Проблема с подключением (Как продиагностировать проблему с подключением в Debian Lenny?)

[Mirror]

Неожиданно появилась такая проблема: в Debian Lenny перестала работать сеть на одном из интерфейсов (eth1). Соединения не устанавливаются, адреса не пингуются.

Физическое подключение в порядке. Если поставить получение адреса автоматически, то есть в /etc/network/interfaces написать

Код: Выделить всё

auto eth1
iface eth1 inet dhcp

, то после service networking restart выводится следующее:

Код: Выделить всё

Internet Systems Consortium DHCP Client V3.1.1
Copyright 2004-2008 Internet Systems Consortium.
All rights reserved.
For info, please visit http://www.isc.org/sw/dhcp/

Listening on LPF/eth1/00:21:91:d4:e0:f8
Sending on   LPF/eth1/00:21:91:d4:e0:f8
Sending on   Socket/fallback
DHCPDISCOVER on eth1 to 255.255.255.255 port 67 interval 6
DHCPDISCOVER on eth1 to 255.255.255.255 port 67 interval 12
DHCPDISCOVER on eth1 to 255.255.255.255 port 67 interval 12
DHCPOFFER from 10.101.0.1
DHCPREQUEST on eth1 to 255.255.255.255 port 67
DHCPACK from 10.101.0.1
bound to 10.101.188.244 -- renewal in 37016 seconds.
done.

, то есть ответ из сети все-таки приходит, и приходит он от 10.101.0.1. Но при попытке пропинговать 10.101.0.1 ответа нет.

В то же время на eth0 все работает правильно.

Не подскажете, как продиагностировать проблему?

[sash-kan]

приложите вывод:
$ ip a; ip r
после получения адреса.

[Mirror]

Вывод такой:

Код: Выделить всё

MegaServer:~# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000
    link/ether 00:80:48:27:44:3a brd ff:ff:ff:ff:ff:ff
    inet 172.16.0.253/16 brd 172.16.255.255 scope global eth0
    inet 172.16.0.1/16 brd 172.16.255.255 scope global secondary eth0:1
    inet 172.16.0.2/16 brd 172.16.255.255 scope global secondary eth0:2
    inet 172.16.0.3/16 brd 172.16.255.255 scope global secondary eth0:3
    inet 172.16.0.4/16 brd 172.16.255.255 scope global secondary eth0:4
    inet 172.16.0.5/16 brd 172.16.255.255 scope global secondary eth0:5
    inet 172.16.0.6/16 brd 172.16.255.255 scope global secondary eth0:6
    inet 172.16.0.7/16 brd 172.16.255.255 scope global secondary eth0:7
    inet 172.16.0.8/16 brd 172.16.255.255 scope global secondary eth0:8
    inet 172.16.0.9/16 brd 172.16.255.255 scope global secondary eth0:9
    inet 172.16.0.10/16 brd 172.16.255.255 scope global secondary eth0:10
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 00:21:91:d4:e0:f8 brd ff:ff:ff:ff:ff:ff
    inet 10.101.188.244/16 brd 10.101.255.255 scope global eth1

Код: Выделить всё

MegaServer:~# ip r
10.101.0.0/16 dev eth1  proto kernel  scope link  src 10.101.188.244
172.16.0.0/16 dev eth0  proto kernel  scope link  src 172.16.0.253
default via 10.101.0.1 dev eth1

[sash-kan]

на всякий случай посмотрите, что там ядро про маршрут думает:
$ ip r get 10.101.0.1

а дальше смотрите на настройки netfilter-а у вас и на машине 10.101.0.1.

p.s. вы абсолютно уверены, что 10.101.0.1 должен отвечать на icmp-запросы?

[Mirror]

Вот что получается:

Код: Выделить всё

MegaServer:~# ip r get 10.101.0.1
10.101.0.1 dev eth1  src 10.101.188.244
    cache  mtu 1500 advmss 1460 hoplimit 64

netfilter на нашем сервере такой (он не менялся полгода):

Код: Выделить всё

MegaServer:~# iptables --list -v
Chain INPUT (policy DROP 274 packets, 89372 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     icmp --  any    any     anywhere             anywhere            icmp parameter-problem
    0     0 ACCEPT     icmp --  any    any     anywhere             anywhere            icmp time-exceeded
    5   300 ACCEPT     icmp --  any    any     anywhere             anywhere            icmp echo-request
    0     0 ACCEPT     icmp --  any    any     anywhere             anywhere            icmp destination-unreachable
  713  100K ACCEPT     all  --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED
    1    52 ACCEPT     tcp  --  eth0   any     172.16.0.0/16        anywhere            tcp dpt:ssh
    0     0 ACCEPT     tcp  --  eth0   any     172.16.0.0/16        anywhere            tcp dpt:www
  601 59988 ACCEPT     all  --  eth0   any     172.16.0.0/16        anywhere            PKTTYPE = broadcast
   14   676 ACCEPT     tcp  --  eth0   any     172.16.0.0/16        anywhere            tcp multiport dports netbios-ssn,microsoft-ds
    1    90 ACCEPT     udp  --  eth0   any     172.16.0.0/16        anywhere            udp multiport dports netbios-ns,netbios-dgm
    6   360 ACCEPT     all  --  lo     any     anywhere             anywhere

