Ja, dagen der også jeg skulle trenge hjelp har da ankommet. Har en del problemer med en OpenBSD brannmur jeg holder på å konfigurere.
Basisinformasjon:
OpenBSD-severen er altså en brannmur. Jeg har ip-adressene 62.92.121.16/28 (dette vil dermed tilsvare adresserangen 62.92.121.16-31) - som jeg disponerer. I første omgang skal jeg kun kjøre et basisoppsett hvor jeg kobler opp én adresse mot brannmuren og dermed kjører NAT videre innover i nettet. Til dette trenger jeg et internt interface med en intern adresse. For nettet 10.47.1.0/24 skal denne serveren være gateway, og har adressen 10.47.1.1. Jeg har en dekke andre servere også, men jeg kan eksempelvis ta to jeg bruker som "klienter" for brannmuren. En Windows server på adressen 10.47.1.16 og en Gentoo-server på 10.47.1.5.
Jeg hadde i utgangpsunktet strukturert opp en del forksjellige vlan for nettet, men i og med at jeg har flyttet utstyret til ny lokasjon så støtte jeg på problemer, jeg går derfor midlertidig tilbake til et såpass basis oppsett før jeg vet at det funker.
Så det ser altså slik ut:
Brannmur
* To interface em0 (62.92.121.18) og em1 (10.47.1.1)
* pf er disabled
* sysctl net.inet.ip.forwarding=1
* default gateway 62.92.121.17
Gentoo
* Ett interface 10.47.1.5
* default gateway 10.47.1.1
Windows
* Ett interface 10.47.1.16
* default gateway 10.47.1.1
Problembeskrivelse:
Når jeg kjører ping mot en host jeg vet er oppe (enten fra Windows eller Gentoo), får jeg ikke svar. Så enkelt er det. Timeout.
Situasjonsrapport:
Når jeg gjør det samme på brannmuren får jeg svar. Det er ingen problemer der. Jeg har satt opp dns slik at alt blir resolvert korrekt, jeg kan pinge i hytt og gevær, får svar fra alle plasser jeg måtte finne på og pinge. Jeg kjører tcpdump på både internt og eksternt interface, her ser jeg at det faktisk blir sendt en icmp request, men det blir ikke sendt noe svar tilbake (Heller ikke på eksternt interface?!). Sletter jeg default gateway på brannmuren får jeg naturlig nok svaret "no route to host". Betryggende.
Jeg har prøvdt å sette opp to andre interfaces istedet og se om det funket der. (bnx0 og bnx1) Intet hell. Jeg prøvde å sette op CARP-interface for 10.47.1.1 men dette hadde heller ingen ting å si.
Rutetabellen på brannmuren:
Tracepath fra Gentoo, punkt 2 skal være 62.92.121.17
For good measure slenger jeg med ifconfig også, hvis det var noen som skulle finne på og spørre etter den.
Hvis det er noe totalt grunnelggende jeg har gått glipp av, så vær så vennlig å slå meg i hodet til jeg skjønner det. Men jeg skulle vitterlig mene at det er det nøyaktig det samme jeg har gjort nå som jeg har gjort tidligere for et _mye_ mer avansert oppsett.
Ville forslag, løse tanker - slå dere løs for nå er jeg begynt å bli på grensen til irritert. (har holdt på i hele dag med det samme problemet egentlig)
Edit:
Jeg venter jævlig spent på svar i denne tråden, svikt meg ikke!
Basisinformasjon:
OpenBSD-severen er altså en brannmur. Jeg har ip-adressene 62.92.121.16/28 (dette vil dermed tilsvare adresserangen 62.92.121.16-31) - som jeg disponerer. I første omgang skal jeg kun kjøre et basisoppsett hvor jeg kobler opp én adresse mot brannmuren og dermed kjører NAT videre innover i nettet. Til dette trenger jeg et internt interface med en intern adresse. For nettet 10.47.1.0/24 skal denne serveren være gateway, og har adressen 10.47.1.1. Jeg har en dekke andre servere også, men jeg kan eksempelvis ta to jeg bruker som "klienter" for brannmuren. En Windows server på adressen 10.47.1.16 og en Gentoo-server på 10.47.1.5.
