Почему не работает утилита traceroute? (Проверяем доступность узла в локальной сети.)

[жучара]

Друзья! Debian 9.
Есть соединение her и в нём шлюз по умолчанию:

И этот шлюз доступен:

На всякий случай- адрес шлюза отличен от собственного ip-адреса, то есть шлюз находится на другом компе:

traceroute вообще работает. Вот трассировка до шлюза по умолчанию:


А теперь, применим traceroute к какому-нибудь адресу; в списке узлов первым должен появиться шлюз по умолчанию. Какой-нибудь вырожденный ip-адрес возьмём:


Чёрта с два. А вот тот же эксперимент на реальной машине. Первый же узел- шлюз по умолчанию, как и должно быть

Shell

user@astra:~$ nmcli device show | grep IP4.GATEWAY
IP4.GATEWAY: 192.168.1.251
IP4.GATEWAY: --
use@astra:~$
use@astra:~$ traceroute -m 4 1.1.1.1
traceroute to 1.1.1.1 (1.1.1.1), 4 hops max, 60 byte packets
1 192.168.1.251 (192.168.1.251) 0.445 ms 0.723 ms 1.011 ms
2 85.116.126.98 (85.116.126.98) 8.744 ms 8.855 ms 9.540 ms
3 87.226.151.114 (87.226.151.114) 9.851 ms 87.226.151.96 (87.226.151.96) 9.669 ms 87.226.151.114 (87.226.151.114) 9.977 ms
4 87.226.133.121 (87.226.133.121) 54.390 ms 188.128.126.81 (188.128.126.81) 51.265 ms 87.226.133.121 (87.226.133.121) 54.321 ms
user@astra:~$

ЧЯДНТ? Спасибо, кто откликнется.

[olecya]

А шлюз имеет доступ к интернету и соответственно к днс? Попробуйте обычные команды

Код: Выделить всё

ip r

и

Код: Выделить всё

host ya.ru

Добавлено (22:15):

Похоже ваш шлюз это обычная машина, она будет пинговаться но работать как шлюз она откажется

[жучара]

А шлюз имеет доступ к интернету и соответственно к днс?

а зачем мне dns? Мне dns не нужен совсем.

[olecya]

а зачем мне dns? Мне dns не нужен совсем.

Если на исходной машине вы назначили шлюзом вторую машину то это не превращает ее автоматом в шлюз. Для этого надо чтобы она имела 2 поднятых сетевых интерфейса. Включеную переадресацию пакетов в ядре и настроенный NAT в сетевом фильтре.
Без ДНС машины не могут знать путь находящийся дальше одной сети

[Bizdelnick]

DNS тут, конечно, ни при чём. Но вопрос, что это за машина в качестве шлюза прописана, вполне уместен. Как и просьба показать вывод ip r. А лучше — ip r get 1.1.1.1.
Ответ на главный вопрос

Почему не работает утилита traceroute?

простой: она работает ровно так, как должна. Просто шлюз не шлёт обратно ICMP "time exceeded". Почему? Потому что так настроен. Или недонастроен. Или не показанная Вами таблица маршрутизации настроена так, что пакеты идут не через него.
Почему следующие хопы тоже ничего не шлют в ответ? А фиг их знает. Может, шлюз им ничего и не пересылает. Может, на нём вообще форвардинг отключён, или файрвол все пакеты дропает. 1.1.1.1 в принципе пингуется или нет?

[Hephaestus]

жучара
Откажитесь от идеи скриншотов и организуйте нормальный процесс copy/paste.
Как? С помощью ssh. Подключитесь к виртуалке по ssh и копируйте текст себе на здоровье.

Скриншоты из консоли... Это, конечно, бывает, но всего надо в меру.

[жучара]

1.1.1.1 в принципе пингуется или нет?

1.1.1.1 не пингуется, это придуманный адрес.
...может, действительно следовало начать с пинга?
Вот схема:

2 соединения. И там и там архитектура соединения шина. Красным показано, что не пингуется.

