LINUX.ORG.RU
ФорумAdmin

Пропадает «связь» с моей машиной из-за пределов роутера сети

 


0

1

Всем алоха!

Имеем машинку с ОС Ubuntu 22.04.5 LTS, она воткнута сетевой картой в много сегментную локальную сеть предприятия и статически прописан IP адрес (10.10.60.204/24) и шлюз (10.10.60.21).
И на первый взгляд всё работает.

Но спустя рандомное время (5-60 минут) простоя машины без обращения к ней по сети пропадает видимость её из-за пределов маршрутизатора. При этом «локально» т.е. с машин того же сетевого сегмента 10.10.60.0/24 «пациент» всё ещё доступен и можно зайти на него по ssh, а с машины например с 10.10.50.32 нет ни пингов ни конечно какого-то доступа.
При этом в tcpdump или iptables -LOG нет пакетов с попытками (ARP, ICMP) а в dmesg и syslog никаких изменений, то как смена линка, или каких то ошибок.
Ситуация лечится костылём в виде ping 10.10.60.21 и сразу же возвращается нормальное поведение.
Так же ситуация не наступает пока идёт активный сетевой трафик с этой машины куда угодно, например бесконечный ping 1.1.1.1 или что угодно.


Это у меня что-то не так? Тогда что?
Сетевые админы все типа проверили, меняли порт и даже патчкорд, но решения нет.

Проверь, что нет задвоенности мак адресов или IP адресов.

Для проверки задвоенности IP адресов, с учётом, что МАК на машинах с одинаковым IP разный - с другой системы в этой же сети делаешь arping 10.10.60.204. Если будет два мака - значит есть ещё ПК с таким же адресом.

Хуже, если у другой машины совпадает и IP и МАК.

Задвоенность МАК при разных IP - смотри tcpdump широковещательные пакеты в сети с фильтрацией по твоему МАК, если будет несколько с разными адресами источника - значит есть задвоенность МАК.

Вообще, думается ты взял себе чей-то уже используемый IP.

На сетевом оборудовании можешь посмотреть ARP таблицу по портам.

Если это ВМ на proxmox и ты восстанавливал бэкап одной машины в новую, то в ней могут оказаться задвоены как мак в настройках ВМ, так и IP адрес в самой системе.

kostik87 ★★★★★
()
Последнее исправление: kostik87 (всего исправлений: 1)

Сетевые админы все типа проверили, меняли порт и даже патчкорд, но решения нет.

Какие-то плохие админы.

Ситуация лечится костылём в виде ping 10.10.60.21 и сразу же возвращается нормальное поведение.

А если сделать ping 10.10.50.32 то тоже чинится? Скорее всего чинится.

Когда не работает, запускаем на 10.10.50.32 упомянутый тобой неработающий пинг (оставляем его включённым), после чего логинимся на роутер (если доступ есть ну или админам передай), смотрим там состояние arp таблицы (конкретно ищем твой айпи-адрес в ней, если есть то проверяем правильный ли мак). Потом запускаем на роутере tcpdump -i any -n host 10.10.60.204 смотрим какие пакеты куда идут (как минимум входящие icmp он покажет, должен ещё какие-то исходящие). Запускаем на том же роутере ping 10.10.60.204 и смотрим опять же что в tcpdump-е и какие ошибки показывает пинг.

В итоге (а скорее всего даже где-то в середине) ситуация должна проясниться.

firkax ★★★★★
()
Ответ на: комментарий от kostik87

Для проверки задвоенности IP адресов, с учётом, что МАК на машинах с одинаковым IP разный - с другой системы в этой же сети делаешь arping 10.10.60.204. Если будет два мака - значит есть ещё ПК с таким же адресом.

Ответ только по одному адресу.

>arp-ping.exe 10.10.60.204
Reply that 92:0B:B4:48:B0:CE is 10.10.60.164 in 19.143ms
Reply that 92:0B:B4:48:B0:CE is 10.10.60.164 in 15.046ms
Reply that 92:0B:B4:48:B0:CE is 10.10.60.164 in 14.978ms
Reply that 92:0B:B4:48:B0:CE is 10.10.60.164 in 15.998ms

Задвоенность МАК при разных IP - смотри tcpdump широковещательные пакеты в сети с фильтрацией по твоему МАК, если будет несколько с разными адресами источника - значит есть задвоенность МАК.

