Xen bridge sieht keine Pakete (arp Problem?)
Chris Cohen
auf einem Ubuntu Server habe ich Xen-3.2 installiert.
Xen soll eth1 für die DomUs nutzen, weshalb ich in /e/x/xend-config.sxp
(network-script 'network-bridge netdev=eth1') abgeändert habe.
Ich habe eben testweise eine vm mit den xen-tools erstellt und habe jetzt
eine Bridge 'eth1' mit den Interfaces peth1 und vif1.0.
Gebe ich der Bridge eth1 in der dom0 einfach eine IP-Adresse aus dem
passenden Netz funktioniert alles wie gewollt. Setze ich aus der Dom0 aber
einen Ping auf die IP-Adresse von eth1 ab sehe ich mit tcpdump nur:
14:57:44.516754 arp who-has 10.1.32.100 tell bender
14:57:44.516773 arp reply 10.1.32.100 is-at 00:1d:7d:af:1e:3e (oui Unknown)
14:57:45.524318 arp who-has 10.1.32.100 tell bender
14:57:45.524330 arp reply 10.1.32.100 is-at 00:1d:7d:af:1e:3e (oui Unknown)
14:57:46.523851 arp who-has 10.1.32.100 tell bender
14:57:46.523869 arp reply 10.1.32.100 is-at 00:1d:7d:af:1e:3e (oui Unknown)
Das selbe gilt für jede andere Adresse in dem Netz.
Ich hoffe ich hab' mich halbwegs verständlich ausgedrückt ;)
(DomU -> arp requests, nichts weiter; Dom0, selbes IF, selbe IP -> kein
Problem)
--
Greetings
Chris
Chris Cohen
> Chris Cohen wrote:
>> Ich hoffe ich hab' mich halbwegs verständlich ausgedrückt ;)
>
> Ehrlich gesagt nein. Ich kann nicht so wirklich nachvollziehen was Du
> da nun machst, zumal ich den verdacht habe, daß Du zumindest an einer
> Stelle Dom0 und DomU in Deiner Beschreibung vertauscht hast.
Ich habs geahnt...
>
> Aber: Ich persönlich mag die Art und Weise wie Xen die Bridge einrichtet
> sowieso nicht (also dass z.B. ethX in pethX umbenannt wird, dann die IP
> kopiert wird etc). Ich finde es deutlich übersichtlicher, stattdessen
> die Bridge von Debian (Du verwendest Ubuntu, ich gehe aber aus, daß das
> 1:1 übertragbar ist) einrichten zu lassen. Ich beschreibe mal, was ich
> gemacht habe, vielleicht magst Du das ja auch so machen.
Ja, ging mir auch irgendwie gegen den Strich, zumal das bei NetBSD afaik
damals(tm) auch so gemacht wurde.
>
> In /etc/network/interfaces habe ich die Bridge direkt wie folgt
> konfiguriert:
>
> | auto xenbr0
> | iface xenbr0 inet static
> | address 1.2.3.4
> | netmask 255.255.255.0
> | gateway 1.2.3.1
> | bridge_ports eth0
>
> Hier würdest Du entsprechen Deine IPs eintragen und statt eth0 dann eben
> eth1 angeben.
>
> In der xend-config.sxp habe ich dann als network-script nur noch das
> network-dummy genommen (es ist ja kein Setup mehr nötig) und als
> vif-script wie gehabt vif-bridge.
>
> Vielleicht löst das ja auch Dein Problem, zumindest ich finde dieses
> Setup deutlich leichter zu verstehen.
>
Das habe ich jetzt mal gemacht. Jetzt schauts bei mir in der Dom0 so aus:
root@fry:~# brctl show
bridge name bridge id STP enabled interfaces
xenbr 8000.001d7daf1e3e no eth1
vif1.0
root@fry:~# ifconfig
eth0 Link encap:Ethernet HWaddr 00:0e:0c:aa:8b:6c
inet addr:10.1.16.250 Bcast:10.1.16.255 Mask:255.255.255.0
inet6 addr: fe80::20e:cff:feaa:8b6c/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:731 errors:0 dropped:0 overruns:0 frame:0
TX packets:483 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:70462 (68.8 KB) TX bytes:75930 (74.1 KB)
Base address:0xdf00 Memory:fdda0000-fddc0000
eth1 Link encap:Ethernet HWaddr 00:1d:7d:af:1e:3e
inet6 addr: fe80::21d:7dff:feaf:1e3e/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:35 errors:0 dropped:0 overruns:0 frame:0
TX packets:51 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:2940 (2.8 KB) TX bytes:3688 (3.6 KB)
Interrupt:23 Base address:0xe000
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
vif1.0 Link encap:Ethernet HWaddr fe:ff:ff:ff:ff:ff
inet6 addr: fe80::fcff:ffff:feff:ffff/64 Scope:Link
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
RX packets:35 errors:0 dropped:0 overruns:0 frame:0
TX packets:24 errors:0 dropped:3 overruns:0 carrier:0
collisions:0 txqueuelen:32
RX bytes:1196 (1.1 KB) TX bytes:1328 (1.2 KB)
xenbr Link encap:Ethernet HWaddr 00:1d:7d:af:1e:3e
inet addr:10.1.32.100 Bcast:10.1.32.255 Mask:255.255.255.0
inet6 addr: fe80::21d:7dff:feaf:1e3e/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:45 errors:0 dropped:0 overruns:0 frame:0
TX packets:38 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:2542 (2.4 KB) TX bytes:2664 (2.6 KB)
... wobei xenbr später keine IP-Adresse mehr haben wird.