Shell

PING 192.168.2.2 (192.168.2.2) 56(84) bytes of data.

--- 192.168.2.2 ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 3042ms

Таблица arp на машине 111 ЕСТЕСТВЕННО в порядке:

Shell

Address HWtype HWaddress Flags Mask Iface
192.168.1.251 (incomplete) enp0s3
192.168.2.2 ether 08:00:27:cb:0c:2c C enp0s8
192.168.1.1 ether 08:00:27:26:66:6b C enp0s3

жучара
Откажитесь от идеи скриншотов и организуйте нормальный процесс copy/paste.
Как? С помощью ssh. Подключитесь к виртуалке по ssh и копируйте текст себе на здоровье.

Скриншоты из консоли... Это, конечно, бывает, но всего надо в меру.

не подсоединиться (см. рисунок), буду через флэшку гонять.

[жучара]

1.1.1.1 в принципе пингуется или нет?

1.1.1.1 не пингуется, это придуманный адрес.
...может, действительно следовало начать с пинга?
Вот схема:
сеть.png

2 соединения. И там и там архитектура соединения шина. Красным показано, что не пингуется.

Shell

PING 192.168.2.2 (192.168.2.2) 56(84) bytes of data.

--- 192.168.2.2 ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 3042ms

Таблица arp на машине 111 ЕСТЕСТВЕННО в порядке:

Shell

Address HWtype HWaddress Flags Mask Iface
192.168.1.251 (incomplete) enp0s3
192.168.2.2 ether 08:00:27:cb:0c:2c C enp0s8
192.168.1.1 ether 08:00:27:26:66:6b C enp0s3

жучара
Откажитесь от идеи скриншотов и организуйте нормальный процесс copy/paste.
Как? С помощью ssh. Подключитесь к виртуалке по ssh и копируйте текст себе на здоровье.

Скриншоты из консоли... Это, конечно, бывает, но всего надо в меру.

не подсоединиться (см. рисунок), буду через флэшку гонять.

P.S. при необходимости можно поставить пакет tshark

[Bizdelnick]

1.1.1.1 не пингуется, это придуманный адрес.

Это адрес публичного DNS CloudFlare, должен отовсюду пинговаться.

Вот схема

Казалось бы, какое это имеет отношение к первоначальному вопросу…

Таблица arp на машине 111 ЕСТЕСТВЕННО в порядке:

Про таблицу ARP, вроде, никто и не спрашивал. Спрашивали про таблицу маршрутизации. И не на 111, а на 000 и 222. А конкретно интересует вывод ip r get 192.168.2.2 на 000, ip r get 192.168.1.1 на 222 и ip r на обеих машинах. Если вдруг окажется, что приведённая Вами схема тоже выдуманная, то выложите реальную с выводом соответствующих команд.

Дальше. Вы не уточнили, где именно там Debian9, но исхожу из того, что на 111 таки тоже какой-то linux. Включён ли там форвардинг? cat /proc/sys/net/ipv4/ip_forward
Что выведет iptables-save (от root)?

P. S. Не стоит пытаться «упростить» задачу, скрывая часть её условий. Экстрасенсы подались в бизнес и на форум больше не ходят.

[Hephaestus]

не подсоединиться (см. рисунок), буду через флэшку гонять.

Рисунок тут вообще ни при чём. Доступ к гостевой по ssh - это слегка иная задача,
чем просто настройка сети/шлюзов.

[жучара]

Казалось бы, какое это имеет отношение к первоначальному вопросу…

с самого начала было всё описано. Теперь вот ещё и обрисовано.

ip r get 192.168.2.2 на 000

Shell

192.168.2.2 via 192.168.1.2 dev enp0s3 src 192.168.1.1
cache

ip r get 192.168.1.1 на 222

Shell

192.168.1.1 via 192.168.2.1 dev enp0s3 src 192.168.2.2
cache

ip r на обеих машинах.

