Пропадает «связь» с моей машиной из-за пределов роутера сети

10.10.60.204/24

с 10.10.50.32

Что-то тут не так.

Думаю, надо копать firewall. Что-нибудь в сторону established related

И как пинг роутера фиксит файрвол? Выглядит как что-то типа конфликта ip/mac адресов

Проверь, что нет задвоенности мак адресов или IP адресов.

Для проверки задвоенности IP адресов, с учётом, что МАК на машинах с одинаковым IP разный - с другой системы в этой же сети делаешь arping 10.10.60.204. Если будет два мака - значит есть ещё ПК с таким же адресом.

Хуже, если у другой машины совпадает и IP и МАК.

Задвоенность МАК при разных IP - смотри tcpdump широковещательные пакеты в сети с фильтрацией по твоему МАК, если будет несколько с разными адресами источника - значит есть задвоенность МАК.

Вообще, думается ты взял себе чей-то уже используемый IP.

На сетевом оборудовании можешь посмотреть ARP таблицу по портам.

Если это ВМ на proxmox и ты восстанавливал бэкап одной машины в новую, то в ней могут оказаться задвоены как мак в настройках ВМ, так и IP адрес в самой системе.

Сетевые админы все типа проверили, меняли порт и даже патчкорд, но решения нет.

Какие-то плохие админы.

Ситуация лечится костылём в виде ping 10.10.60.21 и сразу же возвращается нормальное поведение.

А если сделать ping 10.10.50.32 то тоже чинится? Скорее всего чинится.

Когда не работает, запускаем на 10.10.50.32 упомянутый тобой неработающий пинг (оставляем его включённым), после чего логинимся на роутер (если доступ есть ну или админам передай), смотрим там состояние arp таблицы (конкретно ищем твой айпи-адрес в ней, если есть то проверяем правильный ли мак). Потом запускаем на роутере tcpdump -i any -n host 10.10.60.204 смотрим какие пакеты куда идут (как минимум входящие icmp он покажет, должен ещё какие-то исходящие). Запускаем на том же роутере ping 10.10.60.204 и смотрим опять же что в tcpdump-е и какие ошибки показывает пинг.

В итоге (а скорее всего даже где-то в середине) ситуация должна проясниться.

Для проверки задвоенности IP адресов, с учётом, что МАК на машинах с одинаковым IP разный - с другой системы в этой же сети делаешь arping 10.10.60.204. Если будет два мака - значит есть ещё ПК с таким же адресом.

Ответ только по одному адресу.

>arp-ping.exe 10.10.60.204
Reply that 92:0B:B4:48:B0:CE is 10.10.60.164 in 19.143ms
Reply that 92:0B:B4:48:B0:CE is 10.10.60.164 in 15.046ms
Reply that 92:0B:B4:48:B0:CE is 10.10.60.164 in 14.978ms
Reply that 92:0B:B4:48:B0:CE is 10.10.60.164 in 15.998ms

Задвоенность МАК при разных IP - смотри tcpdump широковещательные пакеты в сети с фильтрацией по твоему МАК, если будет несколько с разными адресами источника - значит есть задвоенность МАК.

пробовал принудительно менять МАС «пациента», это не влияет на ситуацию.

Вообще, думается ты взял себе чей-то уже используемый IP.

Мне его выдали админы

Какие-то плохие админы.

Согласен.

А если сделать ping 10.10.50.32 то тоже чинится? Скорее всего чинится.

Да лечится. Лечится ЛЮБЫМ пингом за пределы маршрутизатора.

Потом запускаем на роутере

Там какая то Циска...

Там какая то Циска...

Ну посмотреть arp на ней точно можно. Возможность сниффить пакеты по идее тоже.

А что такое 60.164 и чей это мак?

Включи там tcpdump (откуда arpping делаешь), посмотри что шлётся и что принимается.

А что такое 60.164 и чей это мак?

Бля, как-то криво скопировал, там 10.10.60.204, это я пробовал разные хосты пинговать, смотрел как и чего происходит... Сорян.

arp-ping.exe 10.10.60.204
Reply that 04:D4:C4:F3:04:D5 is 10.10.60.204 in 5.597ms
Reply that 04:D4:C4:F3:04:D5 is 10.10.60.204 in 15.022ms

Включи там tcpdump (откуда arpping делаешь), посмотри что шлётся и что принимается.