пробовал принудительно менять МАС «пациента», это не влияет на ситуацию.

Вообще, думается ты взял себе чей-то уже используемый IP.

Мне его выдали админы

Spider55
() автор топика
Ответ на: комментарий от firkax

Какие-то плохие админы.

Согласен.

А если сделать ping 10.10.50.32 то тоже чинится? Скорее всего чинится.

Да лечится. Лечится ЛЮБЫМ пингом за пределы маршрутизатора.

Потом запускаем на роутере

Там какая то Циска...

Spider55
() автор топика
Ответ на: комментарий от firkax

А что такое 60.164 и чей это мак?

Бля, как-то криво скопировал, там 10.10.60.204, это я пробовал разные хосты пинговать, смотрел как и чего происходит... Сорян.

arp-ping.exe 10.10.60.204
Reply that 04:D4:C4:F3:04:D5 is 10.10.60.204 in 5.597ms
Reply that 04:D4:C4:F3:04:D5 is 10.10.60.204 in 15.022ms

Включи там tcpdump (откуда arpping делаешь), посмотри что шлётся и что принимается.

Да вроде всё ровно (Wireshark ибо с винды делаю).
Один пакет на запрос - один на ответ.

No.	Time	MAC Src	MAC Dst	Source	Destination	Protocol	Port Src	Port Dst	Length	Info
1430	10.690351	68:05:ca:26:63:23	ff:ff:ff:ff:ff:ff	68:05:ca:26:63:23	ff:ff:ff:ff:ff:ff	ARP			42	Who has 10.10.60.204? Tell 10.10.60.202
1431	10.700656	04:d4:c4:f3:04:d5	68:05:ca:26:63:23	04:d4:c4:f3:04:d5	68:05:ca:26:63:23	ARP			60	10.10.60.204 is at 04:d4:c4:f3:04:d5
1492	12.247146	68:05:ca:26:63:23	ff:ff:ff:ff:ff:ff	68:05:ca:26:63:23	ff:ff:ff:ff:ff:ff	ARP			42	Who has 10.10.60.204? Tell 10.10.60.202
1494	12.259884	04:d4:c4:f3:04:d5	68:05:ca:26:63:23	04:d4:c4:f3:04:d5	68:05:ca:26:63:23	ARP			60	10.10.60.204 is at 04:d4:c4:f3:04:d5
1517	13.808604	68:05:ca:26:63:23	ff:ff:ff:ff:ff:ff	68:05:ca:26:63:23	ff:ff:ff:ff:ff:ff	ARP			42	Who has 10.10.60.204? Tell 10.10.60.202
1518	13.819713	04:d4:c4:f3:04:d5	68:05:ca:26:63:23	04:d4:c4:f3:04:d5	68:05:ca:26:63:23	ARP			60	10.10.60.204 is at 04:d4:c4:f3:04:d5
1546	15.346249	68:05:ca:26:63:23	ff:ff:ff:ff:ff:ff	68:05:ca:26:63:23	ff:ff:ff:ff:ff:ff	ARP			42	Who has 10.10.60.204? Tell 10.10.60.202
1547	15.347835	04:d4:c4:f3:04:d5	68:05:ca:26:63:23	04:d4:c4:f3:04:d5	68:05:ca:26:63:23	ARP			60	10.10.60.204 is at 04:d4:c4:f3:04:d5

А с машины что «за пределами» подсети, просто запрос и без ответа.

Spider55
() автор топика
Ответ на: комментарий от Spider55

Почему в этом сообщении

>arp-ping.exe 10.10.60.204
Reply that 92:0B:B4:48:B0:CE is 10.10.60.164 in 19.143ms
Reply that 92:0B:B4:48:B0:CE is 10.10.60.164 in 15.046ms
Reply that 92:0B:B4:48:B0:CE is 10.10.60.164 in 14.978ms
Reply that 92:0B:B4:48:B0:CE is 10.10.60.164 in 15.998ms

И в этом сообщении в выводе aprping у сетевого интерфейса с IP адресом 10.10.60.204 разные маки?

arp-ping.exe 10.10.60.204
Reply that 04:D4:C4:F3:04:D5 is 10.10.60.204 in 5.597ms
Reply that 04:D4:C4:F3:04:D5 is 10.10.60.204 in 15.022ms
kostik87 ★★★★★
()
Ответ на: комментарий от kostik87

Хуяк и новый день!

