IP: Antwort ueber anderes Interface

[Rudolf E. Steiner]

Hallo.

Ich teste gerade einige Szenarien mit Linux/Quagga/BGP-Routing.

Ich scheine dabei nach laengerer Analyse das Problem zu haben, dass Linux Pakete
ignoriert, die an einem anderen Interface ankommen, als das Interface, ueber das
die Anforderungen dieser Pakete gesendet worden sind.

Wenn also z. B. ein "ICMP-echo-request" ueber Interface "A" raus geht und der
"ICMP-echo-reply" ueber Interface "B" ankommt, sieht es fuer "ping" so aus, als
wuerde die Antwort ausbleiben. Per "tcpdump" ist das Eintreffen des "ICMP-
echo-reply" am Interface "B" aber schoen zu erkennen.

Dies betrifft "ping" genau so wie auch das Routing. Das bedeutet also, dass
seitens Linux keine Weiterleitung des Pakets stattfindet, wenn es ueber das
"falsche" Interface angeliefert wird.

Ist das ein typisches Verhalten des Linux-Kerns? Wenn ja, kann das deaktiviert
werden?

Vielen Dank schon jetzt fuer die Hilfe.

--
Rudolf E. Steiner
res-u...@communicate.at

[Stefan Enzinger]

On 2013-06-06 00:59, Rudolf E. Steiner wrote:

> Dies betrifft "ping" genau so wie auch das Routing. Das bedeutet also, dass
> seitens Linux keine Weiterleitung des Pakets stattfindet, wenn es ueber das
> "falsche" Interface angeliefert wird.
>
> Ist das ein typisches Verhalten des Linux-Kerns? Wenn ja, kann das deaktiviert
> werden?

Müsstest du nicht einfach nur ip-forward aktivieren?

# echo 1 > /proc/sys/net/ipv4/ip_forward

Solltest die halt überlegen was das sonst für Implikationen für dein
Netzwerk hat.

Oder bleibt das paket einfach nur in deiner Firewall hängen?

lg & gute nacht

[Peter J. Holzer]

On 2013-06-05 22:59, Rudolf E. Steiner <res-u...@communicate.at> wrote:
> Ich scheine dabei nach laengerer Analyse das Problem zu haben, dass Linux Pakete
> ignoriert, die an einem anderen Interface ankommen, als das Interface, ueber das
> die Anforderungen dieser Pakete gesendet worden sind.
>
> Wenn also z. B. ein "ICMP-echo-request" ueber Interface "A" raus geht und der
> "ICMP-echo-reply" ueber Interface "B" ankommt, sieht es fuer "ping" so aus, als
> wuerde die Antwort ausbleiben. Per "tcpdump" ist das Eintreffen des "ICMP-
> echo-reply" am Interface "B" aber schoen zu erkennen.
>
> Dies betrifft "ping" genau so wie auch das Routing. Das bedeutet also, dass
> seitens Linux keine Weiterleitung des Pakets stattfindet, wenn es ueber das
> "falsche" Interface angeliefert wird.

Ist der Reverse Path Filter (/proc/sys/net/ipv4/conf/*/rp_filter) aktiv?
Wenn assymetrisches Routing vorkommen kann, dann solltest Du den
abschalten.

hp


--
_ | Peter J. Holzer | Fluch der elektronischen Textverarbeitung:
|_|_) | Sysadmin WSR | Man feilt solange an seinen Text um, bis
| | | h...@hjp.at | die Satzbestandteile des Satzes nicht mehr
__/ | http://www.hjp.at/ | zusammenpa�t. -- Ralph Babel

[Rudolf E. Steiner]

Am Donnerstag, 6. Juni 2013 08:04:19 zitierte/schrieb Peter J. Holzer:

>> Ich scheine dabei nach laengerer Analyse das Problem zu haben, dass Linux
>> Pakete ignoriert, die an einem anderen Interface ankommen, als das
>> Interface, ueber das die Anforderungen dieser Pakete gesendet worden sind.

[...]

> Ist der Reverse Path Filter (/proc/sys/net/ipv4/conf/*/rp_filter) aktiv?
> Wenn assymetrisches Routing vorkommen kann, dann solltest Du den
> abschalten.

Ja, das war auf allen Interfaces aktiv und sieht schon sehr nach dem Grund des
Problems aus. Wusste gar nicht, dass es so etwas gibt. Vielen Dank fuer den
Hinweis vorerst.

Ich werde das Resultat demnaechst erkunden und darueber berichten.

[Rudolf E. Steiner]

Ich zitierte/schrieb:

>> Ist der Reverse Path Filter (/proc/sys/net/ipv4/conf/*/rp_filter) aktiv?
>> Wenn assymetrisches Routing vorkommen kann, dann solltest Du den
>> abschalten.
> Ja, das war auf allen Interfaces aktiv und sieht schon sehr nach dem Grund des
> Problems aus. Wusste gar nicht, dass es so etwas gibt.

Ja, das ist es gewesen. Jetzt tut der Router, was er tun soll.

Nochmals vielen Dank fuer die Hilfe Peter.

[Peter J. Holzer]

Gern geschehen. Ich bin achon drauf reingefallen ;-).