Shell

default via 192.168.1.2 dev enp0s3 proto static metric 100
192.168.1.0/24 dev enp0s3 proto kernel scope link src 192.168.1.1 metric 100

Shell

default via 192.168.2.1 dev enp0s3 proto static metric 100
192.168.2.0/24 dev enp0s3 proto kernel scope link src 192.168.2.2 metric 100

Если вдруг окажется, что приведённая Вами схема тоже выдуманная, то выложите реальную с выводом соответствующих команд.

в смысле тоже? Я и до этого словом нигде не соврал.

Дальше. Вы не уточнили, где именно там Debian9, но исхожу из того, что на 111 таки тоже какой-то linux.

везде.

cat /proc/sys/net/ipv4/ip_forward

Shell

0

Что выведет iptables-save (от root)?

ничего не выводит

[жучара]

не подсоединиться (см. рисунок), буду через флэшку гонять.

Рисунок тут вообще ни при чём. Доступ к гостевой по ssh - это слегка иная задача,
чем просто настройка сети/шлюзов.

чтобы соединиься по протоколу ssh, до этого нужно соединиться КАК-НИБУДЬ, например, виртуальными проводами. Соединение "внутренняя сеть" этого не предполагает. Внутренняя и внутренняя. Архитектура шина. Нет связи с внешним миром.

https://losst.ru/nastrojka-seti-virtualbox#5_%D0%92%D0%BD%D1%83%D1%82%D1%80%D0%B5%D0%BD%D0%BD%D1%8F%D1%8F_%D1%81%D0%B5%D1%82%D1%8C_VirtualBox

Это чтобы так было, мне нужно задействовать ещё один адаптер а на нём делать соединение, например, сетевой мост (не уверен)
https://losst.ru/nastrojka-seti-virtualbox#4_%D0%9D%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0_%D1%81%D0%B5%D1%82%D0%B5%D0%B2%D0%BE%D0%B3%D0%BE_%D0%BC%D0%BE%D1%81%D1%82%D0%B0_VirtualBox

Но это усложнит вопрос. И хотя мне сказано не упрощать задачу, я всё же её упрощу, не буду делать ещё соединения для протокола ssh

[Bizdelnick]

cat /proc/sys/net/ipv4/ip_forward

Shell

0

В /etc/sysctl.conf раскомментируйте строку

Код: Выделить всё

net.ipv4.ip_forward=1

и сделайте sysctl -p (от root).
Если после этого всё заработает, но у Вас появится сильное желание высказать возмущение по поводу того, что это где-то не было описано, лучше воздержитесь. Описано везде, где только можно.

[Hephaestus]

Это чтобы так было, мне нужно задействовать ещё один адаптер а на нём делать соединение, например, сетевой мост (не уверен)

Странно, что Вы не уверены.
По Вашей ссылке прямым текстом написано:

Режим внутренняя сеть Virtualbox похож на "Виртуальный адаптер хоста", за тем лишь исключением, что из хостовой системы доступа к гостевым не будет

То есть сейчас у Вас "внутренняя сеть".
Выбрав "виртуальный адаптер хоста", Вы получите всё то же самое, что и сейчас, плюс доступ от хоста к гостевым.
Насчет того, что нужно будет ещё один адаптер - это, пожалуй, правда. Так будет лучше.

Но это усложнит вопрос.

Этот вопрос не более сложный, чем любой другой из Ваших вопросов.
Но Вы же экспериментируете. В порядке эксперимента это, как минимум, было бы интересно.

не буду делать ещё соединения для протокола ssh

Это Ваше право. Никто не заставляет.
Однако Вы ставите эксперименты. И задаете вопросы. И не всегда всё тривиально.
При этом система у Вас без графиаи.
Поэтому предполагаю, что Вам еще не раз придется предъявлять вывод консольных команд.
А раз так, интрига здесь только в одном: насколько быстро Вам надоест вся эта возня с созданием скриншотов, размещением их где-то на хостинге, перекидыванием текстовой инфы через флешку и прочими "обходными путями" вместо того, чтобы просто сделать copy/paste.

