musí to být něco na tom serveru, ale co. Firewall nakonfigurovaný není, nevím. Já vím že to vypadá jako blbost chodit na server takhle oklikou přes router, když to jde přímo, ale fakt k tomu mám své důvody – to je ale na delší psaní a není to podstatné.

Napadá někoho, co by to na tom serveru mohlo blokovat? Díky předem za radu.

Řešení dotazu:

Komentář #11 (Michal Kubeček, 1 hlasů)

Nástroje: Začni sledovat (1) ?

Odpovědi

1.8.2012 14:01 pupu | skóre: 31
Rozbalit Rozbalit vše Re: Nejde ping na server z jiné sítě

A nebyl cirou nahodou ten 'firewall' predtim nastaveny? A nebylo tam neco jako 'ip rule add from ADRESA table 100; ip rule add default via GW table 100' ? Ono totiz rozhodne neni pravidlem, ze odchozi provoz musi jit stejnym interfacem jako prichozi... kazdopadne bych doporucoval pustit si na serveru tcpdump a podivat se, co, odkud a kam vlastne beha.

1.8.2012 14:41 d.tjunikov
Rozbalit Rozbalit vše Re: Nejde ping na server z jiné sítě

Díky. Takže je evidentní, že při poslechu na eth0 odpovídá jen na ping ze stejné sítě - ale proč?

>tcpdump

(takhle to vypadá při pingu ze stanice XP ve stejné síti)

14:24:14.435897 IP 192.168.2.205 > server000goa041.goastribro.cz: ICMP echo request, id 512, seq 17920, length 40 14:24:14.435927 IP server000goa041.goastribro.cz > 192.168.2.205: ICMP echo reply, id 512, seq 17920, length 40 14:24:15.435883 IP 192.168.2.205 > server000goa041.goastribro.cz: ICMP echo request, id 512, seq 18176, length 40 14:24:15.435920 IP server000goa041.goastribro.cz > 192.168.2.205: ICMP echo reply, id 512, seq 18176, length 40

(a takhle když to na tu síťovku jde z routeru z počítače v té druhé síti)

14:25:46.939124 IP 192.168.3.251 > server000goa041.goastribro.cz: ICMP echo request, id 5821, seq 5, length 64 14:25:47.939062 IP 192.168.3.251 > server000goa041.goastribro.cz: ICMP echo request, id 5821, seq 6, length 64 14:25:48.938846 IP 192.168.3.251 > server000goa041.goastribro.cz: ICMP echo request, id 5821, seq 7, length 64 14:25:49.938713 IP 192.168.3.251 > server000goa041.goastribro.cz: ICMP echo request, id 5821, seq 8, length 64

1.8.2012 14:48 d.tjunikov
Rozbalit Rozbalit vše Re: Nejde ping na server z jiné sítě

Sorry, to druhé se mi nějak rozhodilo - ale je vidět, že přichází jen request a reply nejde.

1.8.2012 14:50 d.tjunikov
Rozbalit Rozbalit vše Re: Nejde ping na server z jiné sítě

Teď mě napadá, že to bude asi blbost, neměl by odpovídat po druhé síťovce? Když to jde do jiné sítě - už jsem z toho volaký zmetený.

1.8.2012 17:09 Punny | skóre: 28 | Praha
Rozbalit Rozbalit vše Re: Nejde ping na server z jiné sítě

Co vypise route -n?
traceroute se dostane kam? pouze na router?
Evidentne bude chyba pouze se smerovanim.
Pripadne jeste pro jistotu iptables -L je vse nastaveno na accept?

Punny

1.8.2012 19:22 d.tjunikov
Rozbalit Rozbalit vše Re: Nejde ping na server z jiné sítě

Příloha:

schema.jpg (35880 bytů)

root@server000goa041:~# route -n
Směrovací tabulka v jádru pro IP
Adresát Brána Maska Přízn Metrik Odkaz Užt Rozhraní
0.0.0.0 192.168.2.1 0.0.0.0 UG 100 0 0 eth0
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.3.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1

(není ta chyba tady? - že to posílá vše na bránu ..2.1 - ale ať to nastavím jak chci, po restartu je to zase takto)

root@server000goa041:~# traceroute 213.192.4.1 (brána providera)
traceroute to 213.192.4.1 (213.192.4.1), 64 hops max
1 192.168.3.1 (192.168.3.1) 0.795ms 0.259ms 0.258ms (router pfsense)
2 213.192.4.1 (213.192.4.1) 8.639ms 3.324ms 4.840ms

root@server000goa041:~# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination

