© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
On Sat, Feb 08, 2003 at 04:01:02PM +0100, Matthias Teege wrote:
> ich habe seit kurzem ein Problem seltsames Problem in einem
> Netzwerk. Das Netzwerk sieht wie folgt aus:
>
> -----
> | a |
> -----
> |
> |
> ----- -----
> | b |--------| c |
> ----- -----
> |
> |
> -----
> | d |
> -----
>
> Auf den Rechnern a,c und d läuft FreeBSD (4.[6|7]-STABLE) und auf b
> läuft ein OpenBSD 3.2. Zwischen den Rechnern b und c läuft ein IPSec
> Tunnel.
>
> Nach dem Hochfahren des Netzes läuft alles »planmäßig«. Nach ein oder
> zwei Tagen fällt die Verbindung von a nach c aus. Datentransfer von c
> nach a ist weiterhin möglich. Folgende Verbindungen habe ich getestet.
>
> a <-> b geht
> b <-> c geht
> a --> c geht nicht
> c <-- a geht
Das ist natürlich nicht viel an Information.
> Der Reboot von b behebt die Symptome für eine gewisse Zeit. Ich bin
> etwas ratlos da ich keinen Hinweis in den Logdateien habe. Es gibt
> offensichtlich auch keine zeitlichen Zusammenhang. Die Deaktivierung
> des IPSec Tunnels oder der Paketfilter bringt keine Besserung.
>
> Wo fange ich jetzt an?
Wenn du dir keiner Schuld bewust bist, dann benutze tcpdump, um
herauszubekommen, wo was anderes passiert, als hätte sein sollen.
On Sat, Feb 08, 2003 at 06:07:34PM +0100, Matthias Teege wrote:
> Ich muß hierzu noch etwas nachtragen. Geht nicht bedeutet, daß ich
> Transfers bis 1024 Byte durchführen kann. So ist es beispielsweise
> möglich, einen http request abzusenden und die Seite zu bekommen. Der
> Downstream funktioniert.
Probleme ab einer bestimmten Packetgröße riechen immer verdächtig nach
Problemen mit dem Path Recovery.
In fast allen Fällen hat da jemand übereifrig icmp Packete gefiltert.
IPSec bringt natürlich einen reduzierten Nutzbereich und der Rechner
c ist darüber informiert - er wird also sofort kleinere Packete machen.
Rechner a ist hingegen darauf angwiesen es von Rechner b zu erfahren.
Rechner b hat zwei Varianten:
- er fragmentiert das Packet
- er versended einen ICMP zu Rechner a, damit dieser die Daten anders
versended.
Inzwischen ist die erste Variante ungebräuchlich.
-- B.Walter COSMO-Project http://www.cosmo-project.de ticso(at)cicely.de Usergroup info(at)cosmo-project.de To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Sat 08 Feb 2003 - 23:38:08 CET