Re: Проблема с настройкой маршрутизации на два провайдера + DMZ

To: debian-russian@lists.debian.org
Subject: Re: Проблема с настройкой маршрутизации на два провайдера + DMZ
From: Alexandr Rakhmanin <community@rscenter.ru>
Date: Fri, 20 Oct 2006 17:17:19 +0700
Message-id: <[🔎] 4538A22F.2000807@rscenter.ru>
Reply-to: alex@rscenter.ru
In-reply-to: <[🔎] 22795697@wizzle.ran.pp.ru>
References: <[🔎] 45386708.4060307@rscenter.ru> <[🔎] 03118245@wizzle.ran.pp.ru> <[🔎] 4538915D.70409@rscenter.ru> <[🔎] 22795697@wizzle.ran.pp.ru>

Artem Chuprina пишет:

Alexandr Rakhmanin -> debian-russian@lists.debian.org  @ Fri, 20 Oct 2006 16:05:33 +0700:

 >>  AR> Что необходимо:
 >>  AR> Корректная работа с 2мя провами, т.е. входящие пакеты с сети одного прова на
 >>  AR> интерфейс другого уходили с него же, а также для экономии трафика исходящие
 >>  AR> новый сессии чтобы уходили с соответствующих интерфейсов в зависимости от сети
 >>  AR> провайдера.
 >>  AR> Также чтобы DMZ было доступно с обоих провов и глобала.
 >>
 >>  AR> В чём проблема:
 >>  AR> Проблема с DMZ, при обращении к серверам находящимся в нём (ping из сети
 >>  AR> любого из провайдеров) пакеты идут какое-то время, а после этого затык.
 >>  AR> Смотрю пакеты tcpdump'ом на интерфесах и на роутере и на том сервере что
 >>  AR> пингую, видно что icmp реквесты приходят, а ответов назад нет.
 >>  AR> Связь полностью затыкается до того компьютера который пингую, не только icmp,
 >>  AR> останавливаю, через несколько секунд пробую, работает и снова затык. В DMZ
 >>  AR> серваки стоят как с Sargeм так и 1ин есть с AltLinux Master 2.2, т.е. ядра
 >>  AR> разные.
 >>  AR> -------------------------------
 >>  AR> ping 83.246.136.37
 >>  AR> PING 83.246.136.37 (83.246.136.37) 56(84) bytes of data.
 >>  AR> 64 bytes from 83.246.136.37: icmp_seq=1 ttl=56 time=32.8 ms
 >>  AR> 64 bytes from 83.246.136.37: icmp_seq=2 ttl=56 time=25.7 ms
 >>  AR> 64 bytes from 83.246.136.37: icmp_seq=3 ttl=56 time=26.7 ms
 >>  AR> 64 bytes from 83.246.136.37: icmp_seq=4 ttl=56 time=26.2 ms
 >>  AR> 64 bytes from 83.246.136.37: icmp_seq=5 ttl=56 time=25.2 ms
 >>  AR> 64 bytes from 83.246.136.37: icmp_seq=6 ttl=56 time=25.1 ms
 >>  AR> 64 bytes from 83.246.136.37: icmp_seq=7 ttl=56 time=27.3 ms
 >>  AR> 64 bytes from 83.246.136.37: icmp_seq=8 ttl=56 time=25.5 ms
 >>
 >>  AR> --- 83.246.136.37 ping statistics ---
 >>  AR> 12 packets transmitted, 8 received, 33% packet loss, time 11005ms
 >>  AR> rtt min/avg/max/mdev = 25.160/26.855/32.816/2.368 ms
 >>  AR> -------------------------------
 >>  AR> tcpdump -i eth0 -n -p icmp
 >>
 >> [...]
 >>
 >>  AR> Интерфейсы:
 >>  AR> 1-провайдер Интелби.
 >>  AR> eth0      Link encap:Ethernet  HWaddr 00:11:2F:CF:74:71
 >>  AR>           inet addr:83.246.130.141  Bcast:83.246.130.255  Mask:255.255.255.0
 >>  AR> 2-провайдер Телеком.
 >>  AR> eth3      Link encap:Ethernet  HWaddr 00:02:B3:CD:58:8F
 >>  AR>           inet addr:212.94.107.189  Bcast:212.94.107.255  Mask:255.255.255.0
 >>  AR> DMZ.
 >>  AR> eth2      Link encap:Ethernet  HWaddr 00:02:B3:CD:59:48
 >>  AR>           inet addr:83.246.136.33  Bcast:83.246.136.47  Mask:255.255.255.240
 >>
 >> А на eth2 ответы на эти пинги видны?  А лимита на количество ICMP в
 >> единицу времени на роутере нет?
 >>

>>AR> Нет ответов нету.