(ještě nastavení sítě)
root@server000goa041:~# cat /etc/network/interfaces
auto lo
iface lo inet loopback

auto eth1
iface eth1 inet static

address 192.168.3.41
netmask 255.255.255.0
gateway 192.168.3.1
network 192.168.3.0
broadcast 192.168.3.255

auto eth0
iface eth0 inet static

address 192.168.2.41
netmask 255.255.255.0
gateway 192.168.2.1
network 192.168.2.0
broadcast 192.168.2.255

Přikládám schéma sítě.

1.8.2012 20:11 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
Rozbalit Rozbalit vše Re: Nejde ping na server z jiné sítě

Čili se chccete dostat na server na obě IP adresy z obou LAN? Máte zaplý forwarding na serveru? Tj. /proc/sys/net/ipv4/ip_forward = 1? A neblokujete na jednom interfejsu serveru druhý rozsah? Nejlepší by možná bylo pustit na obou interfejsech serveru tcpdump a zkoušet tam vlízt, co to udělá, co bude kde vidět ... (dejte radši tcpdump -i ethX -nn pro vypsání čísel)

Jo pravda, ještě jedna věc .. chytrý firewally poznaj asymetrickej routing ... pokud na server lezete jednou cestou a vracíte se jinudy ... (?)

Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.

1.8.2012 21:53 d.tjunikov
Rozbalit Rozbalit vše Re: Nejde ping na server z jiné sítě

Ano, resp. chci se dostat na server ze sítě "B" (192.168.3.0) na obě IP adresy serveru. Forwarding jsem zapnul a je to stále stejné. V tom to asi nebude, protože když se kouknu do starého /etc (z původního serveru před migrací U 8.04 -> 12.04) tak tam je vypnutý a bez problémů to chodilo. Když se dívám do té staré konfigurace, tak vidím jedinou změnu, že fyz. karta která byla na starém eth0 je tady eth1 a naopak - proto jsou na novém i IP adr. prohozené. Jinak stroj je beze změn, jen jsem ho načisto instaloval a migroval data a další. Jak je vidět z toho tcpdumpu, tak při pingu ze sítě "B" na eth0 kartu serveru v síti "A" tam je vidět, že router to tam posílá, ale adaptér neodpovídá, když jde ping přímo z nějakého PC ze sítě "B" (ne přes router)tak to šlape. Ping na libovolný jiný počítač z "B" do "A" taky funguje.

1.8.2012 23:00 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Nejde ping na server z jiné sítě

Když už je řeč o asymetrickém routingu… Nemůže být problém v zapnutém RP filtru (což je bohužel defaultní nastavení většiny distribucí)?

2.8.2012 07:16 d.tjunikov
Rozbalit Rozbalit vše Re: Nejde ping na server z jiné sítě

Zapnutý byl, ale nechodí to i když ho vypnu:

root@server000goa041:~# cat /proc/sys/net/ipv4/conf/eth0/rp_filter

root@server000goa041:~# cat /proc/sys/net/ipv4/conf/eth1/rp_filter

a ping ani ťuk.

Vyflákl bych se na to, ale mám na serveru logon script pro win stanice společný pro studenty (síť A) a učitele (síť B) s různými pravidly dle skupin (pomocí ifmember.exe), který všichni spouštěli z ip serveru "A". Teď se tam ze sítě "B" nedostanou. Všechno už mám přemigrovaný (sambu, LDAP, databáze), zbývá už jen tato kravina, a nejde a nejde - ach jo.

Řešení 1× (MMMMMMMMM)

2.8.2012 08:09 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: Nejde ping na server z jiné sítě

Máte vynulovaný i /proc/sys/net/ipv4/conf/all/rp_filter ?

2.8.2012 08:33 d.tjunikov
Rozbalit Rozbalit vše Re: Nejde ping na server z jiné sítě

BINGO!!! Už jsem to zakomentoval v konfiguráku a po restartu OK. Jste zlatej - až pojedete okolo stříbrskýho gymplu, stavte se na panáka. Díky moc. Děkuji všem za pomoc - zase jsem o něco chytřejší :-)

Založit nové vlákno • Nahoru

Tiskni Sdílej: