Nelze pinknout 2 nove site

Dan Lukes dan at obluda.cz
Wed Aug 16 04:13:06 CEST 2006

Previous message: Nelze pinknout 2 nove site
Next message: Nelze pinknout 2 nove site
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

Milan Cizek napsal/wrote, On 08/16/06 01:08:
> - na router spustim tcpdump-icmp pokud pinknu na IP patere, mam echo+reply.
> - Pokud pinkam třeba na 10.0.9.1 nedorazi tam ani request.
> 
> Mam ale trochu problem s tim, ze nevim, jak detailneji zjistit kam na
> NROUTERU paket putuje. Mluvis o vnejsim a vnitrnim interface na NROUTERu,
> nicmene se jedna o jeden a tentyz, který ma alias, jestli je to podstatne

	No, to je jeno - pak je "vnejsi" a "vnitrni" interface jedno a totez - 
ale to co jsem napsal plati i tak. Paket na nem musi byt spatren jak 
jako prichozi tak (po odroutovani) jako odchozi.

> (mozna jsem jen nepochopil). Prakticky je to ale asi stejne jako když si
> budu pinkat z NROUTER na router a na NROUTER v druhem okne sledovat tcpdump?

> # tcpdump -n -i wi0 icmp
> 00:57:26.711740 IP 10.0.254.33 > 10.0.9.1: ICMP echo request, id 56605, seq
> 0, length 64

> Nicmene rekne nam tohle něco? 
	
	Tohle rika, ze ICMP ECHO byl na svem pruchodu z adresy 10.0.254.33 na 
adresu 10.0.9.1 spatren jako prichozi, ale nebyl spatren jako odchozi.

	Podle vseho nebyl NROUTERem odroutovan.

	Proc ? No, to je otazka. Moznosti je spousta - prvni, ktera se nabizi 
je, ze NROUTER neni router (neprovadi routing). To by byla konfiguracni 
chyba. Ovsem - mluvis, ze jsi na nem pridal dve nove site. Z toho by se 
zdalo, ze existuji nejake stare site, ktere tam byly driv, a na ktere 
routovani fungovalo a funguje. Takze, jsou-li takove site, tohle to byt 
nemuze.

	Pak to muze byt problem s routovaci tabulkou - ale pokud
route get 10.0.9.1 rekne, ze by pouzil wi0 a pokud je v ARP tabulce 
zaznam pro 10.0.9.1, pak to tenhle problem take neni.

	Pak to preci jen muze byt problem s firewallem.

	Nebo nejaka utajena specialni konfigurace (treba aktivni bridge, v 
nejake obskurdni konfiguraci, zapnute kontrolu na platnost paketu s 
ohledem na prichozi smer - to jsou nejaka sysctl)

	To je opravdu tezke rict. Kazdopadne je prakticky jiste, kde je 
konfigurace chybna - to je NROUTER - i kdyz neni jasne v cem je chybna.

	'netstat' vypisuje ruzne statistiky - tak je treba se podivat, jestli 
tyhle pingy nezvedaji hodnotu nektereho z erroru - paket muze byt 
zahozen z nejruznejsich duvodu - treba pro chybny checksum (taky uz jsme 
meli takovou vadnou kartu).

	Nic konkretnejsiho ti takhle poranu nepovim.

> Tcpdump je pro me az prilis mocny a komplikovany(rozsahly)

	Nehledej v nem nic zazracneho - jen mu reknes na jakem interfacu ma 
poslouchat - a dal je docela obycejny logicky vyraz (navic nepovinny) 
popisujici jake pakety chces videt. O mnoho jednodussi to byt nemuze.

	V tehle situaci muzes maximalne pridat nejake ta -v (jedno nebo dve) a 
ziskat trochu podrobnejsi vystup - ale nic moc vic uz ani videt nelze - 
paket prijde a neni odeslan dal, ackoliv by mel byt. To je informace, 
kterou potrebujeme abychom vedeli, ze problem je tady.

						Dan

>> > Rozsiril jsem sit o novy router, na kterem jsou poveseny 2 
>> nove site:
>> > 10.0.8.0/24
>> > 10.0.9.0/24
>> > 
>> > Router je propojeny pateri na NROUTER (nadrazeny router) pomoci 
>> > paterniho spoje 10.0.254.32/29.
>> > NROUTER 10.0.254.33 (wi0) --- Router 10.0.254.35 (rl0) 
>> napojeno do WiFi AP.

>> > - pater 10.0.254.32/29 funguje, jednotlive IP z venku (i zevnitr) 
>> > pinknu, na stroj se pripojim přes ssh apod.
>> > - na NROUTER jsou vytvorene staticke routy pro site 8 a 9/24.
>> 
>> > * z vnejsi site (data přes pater) nepinknu ani rozhrani routeru 
>> > 10.0.9.1 a 10.0.8.1, samozrejme ani zadne klienty.


-- 
Dan Lukes                                   SISAL MFF UK
AKA: dan at obluda.cz, dan at freebsd.cz,dan at kolej.mff.cuni.cz

Previous message: Nelze pinknout 2 nove site
Next message: Nelze pinknout 2 nove site
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list