Проблем с рутиране

[McTailer]

Здравейте!

Наскоро забелязах странен проблем при определен вид рутиране. Ето го и него.


Имаме локална мрежа, в която има компютри разделени в два събнета ето така:

Мрежа А : IP: 192.168.0.0/24 с GW 192.168.0.1
Мрежа Б : IP: 192.168.1.0/24 с GW 192.168.1.1

(това не са реалните мрежи, реалните са далеч една от друга, неможе да се обхванат друга мрежова маска)

GW за двата събнета е една и съща машина с алиаси на една мрежова карта.

В мрежата имаме WEB сървър, който има IP-та от двете мрежи, например : 192.168.0.10 и 192.168.1.10

Потребител от Мрежа А решава да отвори WEB сървъра през IP-то, което е локално за него и няма проблем - минава директно по мрежата. Решава обаче да отвори същия сървър по IP-то, което е пак на същия сървър, но е от Мрежа Б - не става. Пинг има. В този случай пакета минава през GW и след това се връща директно през локалната мрежа, тъй като наобратно WEB сървъра вижда, че може да го достави директно през интерфейса, който е локален за IP-то напрвило заявката.

Както и да е - пинг върви, web не. Правим още един тест - махаме на WEB сървъра IP-то, което е директно към мрежа А. Сега трафика и в двете посоки неминуемо минава през GW - работи.

Защо в единия случай работи, а в другия не? WEB сървъра е Linux машина, но разиграхме същата постановка и с Windows. GW e линукс машина, клиентския компютър е Windows.

Имате ли идея как можа да се направи да работи?


Поздрави,
Илиян

[DGP]

Ethernet Bridging поддръжка включена ли е на на GW-машината? И изобщо виж как е компилиран кернела на GW в частта Networking options:
http://linux-bg.org/cgi-bin/y/index....&key=340913877

[McTailer]

Не е включен ethernet bridging - все пак не е това идеята. Общо взето немога да кажа точно една по една кои опции са избрани защото кернела е 2.6.7 и не помня какви опции е имало вътре, а за съжаление и сорса и .config файла са изтрити.

[etg]

iptables ... -p TCP ! --syn -m state --state NEW ...
Случайно на GW да има правило от рода на това? Или някакво "ip rule ..."?
И понеже мрежата изглежда нормално изградена, единственият друг вариант е tcpdump, и след това анализ на резултатите.

[MitkoS]

Според мен, трябва да се добавят два static route на GW:

destination: 192.168.0.10
mask:255.255.255.255
GW: 192.168.0.10

и

destination: 192.168.1.10
mask:255.255.255.255
GW: 192.168.1.10

[Ghost]

Клиента е Windows, нали.
Предполагам, че има включен FW.
Ако е такъв случая, бих влезнал в настройките на FW и бих пробвал да разреша ICMP REDIRECT.
Това, защото не съм сигурен какво точно прави FW на Windowsa, а съм го виждал да прави..хмх...странни неща. Същото важи и за www server-а, когато е под Windows.

Освен това на routera:

Първо:


cat /proc/sys/net/ipv4/conf/all/send_redirects
cat /proc/sys/net/ipv4/conf/all/secure_redirects
cat /proc/sys/net/ipv4/conf/all/accept_redirects

Ако резултатите са "0", направи ги на "1":

echo 1 > /proc/sys/net/ipv4/conf/all/send_redirects
echo 1 > /proc/sys/net/ipv4/conf/all/secure_redirects
echo 1 > /proc/sys/net/ipv4/conf/all/accept_redirects

Пробвай и кажи дали има развитие.

[McTailer]

Извинявам се за малко късния отговор.

@ЕТГ

iptables ... -p TCP ! --syn -m state --state NEW ...
Случайно на GW да има правило от рода на това? Или някакво "ip rule ..."?

няма такива правила във firewall-а

@Ghost

Клиента е Windows, нали.
Предполагам, че има включен FW.
Ако е такъв случая, бих влезнал в настройките на FW и бих пробвал да разреша ICMP REDIRECT.
Това, защото не съм сигурен какво точно прави FW на Windowsa, а съм го виждал да прави..хмх...странни неща. Същото важи и за www server-а, когато е под Windows.

Освен това на routera:

Първо:


cat /proc/sys/net/ipv4/conf/all/send_redirects
cat /proc/sys/net/ipv4/conf/all/secure_redirects
cat /proc/sys/net/ipv4/conf/all/accept_redirects

Ако резултатите са "0", направи ги на "1":

echo 1 > /proc/sys/net/ipv4/conf/all/send_redirects
echo 1 > /proc/sys/net/ipv4/conf/all/secure_redirects
echo 1 > /proc/sys/net/ipv4/conf/all/accept_redirects

Пробвай и кажи дали има развитие.

Единствено accept_redirects беше 0, но след смяна на 1 пак положението остава същото.

[dark]

Не е включен ethernet bridging - все пак не е това идеята. Общо взето немога да кажа точно една по една кои опции са избрани защото кернела е 2.6.7 и не помня какви опции е имало вътре, а за съжаление и сорса и .config файла са изтрити.

ако си се сетил да компилираш с една специална опцийка, ще можеш да си видиш config-a на кернел-а в /proc/config.gz

[MitkoS]

Тоя Web-сървър как е свързан:
с два интерфейса всеки с по един IP-адрес
или един интерфейс с два IP-адреса
(или нещо друго) ?

[McTailer]

Проблема беше, че имаше филтър в iptables за.... INVALID state... явно ги маркира поради една или друга причина за такива.


Мерси на всички !