Да вроде всё ровно (Wireshark ибо с винды делаю).
Один пакет на запрос - один на ответ.

No.	Time	MAC Src	MAC Dst	Source	Destination	Protocol	Port Src	Port Dst	Length	Info
1430	10.690351	68:05:ca:26:63:23	ff:ff:ff:ff:ff:ff	68:05:ca:26:63:23	ff:ff:ff:ff:ff:ff	ARP			42	Who has 10.10.60.204? Tell 10.10.60.202
1431	10.700656	04:d4:c4:f3:04:d5	68:05:ca:26:63:23	04:d4:c4:f3:04:d5	68:05:ca:26:63:23	ARP			60	10.10.60.204 is at 04:d4:c4:f3:04:d5
1492	12.247146	68:05:ca:26:63:23	ff:ff:ff:ff:ff:ff	68:05:ca:26:63:23	ff:ff:ff:ff:ff:ff	ARP			42	Who has 10.10.60.204? Tell 10.10.60.202
1494	12.259884	04:d4:c4:f3:04:d5	68:05:ca:26:63:23	04:d4:c4:f3:04:d5	68:05:ca:26:63:23	ARP			60	10.10.60.204 is at 04:d4:c4:f3:04:d5
1517	13.808604	68:05:ca:26:63:23	ff:ff:ff:ff:ff:ff	68:05:ca:26:63:23	ff:ff:ff:ff:ff:ff	ARP			42	Who has 10.10.60.204? Tell 10.10.60.202
1518	13.819713	04:d4:c4:f3:04:d5	68:05:ca:26:63:23	04:d4:c4:f3:04:d5	68:05:ca:26:63:23	ARP			60	10.10.60.204 is at 04:d4:c4:f3:04:d5
1546	15.346249	68:05:ca:26:63:23	ff:ff:ff:ff:ff:ff	68:05:ca:26:63:23	ff:ff:ff:ff:ff:ff	ARP			42	Who has 10.10.60.204? Tell 10.10.60.202
1547	15.347835	04:d4:c4:f3:04:d5	68:05:ca:26:63:23	04:d4:c4:f3:04:d5	68:05:ca:26:63:23	ARP			60	10.10.60.204 is at 04:d4:c4:f3:04:d5

Админы тоже люди и могут ошибаться. Хотя вероятность этого ниже, чем у тебя.

Смотри вывод сообщений ядра.

Мне сложно представить что сетевой интерфейс на линукс машине ложитьсч спать. (типа зеленый режим по энергосбережению) и какой уж очень умный свич.

Почему в этом сообщении

>arp-ping.exe 10.10.60.204
Reply that 92:0B:B4:48:B0:CE is 10.10.60.164 in 19.143ms
Reply that 92:0B:B4:48:B0:CE is 10.10.60.164 in 15.046ms
Reply that 92:0B:B4:48:B0:CE is 10.10.60.164 in 14.978ms
Reply that 92:0B:B4:48:B0:CE is 10.10.60.164 in 15.998ms

И в этом сообщении в выводе aprping у сетевого интерфейса с IP адресом 10.10.60.204 разные маки?

arp-ping.exe 10.10.60.204
Reply that 04:D4:C4:F3:04:D5 is 10.10.60.204 in 5.597ms
Reply that 04:D4:C4:F3:04:D5 is 10.10.60.204 in 15.022ms

Там разные адреса.

Не, ну realtek может на плохом контакте не переключиться на полудуплекс или меньшую скорость и «заснуть».

Уже новая сетевуха и новая дырка в стене и новых патчкордов дюжина.

Хуяк и новый день!

Смотри вывод сообщений ядра.

Нет там ничего. Прям ничего нового за последние пару суток. Как загрузилось так и тшинаю.

Ну посмотреть arp на ней точно можно. Возможность сниффить пакеты по идее тоже.

Говорят не на столько умная Циска.

Я уже начинаю сдаваться :(
У них сейчас новое решение проверки. Мой комп несут в другой кабинет (другой свитч, другой сегмент), а на место моего втыкают тестовывый с моим же адресом. Будем посмотреть.

