Доброго дня.
Есть три сервера FreeBSD A,B,C... При чем у них одинаковая конфигурация, потому как установлены копированием разделов.Сервер А:
ifconfig
xl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
options=9<RXCSUM,VLAN_MTU>
inet Х.Х.Х.А netmask 0xfffffffc broadcast Х.Х.Х.Х
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
options=8<VLAN_MTU>
inet 192.168.0.1 netmask 0xffffffc0 broadcast 192.168.0.63
inet 192.168.0.193 netmask 0xffffffc0 broadcast 192.168.0.255
gif0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1500
tunnel inet Х.Х.Х.А --> Х.Х.Х.В
inet 192.168.0.193 --> 192.168.0.129 netmask 0xffffffff
gif1: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1500
tunnel inet Х.Х.Х.А --> Х.Х.Х.С
inet 192.168.0.1 --> 192.168.0.65 netmask 0xffffffffскрипт создания туннелей
#!/bin/sh
#
/sbin/ifconfig gif0 create
/sbin/ifconfig gif0 inet 192.168.0.193 192.168.0.129 netmask 0xffffffff
/sbin/ifconfig gif0 tunnel Х.Х.Х.А Х.Х.Х.В
/sbin/ifconfig gif0 mtu 1500 up
/sbin/route add -net 192.168.0.128 -netmask 255.255.255.192 192.168.0.129/sbin/ifconfig gif1 create
/sbin/ifconfig gif1 inet 192.168.0.1 192.168.0.65 netmask 0xffffffff
/sbin/ifconfig gif1 tunnel Х.Х.Х.А Х.Х.Х.С
/sbin/ifconfig gif1 mtu 1500 up
/sbin/route add -net 192.168.0.64 -netmask 255.255.255.192 192.168.0.65nmap на эту машину
Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2008-03-04 09:27 EET
Not shown: 1660 closed ports
PORT STATE SERVICE
22/tcp filtered ssh
23/tcp filtered telnet
25/tcp filtered smtp
80/tcp filtered http
135/tcp filtered msrpc
136/tcp filtered profile
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
161/tcp filtered snmp
445/tcp filtered microsoft-ds
1080/tcp filtered socks
1720/tcp filtered H.323/Q.931
1723/tcp open pptp
3128/tcp filtered squid-http
6666/tcp open irc-serv
6667/tcp open irc
8080/tcp filtered http-proxy
12345/tcp filtered NetBus
31337/tcp filtered EliteСервер В:
ifconfig
dc0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
options=8<VLAN_MTU>
inet Х.Х.Х.В netmask 0xfffffffc broadcast Х.Х.Х.Х
dc1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
options=8<VLAN_MTU>
inet 192.168.0.129 netmask 0xffffffc0 broadcast 192.168.0.191
gif0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1500
tunnel inet Х.Х.Х.В --> Х.Х.Х.А
inet 192.168.0.129 --> 192.168.0.193 netmask 0xffffffffскрипт создания туннеля
#!/bin/sh
#
/sbin/ifconfig gif0 create
/sbin/ifconfig gif0 inet 192.168.0.129 192.168.0.193 netmask 0xffffffff
/sbin/ifconfig gif0 tunnel Х.Х.Х.В Х.Х.Х.А
/sbin/ifconfig gif0 mtu 1500 up
/sbin/route add -net 192.168.0.192 -netmask 255.255.255.192 192.168.0.193nmap на эту машину
Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2008-03-04 09:28 EET
Not shown: 1678 closed ports
PORT STATE SERVICE
22/tcp open ssh
1723/tcp open pptpСервер С:
ifconfig
dc0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
options=8<VLAN_MTU>
inet Х.Х.Х.С netmask 0xffffff00 broadcast Х.Х.Х.Х
dc1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
options=8<VLAN_MTU>
inet 192.168.0.65 netmask 0xffffffc0 broadcast 192.168.0.127
gif0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1500
tunnel inet Х.Х.Х.С --> Х.Х.Х.А
inet 192.168.0.65 --> 192.168.0.1 netmask 0xffffffffскрипт создания туннеля
#!/bin/sh
#
/sbin/ifconfig gif0 create
/sbin/ifconfig gif0 inet 192.168.0.65 192.168.0.1 netmask 0xffffffff
/sbin/ifconfig gif0 tunnel Х.Х.Х.С Х.Х.Х.А
/sbin/ifconfig gif0 mtu 1500 up
/sbin/route add -net 192.168.0.0 -netmask 255.255.255.192 192.168.0.1nmap на эту машину
ну тут открыто все :)да, еще.... серверы А и В работают через ADSL модемы, а С через домашнюю сеть....