Und in der DomU:
root@bender:~# ifconfig
eth0 Link encap:Ethernet HWaddr 00:16:3e:ec:36:87
inet addr:10.1.32.10 Bcast:10.1.32.255 Mask:255.255.255.0
inet6 addr: fe80::216:3eff:feec:3687/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:35 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 B) TX bytes:1686 (1.6 KB)
Mein Problem hat das aber leider nicht gelöst: (Ich versuchs einfach nochmal
verständlicher zu machen :))
Ein ping von DomU auf die IP-Adresse von xenbr:
root@bender:~# ping -c 3 10.1.32.100
PING 10.1.32.100 (10.1.32.100) 56(84) bytes of data.
From 10.1.32.10 icmp_seq=1 Destination Host Unreachable
From 10.1.32.10 icmp_seq=2 Destination Host Unreachable
From 10.1.32.10 icmp_seq=3 Destination Host Unreachable
Tcpdump in der Dom0 auf die xenbr:
root@fry:~# tcpdump -i xenbr
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on xenbr, link-type EN10MB (Ethernet), capture size 96 bytes
16:12:34.304945 arp who-has 10.1.32.100 tell bender
16:12:34.306489 arp reply 10.1.32.100 is-at 00:1d:7d:af:1e:3e (oui Unknown)
16:12:34.305643 IP 10.1.32.100.56054 > ns1.unixhosts.org.domain: 12446+ PTR?
100.32.1.10.in-addr.arpa. (42)
16:12:34.306299 IP ns1.unixhosts.org.domain > 10.1.32.100.56054: 12446
NXDomain* 0/1/0 (106)
16:12:34.306702 IP 10.1.32.100.46370 > ns1.unixhosts.org.domain: 5753+ PTR?
2.32.1.10.in-addr.arpa. (40)
16:12:34.307152 IP ns1.unixhosts.org.domain > 10.1.32.100.46370: 5753* 1/1/1
PTR[|domain]
16:12:35.304938 arp who-has 10.1.32.100 tell bender
16:12:35.304956 arp reply 10.1.32.100 is-at 00:1d:7d:af:1e:3e (oui Unknown)
16:12:36.304995 arp who-has 10.1.32.100 tell bender
16:12:36.305000 arp reply 10.1.32.100 is-at 00:1d:7d:af:1e:3e (oui Unknown)
16:12:39.305669 arp who-has ns1.unixhosts.org tell 10.1.32.100
16:12:39.305779 arp reply ns1.unixhosts.org is-at 00:50:8b:95:a4:d2 (oui
Unknown)
Das selbe bei jedem anderen Host an eth1.
Die xenbr "sieht" die echo requests also garnicht erst.
Danke schonmal für die Hilfe.
--
Greetings
Chris
Chris Cohen
> Werden überhaupt welche geschickt? Das Auftreten von mehrfachen
> ARP-Anfragen hintereinander spricht eher dafür, daß die ARP-Antworten
> gar nicht in die DomU durchdringen. Mach den Ping doch noch einmal
> und ruf dann in der DomU "arp" auf. Wenn ARP funktioniert, solltest
> Du dort die MAC-Adresse der Bridge sehen.
>
Nein, die arp Tabelle in der DomU ist leer. :(
Und nu?
--
Greetings
Chris
Chris Cohen
> Chris Cohen wrote:
>> Nein, die arp Tabelle in der DomU ist leer. :(
>
> Kommen die ARP-Replies in der DomU denn an? Was sagt denn ein tcpdump in
> der DomU?
>
In der DomU sehe ich nur die Requests. Die Replies kommen nicht durch:
19:37:51.598095 arp who-has 10.1.32.1 tell bender
19:37:52.606111 arp who-has 10.1.32.1 tell bender
19:37:53.606183 arp who-has 10.1.32.1 tell bender
19:37:54.606250 arp who-has 10.1.32.1 tell bender
19:37:55.614321 arp who-has 10.1.32.1 tell bender
19:37:56.614385 arp who-has 10.1.32.1 tell bender
19:37:57.614406 arp who-has 10.1.32.1 tell bender
19:37:58.622477 arp who-has 10.1.32.1 tell bender
19:37:59.622551 arp who-has 10.1.32.1 tell bender
19:38:00.622567 arp who-has 10.1.32.1 tell bender
19:38:01.630639 arp who-has 10.1.32.1 tell bender
19:38:02.630708 arp who-has 10.1.32.1 tell bender
--
Greetings
Chris
Chris Cohen
> Hmm, sehr seltsam.
Ja!
> Irgendwelche bridge-Firewall-Regeln in der dom0?
> Was sagt ebtables -L?
Ebtables ist garnicht installiert.
--
Greetings
Chris