10.10.60.0/24 10.10.50.32

Воняет arp proxy на Cisco с кривой сегментацией.

Сравни в arp адреса mac шлюза и целевого хоста на машине, с которой пропадает доступ.

А почему только icmp будит? Фиревалл?

Да так то любой правит. Пинг самое простое.

Извинте не совсем понял, что такое любой правит? А какие тогда симптомы что машина пропала из сети?

У Вас netplan?

Ок. Любой исходящий с неё.

Нет, Debian networking

Я писал про внешний. Обычно по умолчанию фиревалл пропускает только входящий icmp, оно и будет ваш комп.

Мой комп не засыпает.

Я могу ошибиться но если комп с линукс не спит то он всегда что то передает по сети.

Я могу ошибиться но если комп с линукс не спит то он всегда что то передает по сети.

С какой радости? И что по вашему мнению он должен передавать и кому?

Ну может это особенность моего дистра, я сейчас выключил фиревокс и он мне за минуту навалил больше экрана.

sudo tcpdump -i any

(там lo меньше 5% …)

Ну т.е. подробностей не будет.

извините не совсем понял.

Я тоже не понял, поэтому и спросил.

Ну я выключил фирефокс, чтобы уменьшить связь по сети. Оставил голый стол и проверил есть ли обмен по сетке. Есть всякие ARP запросы и прочее … т.е. у меня пока машина не спит (чел. сказал что у него не спит) то обмен есть всегда.

Ни 5, ни тем более 15 мс для пинга внутри одного vlan’а это не норма. Космические цифры

Тем более, если это с роутера и вообще только один кабель

З.Ы. пинг точно по кабелю, а не через wifi?

ARP запросы

Ну, допустим, спрашивает МАК роутера. И?

и прочее

что «прочее»? Multicast/SD-DNS/SMB запросы?

При этом «локально» т.е. с машин того же сетевого сегмента 10.10.60.0/24 «пациент» всё ещё доступен и можно зайти на него по ssh, а с машины например с 10.10.50.32 нет ни пингов ни конечно какого-то доступа.

В пределах одного сегмента они общаются по l2. Без маршрутизации

И в итоге твой комп ни при чем. Косяк на шлюзе или дальше

Ну посмотреть arp на ней точно можно. Возможность сниффить пакеты по идее тоже.

Говорят не на столько умная Циска.

И вообще, их циска зовется длинк, потом неуправляемый свитч, и все это осталось в наследтсво от предков

Врут. arp таблицу уж точно можно посмотреть

а с машины например с 10.10.50.32 нет ни пингов ни конечно какого-то доступа.

с удаленной машины во время проблемы

traceroute -T -p 22 ТВОЙ_IP

Дальше. Если из твоего сегмента и пинг, и доступ есть всегда, то это не похоже на конфликт mac

А вот на то, что тебе по глупости назначили адрес, который уже втихую висит на каком-то сетевом оборудовании - вполне

шлюз (10.10.60.21).

Или на то, что шлюзов два, и настроены черезжопу

И в итоге твой комп ни при чем. Косяк на шлюзе или дальше

Вероятность высокая )

и все это осталось в наследтсво от предков

От прошлой высокоразвитой цивилизации ) А у них лапки.

А вот на то, что тебе по глупости назначили адрес, который уже втихую висит на каком-то сетевом оборудовании - вполне

arping не показал, но проверить можно. Отключить ПК с проблемой и из другого адресного пространства послать ping, может это действительно чей-нибудь Loopback адрес.

А чей этот адрес? 10.10.60.164

Это вопрос к автору темы.

Есть всякие ARP запросы и прочее … т.е. у меня пока машина не спит (чел. сказал что у него не спит) то обмен есть всегда.

Обмен создает запущенный софт, но не более того. Если запущенному софту ничего нэтрэба от сети, то и обмена никакого не будет.

Как по вашему НетворкМанаджер это запущенный софт?

Как по вашему НетворкМанаджер это запущенный софт?

Если оно зачем-то генерит трафик, отличный от dhcp запросов, то можно считать и так.