Jeg hadde i utgangpsunktet strukturert opp en del forksjellige vlan for nettet, men i og med at jeg har flyttet utstyret til ny lokasjon så støtte jeg på problemer, jeg går derfor midlertidig tilbake til et såpass basis oppsett før jeg vet at det funker.
Så det ser altså slik ut:
Brannmur
* To interface em0 (62.92.121.18) og em1 (10.47.1.1)
* pf er disabled
* sysctl net.inet.ip.forwarding=1
* default gateway 62.92.121.17
Gentoo
* Ett interface 10.47.1.5
* default gateway 10.47.1.1
Windows
* Ett interface 10.47.1.16
* default gateway 10.47.1.1
Problembeskrivelse:
Når jeg kjører ping mot en host jeg vet er oppe (enten fra Windows eller Gentoo), får jeg ikke svar. Så enkelt er det. Timeout.
Situasjonsrapport:
Når jeg gjør det samme på brannmuren får jeg svar. Det er ingen problemer der. Jeg har satt opp dns slik at alt blir resolvert korrekt, jeg kan pinge i hytt og gevær, får svar fra alle plasser jeg måtte finne på og pinge. Jeg kjører tcpdump på både internt og eksternt interface, her ser jeg at det faktisk blir sendt en icmp request, men det blir ikke sendt noe svar tilbake (Heller ikke på eksternt interface?!). Sletter jeg default gateway på brannmuren får jeg naturlig nok svaret "no route to host". Betryggende.
Kode
20:04:59.118099 10.47.1.5 > nichotin4-notassigned238.net.pnk.no: icmp: echo request (DF) 20:05:00.118008 10.47.1.5 > nichotin4-notassigned238.net.pnk.no: icmp: echo request (DF)
Rutetabellen på brannmuren:
Kode
# route show -inet Routing tables Internet: Destination Gateway Flags Refs Use Mtu Interface default 62.92.121.17 UGS 1 247 - em0 10.47.1/24 link#2 UC 3 0 - em1 10.47.1.1 00:1b:78:56:6d:31 UHLc 0 2 - lo0 10.47.1.5 00:1a:4b:b2:37:7a UHLc 0 1 - em1 10.47.1.16 00:1a:4b:f1:22:28 UHLc 0 1 - em1 62.92.121.16/28 link#1 UC 2 0 - em0 62.92.121.17 00:1b:2b:74:9d:c2 UHLc 1 0 - em0 62.92.121.19 link#1 UHLc 0 3 - em0 loopback localhost UGRS 0 0 33224 lo0 localhost localhost UH 0 0 33224 lo0 BASE-ADDRESS.MCAST localhost URS 0 0 33224 lo0 0
Kode
1: 10.47.1.5 (10.47.1.5) 0.093ms pmtu 1500 1: 10.47.1.1 (10.47.1.1) 0.233ms 2: no reply 3: no reply
Kode
# ifconfig em
em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
lladdr 00:1b:78:56:6d:30
groups: egress
media: Ethernet autoselect (100baseTX half-duplex)
status: active
inet 62.92.121.18 netmask 0xfffffff0 broadcast 62.92.121.31
inet6 fe80::21b:78ff:fe56:6d30%em0 prefixlen 64 scopeid 0x1
em1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
lladdr 00:1b:78:56:6d:31
media: Ethernet autoselect (1000baseT full-duplex)
status: active
inet 10.47.1.1 netmask 0xffffff00 broadcast 10.47.1.255
inet6 fe80::21b:78ff:fe56:6d31%em1 prefixlen 64 scopeid 0x2
Ville forslag, løse tanker - slå dere løs for nå er jeg begynt å bli på grensen til irritert. (har holdt på i hele dag med det samme problemet egentlig)
Edit:
Jeg venter jævlig spent på svar i denne tråden, svikt meg ikke!
Sist endret av m0b; 3. september 2007 kl. 22:45.