Смотри вывод сообщений ядра.

Нет там ничего. Прям ничего нового за последние пару суток. Как загрузилось так и тшинаю.

Ну посмотреть arp на ней точно можно. Возможность сниффить пакеты по идее тоже.

Говорят не на столько умная Циска.

Я уже начинаю сдаваться :(
У них сейчас новое решение проверки. Мой комп несут в другой кабинет (другой свитч, другой сегмент), а на место моего втыкают тестовывый с моим же адресом. Будем посмотреть.

Spider55
() автор топика

10.10.60.0/24 10.10.50.32

Воняет arp proxy на Cisco с кривой сегментацией.

Сравни в arp адреса mac шлюза и целевого хоста на машине, с которой пропадает доступ.

anonymous
()
Ответ на: комментарий от anc

Ну может это особенность моего дистра, я сейчас выключил фиревокс и он мне за минуту навалил больше экрана.

sudo tcpdump -i any

(там lo меньше 5% …)

mx__ ★★★★★
()
Последнее исправление: mx__ (всего исправлений: 1)
Ответ на: комментарий от anc

Ну я выключил фирефокс, чтобы уменьшить связь по сети. Оставил голый стол и проверил есть ли обмен по сетке. Есть всякие ARP запросы и прочее … т.е. у меня пока машина не спит (чел. сказал что у него не спит) то обмен есть всегда.

mx__ ★★★★★
()
Ответ на: комментарий от Spider55

Ни 5, ни тем более 15 мс для пинга внутри одного vlan’а это не норма. Космические цифры

Тем более, если это с роутера и вообще только один кабель

З.Ы. пинг точно по кабелю, а не через wifi?

router ★★★★★
()
Последнее исправление: router (всего исправлений: 1)

При этом «локально» т.е. с машин того же сетевого сегмента 10.10.60.0/24 «пациент» всё ещё доступен и можно зайти на него по ssh, а с машины например с 10.10.50.32 нет ни пингов ни конечно какого-то доступа.

В пределах одного сегмента они общаются по l2. Без маршрутизации

И в итоге твой комп ни при чем. Косяк на шлюзе или дальше

Ну посмотреть arp на ней точно можно. Возможность сниффить пакеты по идее тоже.

Говорят не на столько умная Циска.

И вообще, их циска зовется длинк, потом неуправляемый свитч, и все это осталось в наследтсво от предков

Врут. arp таблицу уж точно можно посмотреть

а с машины например с 10.10.50.32 нет ни пингов ни конечно какого-то доступа.

с удаленной машины во время проблемы

traceroute -T -p 22 ТВОЙ_IP

Дальше. Если из твоего сегмента и пинг, и доступ есть всегда, то это не похоже на конфликт mac

А вот на то, что тебе по глупости назначили адрес, который уже втихую висит на каком-то сетевом оборудовании - вполне

шлюз (10.10.60.21).

Или на то, что шлюзов два, и настроены черезжопу

router ★★★★★
()
Последнее исправление: router (всего исправлений: 1)
Ответ на: комментарий от router

И в итоге твой комп ни при чем. Косяк на шлюзе или дальше

Вероятность высокая )

и все это осталось в наследтсво от предков

От прошлой высокоразвитой цивилизации ) А у них лапки.

А вот на то, что тебе по глупости назначили адрес, который уже втихую висит на каком-то сетевом оборудовании - вполне

arping не показал, но проверить можно. Отключить ПК с проблемой и из другого адресного пространства послать ping, может это действительно чей-нибудь Loopback адрес.

kostik87 ★★★★★
()
Ответ на: комментарий от mx__

Есть всякие ARP запросы и прочее … т.е. у меня пока машина не спит (чел. сказал что у него не спит) то обмен есть всегда.

Обмен создает запущенный софт, но не более того. Если запущенному софту ничего нэтрэба от сети, то и обмена никакого не будет.

anc ★★★★★
()