 AR> Лимитов тоже нет, пробовал вообще файрволлы отрубать однофигственно, тем более
 AR> это всё работало прекрасно с 1им провайдером Интелби, на роутере добавил
 AR> только теже правила для Телекома.

 AR> Вот ещё раз сделал:
 AR> С кого пигнгую.
 AR> ping 83.246.136.37
 AR> PING 83.246.136.37 (83.246.136.37) 56(84) bytes of data.
 AR> 64 bytes from 83.246.136.37: icmp_seq=1 ttl=56 time=142 ms
 AR> 64 bytes from 83.246.136.37: icmp_seq=2 ttl=56 time=242 ms
 AR> 64 bytes from 83.246.136.37: icmp_seq=3 ttl=56 time=159 ms
 AR> 64 bytes from 83.246.136.37: icmp_seq=4 ttl=56 time=171 ms
 AR> 64 bytes from 83.246.136.37: icmp_seq=5 ttl=56 time=172 ms
 AR> 64 bytes from 83.246.136.37: icmp_seq=6 ttl=56 time=207 ms
 AR> 64 bytes from 83.246.136.37: icmp_seq=7 ttl=56 time=154 ms
 AR> 64 bytes from 83.246.136.37: icmp_seq=8 ttl=56 time=228 ms

 AR> --- 83.246.136.37 ping statistics ---
 AR> 14 packets transmitted, 8 received, 42% packet loss, time 13006ms
 AR> rtt min/avg/max/mdev = 142.125/184.970/242.827/34.336 ms

 AR> Роутер.
 AR> gw1:/etc# tcpdump -i eth2 -n -p icmp
 AR> tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
 AR> listening on eth2, link-type EN10MB (Ethernet), capture size 96 bytes
 AR> 15:55:44.142766 IP 212.94.116.178 > 83.246.136.37: icmp 64: echo request seq 1
 AR> 15:55:44.143514 IP 83.246.136.37 > 212.94.116.178: icmp 64: echo reply seq 1
 AR> 15:55:45.253486 IP 212.94.116.178 > 83.246.136.37: icmp 64: echo request seq 2
 AR> 15:55:45.255030 IP 83.246.136.37 > 212.94.116.178: icmp 64: echo reply seq 2
 AR> 15:55:46.206656 IP 212.94.116.178 > 83.246.136.37: icmp 64: echo request seq 3
 AR> 15:55:46.208211 IP 83.246.136.37 > 212.94.116.178: icmp 64: echo reply seq 3
 AR> 15:55:47.170953 IP 212.94.116.178 > 83.246.136.37: icmp 64: echo request seq 4
 AR> 15:55:47.171423 IP 83.246.136.37 > 212.94.116.178: icmp 64: echo reply seq 4
 AR> 15:55:48.146627 IP 212.94.116.178 > 83.246.136.37: icmp 64: echo request seq 5
 AR> 15:55:48.148158 IP 83.246.136.37 > 212.94.116.178: icmp 64: echo reply seq 5
 AR> 15:55:49.189849 IP 212.94.116.178 > 83.246.136.37: icmp 64: echo request seq 6
 AR> 15:55:49.190315 IP 83.246.136.37 > 212.94.116.178: icmp 64: echo reply seq 6
 AR> 15:55:50.168219 IP 212.94.116.178 > 83.246.136.37: icmp 64: echo request seq 7
 AR> 15:55:50.169745 IP 83.246.136.37 > 212.94.116.178: icmp 64: echo reply seq 7
 AR> 15:55:51.201215 IP 212.94.116.178 > 83.246.136.37: icmp 64: echo request seq 8
 AR> 15:55:51.201683 IP 83.246.136.37 > 212.94.116.178: icmp 64: echo reply seq 8
 AR> 15:55:52.143682 IP 212.94.116.178 > 83.246.136.37: icmp 64: echo request seq 9
 AR> 15:55:53.213786 IP 212.94.116.178 > 83.246.136.37: icmp 64: echo request seq
 AR> 10
 AR> 15:55:54.141908 IP 212.94.116.178 > 83.246.136.37: icmp 64: echo request seq
 AR> 11
 AR> 15:55:55.212808 IP 212.94.116.178 > 83.246.136.37: icmp 64: echo request seq
 AR> 12
 AR> 15:55:56.234610 IP 212.94.116.178 > 83.246.136.37: icmp 64: echo request seq
 AR> 13
 AR> 15:55:57.161394 IP 212.94.116.178 > 83.246.136.37: icmp 64: echo request seq
 AR> 14

 AR> 22 packets captured
 AR> 22 packets received by filter
 AR> 0 packets dropped by kernel