[devilr]

Так в виртуалках copy/paste тоже вполне себе работают. По крайней мере в VB. А скриншоты выгодны только одним - через некоторое время сторонние ресурсы "протухнут" и никто, при необходимости, не сможет найти здесь решение. Очень удобно.
P.S. Именно поэтому, совершенно не хочется помогать таким "фотографам".

[Hephaestus]

Так в виртуалках copy/paste тоже вполне себе работают.

В данном случае на виртуалке нет иксов.
Голая консоль. Если подкинете идею, как в этих условиях сделать copy/paste,
с интересом ознакомлюсь.

Добавлено (09:01):

жучара
У Вас на картинке три машины.
Если все три - виртуальные, и на всех трех режим "внутренняя сеть", то что Вы хотите от шлюза?
Понятно, что никакой traceroute ни на какой адрес 1.1.1.1 ничего пересылать не будет.
Просто в силу режима "внутренняя сеть".
Если же одна из этих машин всё-таки имеет выход в внешнюю сеть (а это должен быть отдельный сетевой интерфейс), то на Ваших картинках этого нигде не видно.
Видно лишь замкнутую сеть из трех машин с адресами класса "C".
С какого боку это всё должно взаимодействовать с 1.1.1.1, который является внешним?

[жучара]

Добавлено (30.08.2020 09:01):

жучара
У Вас на картинке три машины.
Если все три - виртуальные, и на всех трех режим "внутренняя сеть", то что Вы хотите от шлюза?
Понятно, что никакой traceroute ни на какой адрес 1.1.1.1 ничего пересылать не будет.
Просто в силу режима "внутренняя сеть".
Если же одна из этих машин всё-таки имеет выход в внешнюю сеть (а это должен быть отдельный сетевой интерфейс), то на Ваших картинках этого нигде не видно.
Видно лишь замкнутую сеть из трех машин с адресами класса "C".
С какого боку это всё должно взаимодействовать с 1.1.1.1, который является внешним?

Писал же:

А теперь, применим traceroute к какому-нибудь адресу; в списке узлов первым должен появиться шлюз по умолчанию

То есть трассировка успешной быть не должна, это и ежу понятно. А ожидалось- см. фразу выше.

[Hephaestus]

Писал же:

А теперь, применим traceroute к какому-нибудь адресу; в списке узлов первым должен появиться шлюз по умолчанию

То есть трассировка успешной быть не должна, это и ежу понятно. А ожидалось- см. фразу выше.

Вот если бы Вы попробовали traceroute от машины 000 к машине 222 или от 222 к 000,
возможно Вы и получили бы адрес шлюза первым в списке. Вы это пробовали, кстати?

Но скорее всего, Вы не получили бы ничего, потому что в Вашей схеме ни одна из машин не настроена как шлюз.

Что такое шлюз? Это машина для пересылки сетевых пакетов из одной подсети в другую.
То есть такая машина должна иметь интерфейс для каждой из подсетей, и должно быть настроено перенаправление пакетов между этими подсетями.
Машина с двумя адресами на Вашей картинке есть, а перенаправление на ней настроено?
Как именно его настроить, Вам уже рассказали в этой теме.

Мне, помнится, для начала хватило написанного здесь
И только потом я уже дополнял правила.
Настраивал тоже на Debian, кстати.

[жучара]

Продолжим наши изыскания. Задание отличается тем, что пингуется с КОНКРЕТНОГО адреса. Задание вырождено, хоть мне велят не упрощать задачу, я всё же рискнул упростить потому, что иначе пришлось бы рисовать два миллиарда компьютеров. А так всего два.

Безымянный_0.png (33.42 КБ) 4267 просмотров

Итак, два компа, соединены между собой, архитектура соединения шина, на обоих Debian 9, виртуалка. На каждом компе по два соединения. Всё поднятно. Шлюзы, музы, таблицы arp, всё нормально, (я с самого начала за этим следил), даже это сделано. Адреса 192.168.2.2 и 192.168.2.1 принадлежат одной локальной сети, которая упомянута (провод меж двумя компами кинули и всё.)