Так вот. проблема в том, что туннель А-С работает без проблем, а туннель А-В даже не поднимается сейчас (правда до замены модема провом он поднимался, но падал через пару минут при условии неактивности соединения)....
Что это может быть? Есть ли средства диагностики туннеля, что бы понять причину?
что с esp происходит трафиком?
>что с esp происходит трафиком?что имеется в виду? есть ли PPPoE или PPPoA?
>>что с esp происходит трафиком?
>
>что имеется в виду? есть ли PPPoE или PPPoA?на стороне сервера В вроде есть, а на А не знаю....
>>>что с esp происходит трафиком?
>>
>>что имеется в виду? есть ли PPPoE или PPPoA?
>
>на стороне сервера В вроде есть, а на А не знаю....Из представленной выше конфигурации, я делаю вывод, что у вас используется связка gif+racoon. Для нормальной работы тунеля в таких условиях необходимо прохождение ESP трафика. Или покажите правила фаервола или почитайте (что предпочтительней) http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/ipsec... , а потомповторите, что у вас не получается
>>>>что с esp происходит трафиком?
>>>
>>>что имеется в виду? есть ли PPPoE или PPPoA?
>>
>>на стороне сервера В вроде есть, а на А не знаю....
>
>Из представленной выше конфигурации, я делаю вывод, что у вас используется связка
>gif+racoon. Для нормальной работы тунеля в таких условиях необходимо прохождение ESP
>трафика. Или покажите правила фаервола или почитайте (что предпочтительней) http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/ipsec... ,
>а потомповторите, что у вас не получаетсяэта связка gif+racoon не используется, пока только gif.
Фаервол на все серверах в режиме "OPEN".то что показівает nmap, то это на уровне модемов-провайдеров.....
>
>то что показівает nmap, то это на уровне модемов-провайдеров.....Если там где до замены поднимался хоть на чуть-чуть, сейчас падает, попробуйте поиграться немного с MTU.
Проведите диагностику хотя бы при помощи
ping -s 1500
>>
>>то что показівает nmap, то это на уровне модемов-провайдеров.....
>
>Если там где до замены поднимался хоть на чуть-чуть, сейчас падает, попробуйте
>поиграться немного с MTU.
>Проведите диагностику хотя бы при помощи
>ping -s 1500Да, и все же приведите ipfw list
>>>
>>>то что показівает nmap, то это на уровне модемов-провайдеров.....
>>
>>Если там где до замены поднимался хоть на чуть-чуть, сейчас падает, попробуйте
>>поиграться немного с MTU.
>>Проведите диагностику хотя бы при помощи
>>ping -s 1500с MTU игрался, не помогло....
>
>Да, и все же приведите ipfw list00050 divert 8668 ip4 from any to any via xl0
00100 allow ip from any to any via lo0
00200 deny ip from any to 127.0.0.0/8
00300 deny ip from 127.0.0.0/8 to any
65000 allow ip from any to anyу всех трех одинаково сейчас
>[оверквотинг удален]
>>
>>Да, и все же приведите ipfw list
>
>00050 divert 8668 ip4 from any to any via xl0
>00100 allow ip from any to any via lo0
>00200 deny ip from any to 127.0.0.0/8
>00300 deny ip from 127.0.0.0/8 to any
>65000 allow ip from any to any
>
>у всех трех одинаково сейчаспроблема решилась сменой провайдера :)