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  ppp0   eth0    anywhere             172.16.1.1          state RELATED,ESTABLISHED
    0     0 ACCEPT     all  --  ppp0   eth0    anywhere             172.16.1.2          state RELATED,ESTABLISHED
    0     0 ACCEPT     all  --  ppp0   eth0    anywhere             172.16.1.3          state RELATED,ESTABLISHED
    0     0 ACCEPT     all  --  eth0   ppp0    172.16.1.1           anywhere
    0     0 ACCEPT     all  --  eth0   ppp0    172.16.1.2           anywhere
    0     0 ACCEPT     all  --  eth0   ppp0    172.16.1.3           anywhere
    0     0 REJECT     all  --  any    any     anywhere             anywhere            reject-with icmp-net-prohibited

Chain OUTPUT (policy ACCEPT 788 packets, 107K bytes)
 pkts bytes target     prot opt in     out     source               destination

Посмотреть настройки на 10.101.0.1 не получится, потому что это сервер провайдера (eth1 "смотрит" на провайдера, eth0 - во внутреннюю сеть). Честно сказать, не могу гарантировать, что этот сервер должен отвечать на icmp, но это единственный хост в сети, с которым была хоть какая-то связь (ответ на dhcp-запрос). Может быть, есть какой-то еще способ проверить соединение, но я его не знаю?

[sash-kan]

Может быть, есть какой-то еще способ проверить соединение, но я его не знаю?

$ ping -c 1 ip-адрес
$ ip n | grep ip-адрес
если будут записи с mac-адресами, то, по крайней мере, на arp-запросы машина с адресом «ip-адрес» отвечает.

[Mirror]

Получается вот так:

Код: Выделить всё

MegaServer:~# ping 10.101.0.1 -c 5
PING 10.101.0.1 (10.101.0.1) 56(84) bytes of data.

--- 10.101.0.1 ping statistics ---
5 packets transmitted, 0 received, 100% packet loss, time 4014ms


MegaServer:~# ip n | grep 10.101.0.1
10.101.0.1 dev eth1 lladdr 00:01:5c:31:95:c1 STALE

То есть, на arp-запрос 10.101.0.1 отвечает. Ну и на dhcp тоже. На пинг - нет. Даже не знаю, что тут может быть.

[sash-kan]

спросите у провайдера. это же их машина, как я понял.

p.s. порты посканируйте nmap-ом, если вам так интересно.
p.p.s. мы как-то далеко ушли от темы. связь с провайдерским компьютером есть. что дальше требуется-то?

[Mirror]

Дело в том, что получается так, что только на arp и dhcp есть ответы. На пинги - нет ни от кого. Например, мы точно знаем, что есть в той же внешней сети хост (наш маршрутизатор D-Link), который должен отвечать на пинги, но он не отвечает. Не отвечает основной шлюз. А главное - не устанавливается соединение с сервером VPN, через который осуществляется подключение к интернету. То есть, как-то частично работает сеть.

Вот, например, как раз пинг роутера D-Link, который подключен к тому же свитчу и находится в той же подсети:

Код: Выделить всё

MegaServer:~# ip addr show dev eth1
2: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000
    link/ether 00:21:91:d4:e0:f8 brd ff:ff:ff:ff:ff:ff
    inet 10.0.18.114/16 brd 10.0.255.255 scope global eth1

MegaServer:~# ping 10.0.18.113 -c 5
PING 10.0.18.113 (10.0.18.113) 56(84) bytes of data.

--- 10.0.18.113 ping statistics ---
5 packets transmitted, 0 received, 100% packet loss, time 4013ms

А вот то же самое из Windows, из внутренней сети:

Код: Выделить всё

D:\Andrew>ping 10.0.18.113

Обмен пакетами с 10.0.18.113 по с 32 байтами данных:
Ответ от 10.0.18.113: число байт=32 время=1мс TTL=64
Ответ от 10.0.18.113: число байт=32 время<1мс TTL=64
Ответ от 10.0.18.113: число байт=32 время<1мс TTL=64
Ответ от 10.0.18.113: число байт=32 время<1мс TTL=64

Статистика Ping для 10.0.18.113:
    Пакетов: отправлено = 4, получено = 4, потеряно = 0
    (0% потерь)
Приблизительное время приема-передачи в мс:
    Минимальное = 0мсек, Максимальное = 1 мсек, Среднее = 0 мсек

D:\Andrew>ipconfig

Настройка протокола IP для Windows


Ethernet adapter Подключение по локальной сети:

   DNS-суффикс подключения . . . . . :
   IPv4-адрес. . . . . . . . . . . . : 172.16.1.1
   Маска подсети . . . . . . . . . . : 255.255.0.0
   Основной шлюз. . . . . . . . . : 172.16.0.254

Вот и не понятно, что происходит...

И таблица маршрутов из Debian:

Код: Выделить всё

MegaServer:~# ip route
10.0.0.0/16 dev eth1  proto kernel  scope link  src 10.0.18.114
172.16.0.0/16 dev eth0  proto kernel  scope link  src 172.16.0.253
default via 10.0.0.1 dev eth1

[Mirror]

Еще пришла идея пропинговать из внутренней сети сам сервер. Получилось:

Код: Выделить всё

D:\Andrew>ping 10.0.18.114

Обмен пакетами с 10.0.18.114 по с 32 байтами данных:
Ответ от 10.0.18.114: число байт=32 время=1мс TTL=63
Ответ от 10.0.18.114: число байт=32 время<1мс TTL=63
Ответ от 10.0.18.114: число байт=32 время<1мс TTL=63
Ответ от 10.0.18.114: число байт=32 время=1мс TTL=63

Статистика Ping для 10.0.18.114:
    Пакетов: отправлено = 4, получено = 4, потеряно = 0
    (0% потерь)
Приблизительное время приема-передачи в мс:
    Минимальное = 0мсек, Максимальное = 1 мсек, Среднее = 0 мсек

Какая-то мистика...