Ну всё, собсно. Нарисовано, чё пингуется, а чё нет. На всякий случай. Сперва удачные пинги в одну и другую сторону.

Удачные пинги
На машине debian1122, ping -c 2 -I 192.168.1.1 192.168.2.1

Shell

PING 192.168.2.1 (192.168.2.1) from 192.168.1.1 : 56(84) bytes of data.
64 bytes from 192.168.2.1: icmp_seq=1 ttl=64 time=4.21 ms
64 bytes from 192.168.2.1: icmp_seq=2 ttl=64 time=0.360 ms

--- 192.168.2.1 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 0.360/2.287/4.214/1.927 ms

На машине debian2132, ping -c 2 -I 192.168.2.1 192.168.1.1

Shell

PING 192.168.1.1 (192.168.1.1) from 192.168.2.1 : 56(84) bytes of data.
64 bytes from 192.168.1.1: icmp_seq=1 ttl=64 time=0.406 ms
64 bytes from 192.168.1.1: icmp_seq=2 ttl=64 time=0.409 ms

--- 192.168.1.1 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 0.406/0.407/0.409/0.020 ms

==============================================

Неудачные пинги
На машине debian1122, ping -c 2 -I 192.168.2.2 192.168.3.2

Shell

PING 192.168.3.2 (192.168.3.2) from 192.168.2.2 : 56(84) bytes of data.
From 192.168.2.2 icmp_seq=1 Destination Host Unreachable
From 192.168.2.2 icmp_seq=2 Destination Host Unreachable

--- 192.168.3.2 ping statistics ---
2 packets transmitted, 0 received, +2 errors, 100% packet loss, time 1018ms
pipe 2

На машине debian2132, ping -c 2 -I 192.168.3.2 192.168.2.2

Shell

PING 192.168.2.2 (192.168.2.2) from 192.168.3.2 : 56(84) bytes of data.

--- 192.168.2.2 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 1021ms

Конечно же, выложу всю необходимую информацию, просто щас заваливать сообщение листингами неохота.

[olecya]

Ну вот похоже шлюз между двумя сетями 192.168.2.0/24 192.168.3.0/24 и не настроен

[жучара]

Ну вот похоже шлюз между двумя сетями 192.168.2.0/24 192.168.3.0/24 и не настроен

настроен и был настроен:

[olecya]

У вас два физических компьютера. На каждом поднят мост и есть по одному физическому адресу. В каждом мосту включено еще по одному интерфейсу от виртуальных машин. И того у вас по одному физическому адресу с каждой стороны являющиеся для виртуальных машин шлюзом? Правильно? Или можете блок схему нарисовать узлов и их подключения между собой. Сделайте это фламастером на листе бумаги что ли?

Добавлено (19:56):

Если я права, теперь настраивайте таблицу NAT на физических машинах для соединения виртуалок между собой. Наверное через iptable у вас правила задаются?

[жучара]

У вас два физических компьютера.

нет, это виртуальные компьютеры. И сеть между ними тоже виртуальная.

[Hephaestus]

хоть мне велят не упрощать задачу

Вас просили не упрощать задачу в смысле "не скрывать детали, которые могут оказаться существенными".
Но именно это у Вас получается плохо.

Шлюзы, музы, таблицы arp, всё нормально

Не всё.
Давайте попробуем так: попробуйте ответить на вопрос.
С целью, так сказать, понимания процесса, а не просто тупого выполнения инструкций.
Дано:
у вас есть две машины 192.168.2.2 и 192.168.3.2. Судя по Вашей картинке, они не пингуются.
Просто так они пинговаться не будут, ибо адреса в разных подсетях. Это понятно.
Итак, вопрос: Что по-Вашему необходимо сделать (и что Вы сделали), для того чтобы эти две машины пинговались?
Попробуйте дать ответ на этот вопрос и проверьте, всё ли сделано. Я думаю, Вы убедитесь, что сделано не всё.
Подсказка: Ничего нового в этом вопросе нет, всё уже обсуждалось в этой теме.