 AR> Пингуемый сервак.
 AR> tcpdump -i eth0 -n -p icmp
 AR> tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
 AR> listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
 AR> 15:55:48.117003 IP 212.94.116.178 > 83.246.136.37: icmp 64: echo request seq 1
 AR> 15:55:48.117214 IP 83.246.136.37 > 212.94.116.178: icmp 64: echo reply seq 1
 AR> 15:55:49.227689 IP 212.94.116.178 > 83.246.136.37: icmp 64: echo request seq 2
 AR> 15:55:49.227720 IP 83.246.136.37 > 212.94.116.178: icmp 64: echo reply seq 2
 AR> 15:55:50.180980 IP 212.94.116.178 > 83.246.136.37: icmp 64: echo request seq 3
 AR> 15:55:50.181024 IP 83.246.136.37 > 212.94.116.178: icmp 64: echo reply seq 3
 AR> 15:55:51.145403 IP 212.94.116.178 > 83.246.136.37: icmp 64: echo request seq 4
 AR> 15:55:51.145428 IP 83.246.136.37 > 212.94.116.178: icmp 64: echo reply seq 4
 AR> 15:55:52.121201 IP 212.94.116.178 > 83.246.136.37: icmp 64: echo request seq 5
 AR> 15:55:52.121219 IP 83.246.136.37 > 212.94.116.178: icmp 64: echo reply seq 5
 AR> 15:55:53.164564 IP 212.94.116.178 > 83.246.136.37: icmp 64: echo request seq 6
 AR> 15:55:53.164583 IP 83.246.136.37 > 212.94.116.178: icmp 64: echo reply seq 6
 AR> 15:55:54.143057 IP 212.94.116.178 > 83.246.136.37: icmp 64: echo request seq 7
 AR> 15:55:54.143075 IP 83.246.136.37 > 212.94.116.178: icmp 64: echo reply seq 7
 AR> 15:55:55.176189 IP 212.94.116.178 > 83.246.136.37: icmp 64: echo request seq 8
 AR> 15:55:55.176210 IP 83.246.136.37 > 212.94.116.178: icmp 64: echo reply seq 8
 AR> 15:55:56.118777 IP 212.94.116.178 > 83.246.136.37: icmp 64: echo request seq 9
 AR> 15:55:57.189023 IP 212.94.116.178 > 83.246.136.37: icmp 64: echo request seq
 AR> 10
 AR> 15:55:58.117264 IP 212.94.116.178 > 83.246.136.37: icmp 64: echo request seq
 AR> 11
 AR> 15:55:59.188304 IP 212.94.116.178 > 83.246.136.37: icmp 64: echo request seq
 AR> 12
 AR> 15:56:00.210237 IP 212.94.116.178 > 83.246.136.37: icmp 64: echo request seq
 AR> 13
 AR> 15:56:01.137143 IP 212.94.116.178 > 83.246.136.37: icmp 64: echo request seq
 AR> 14

Судя по этому логу, искать проблему надо на пингуемой машине.  Она
получает запросы, но не выдает ответов.  Интерфейс у нее один?

Да если по логу смотреть то в ней, но такая грабля и с остальнымисерверами что в DMZ.

Причём даже с тем у которого только 1ин интерфейс в DMZ.

У 83.246.136.37 интерфейсов 2а, 1ин в DMZ - на него шлюз по умолчанию и2ой в локалку там 192.168.0.0 сегмент.


--
Всего наилучшего.
СисАдмин ЗАО "Региональный сервисный центр".

Reply to:

Follow-Ups:
- Re: Проблема с настройкой маршрутизации на два провайдера + DMZ
  - From: Artem Chuprina <ran@ran.pp.ru>

References:
- Проблема с настройкой маршрутизации на два провайдера + DMZ
  - From: Alexandr Rakhmanin <community@rscenter.ru>
- Re: Проблема с настройкой маршрутизации на два провайдера + DMZ
  - From: Artem Chuprina <ran@ran.pp.ru>
- Re: Проблема с настройкой маршрутизации на два провайдера + DMZ
  - From: Alexandr Rakhmanin <community@rscenter.ru>
- Re: Проблема с настройкой маршрутизации на два провайдера + DMZ
  - From: Artem Chuprina <ran@ran.pp.ru>

Prev by Date: Re: VMware-workstation-5.5.2-29772
Next by Date: Re: двухбуквенные домены в зоне .SU
Previous by thread: Re: Проблема с настройкой маршрутизации на два провайдера + DMZ
Next by thread: Re: Проблема с настройкой маршрутизации на два провайдера + DMZ
Index(es):
- Date
- Thread