Onverklaarbare route keuze - Linux en overige clients

woensdag 4 februari 2015 18:15

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Bij OVH heb ik een tweetal (dedicated) servers staan welke in configuratie sterk aan elkaar gelijk zijn. Deze zijn ingericht om VM's op te kunnen draaien middels KVM / libvirt.

Op beide servers gebruik ik een secundair (additioneel) IP adres die via een bridge het secundaire IP aan een firewall VM koppeld om VPN verkeer op te vangen.

Het additioneel IP staat als volgt naar de bridge verwezen

code:

1
2
3

default via 37.187.XX.XX dev doorway0 
37.187.XX.0/24 dev doorway0  proto kernel  scope link  src 37.187.XX.XX 
188.165.XX.XX dev doorway0  scope link

De firewall VM is vervolgens aan de bridge gekoppeld (en zoals dat bij OVH gaat voorzien van een specifiek virtueel MAC adres).

Nu is het dilemma dat ik bij de eerste server gewoon (vanaf de dedicated server) het additioneel ip kan bereiken, maar bij de tweede word ik naar een ander ip gerouteerd en kom ik niet op de bestemming aan. Logischerwijs zou ik zeggen dat omdat deze routing beslissing gemaakt word door mijn server het ergens in de settings gedefinieerd moet zijn dat er voor deze route gekozen word maar dat kan ik nergens terug vinden.

kan iemand me een hint in de juiste richting geven?

woensdag 4 februari 2015 20:24

Acties:

0 Henk 'm!

CAPSLOCK2000

zie teletekst pagina 888

Is 188.165.xx.xx het secundaire IP en doorway0 je brdige?
Beide IP-adressen lopen via dezelfde bridge?
Gaat het verkeer van je dedicated server ook via de firewall of gaat dat direct naar buiten?
Is het IP wel goed geconfigureerd op je firewall VM?
Is dit je hele route-tabel of is er meer?
Wat laat 'ip rule' zien?
Doe je iets met iptables op de host?

[ Voor 17% gewijzigd door CAPSLOCK2000 op 04-02-2015 20:25 ]

This post is warranted for the full amount you paid me for it.

donderdag 5 februari 2015 10:01

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

doorway0 is de bridge
188.165.xx.xx is het secundaire IP, vandaar dat dit specifieke adres geroute is op de bridge
het verkeer van de dedicated server gaat direct naar buiten
Op de firewall VM is het adres goed geconfigged, vanaf een extern adres kan er ook mee gecommuniceerd worden.
Om alles terug te brengen naar een simpel scenario ivm troubleshooten is dit inderdaad de volledgie tabel

ip rule

code:

1
2
3

0:      from all lookup local 
32766:  from all lookup main 
32767:  from all lookup default

iptables heeft ook ivm. troubleshooten enkel want allowed input en allowed forward aan staan.
ook is de forward op allowed gezet (net.ipv4.conf.doorway0.forwarding)

donderdag 5 februari 2015 15:29

Acties:

0 Henk 'm!

CAPSLOCK2000

zie teletekst pagina 888

Zie je misschien iets bijzonders in:
ip route show table main
ip route show table default
ip neigh show

Je schrijft dat je naar een ander IP geroute wordt. Welk ip is dat (als je dat wil delen)? Heeft dat iets te maken met de IP's die jij in gebruik hebt?
Welk MAC-adres wordt daar voor gebruikt?
Als je tcpdump draait op de vm, zie je dan het verkeer van de host op de gebridgte interface?

[ Voor 18% gewijzigd door CAPSLOCK2000 op 05-02-2015 15:30 ]

This post is warranted for the full amount you paid me for it.

donderdag 5 februari 2015 18:29

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Het bleek om een fout ARP antwoord te gaan van een van de interfaces.
CAPSLOCK2000, jou suggesties hebben me regelrecht richting de oplossing gepushed,
waarvoor veel dank

Het is opgelost door de arp_ignore op de betreffende interface aan te zetten;
sysctl -w net.ipv4.conf.fruitvlieg0.arp_ignore=1