[жучара]

хоть мне велят не упрощать задачу

Вас просили не упрощать задачу в смысле "не скрывать детали, которые могут оказаться существенными".
Но именно это у Вас получается плохо.

Шлюзы, музы, таблицы arp, всё нормально

Не всё.
Давайте попробуем так: попробуйте ответить на вопрос.
С целью, так сказать, понимания процесса, а не просто тупого выполнения инструкций.
Дано:
у вас есть две машины 192.168.2.2 и 192.168.3.2. Судя по Вашей картинке, они не пингуются.
Просто так они пинговаться не будут, ибо адреса в разных подсетях. Это понятно.
Итак, вопрос: Что по-Вашему необходимо сделать (и что Вы сделали), для того чтобы эти две машины пинговались?
Попробуйте дать ответ на этот вопрос и проверьте, всё ли сделано. Я думаю, Вы убедитесь, что сделано не всё.
Подсказка: Ничего нового в этом вопросе нет, всё уже обсуждалось в этой теме.

нужно было разрешить машине перекидывать пинги с одного интерфейса на другой. Я это сделал. Всё. Таблица маршрутизации тут даром не нужна, (если вы про неё) потому, что пингуемые адреса принадлежат сетям, которые как бы примыкают к компу.
Шлюзы по умолчанию никто не проверял, к arp-таблицам вопросов не было. Поверили, что у меня всё в ажуре, что верно.

[olecya]

Мы так далеко не уедем. Будете мучится сами и мучить других. Давайте разъясним топологию.
У вас один физический компьютер на котором запущены 4 виртуальных десктопа. И 2 виртуальных шлюза которые подключены в мост на физическом компьютере?

Добавлено (20:29):

Или один шлюз с 4 поднятыми интерфейсами?

[жучара]

Мы так далеко не уедем. Будете мучится сами и мучить других. Давайте разъясним топологию.
У вас один физический компьютер на котором запущены 4 виртуальных десктопа. И 2 виртуальных шлюза которые подключены в мост на физическом компьютере?

Добавлено (01.09.2020 20:29):

Или один шлюз с 4 поднятыми интерфейсами?

у меня один физический компьютер, на котором запущено два виртуальных, раз и два. Между ними виртуальный провод. На каждом виртуальном компе по два соединения. Всё.

[Hephaestus]

нужно было разрешить машине перекидывать пинги с одного интерфейса на другой

Правильно. Но это не всё.
Представьте себе процесс.

Когда машина пытается отправить пакет в "чужую" сеть, она напрямую этого сделать не может.
Поэтому пакет пойдет в соответствии с таблицей маршрутизации.
А в таблице маршрутизации первым пунктом стоит адрес шлюза. Для этого достаточно в настройках сети заполнить gateway. И пакет пойдет через него (через шлюз).

Итак, на шлюз прилетает сетевой пакет. Перекидывание в ядре разрешено. Теоретически шлюз может перекинуть этот пакет (пропустить через себя и передать дальше).

Остается решить два вопроса:
1. Каждый ли пакет нужно передавать дальше или некоторые пакеты нужно отбросить, например.
2. Если пакет передавать дальше, то КУДА передавать? На какой адрес?
Сам факт наличия двух адресов на шлюзе не означает автоматическое перенаправление пакетов между ними. Адресов может быть и больше. Поэтому перенаправление должно быть настроено явно (откуда, куда, протокол и пр.).
Вот эти моменты настроены у Вас?

[s.xbatob]

сильно подозреваю, что мостов там нет. Из-за чего и приходится для гостей городить собственные сети

[olecya]

виртуальном компе по два соединения.

По два интерфейса. Понятно. Покажите на каждой витуалке вывод ip a