Probleme beim Routing...

[Traceman]

Hallo,

eigentlich funktioniert mein Netz, nur manchmal (aller 4-7 Tage) erreiche ich einen Server nicht.

Folgender Netzaufbau:
192.168.211.2 - Router zum Internet
192.168.211.1 - Mein Server mit VPN-Verbindung
192.168.211.21 - mein Problemrechner (s.u.)
192.168.154.21 - mein ferner Server

Durch die VPN-Verbindung erreiche ich den ..154.21 vom ..211.21, wenn er neu gestartet ist. Das Problem liegt also beim ..211.21.

Die Rechner ..154.21 und ..211.21 haben einen ständigen Datenaustausch.
Ich vermute das in der Nacht, wenn die Internetleitung neu aufgebaut wird, durch den Ausfall VPN-Verbindung (ca. 2 mal 20 Sekunden) das Problem auftritt. Der Rechner ..211.1 leitet die Pakete dann an den Router zum Internet weiter, wo sie dann verworfen werden. Nur nach dem Aufbau der VPN-Verbindung werden die Pakete immer noch an den Router zum Internet gesendet, was nun aber falsch ist.
Die ICMP-redirects habe ich schon versucht auszuschalten.

Rechner 192.168.211.1:

# cat /etc/sysctl.conf
net.ipv4.ip_forward=1
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0

ab hier alles auf dem Rechner 192.168.211.21:

# cat /etc/sysctl.conf
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.all.accept_source_route = 0

# ip route show table all
default via 192.168.211.1 dev eth0
192.168.211.0/24 dev eth0  proto kernel  scope link  src 192.168.211.21
broadcast 127.0.0.0 dev lo  table local  proto kernel  scope link  src 127.0.0.1
local 127.0.0.0/8 dev lo  table local  proto kernel  scope host  src 127.0.0.1
local 127.0.0.1 dev lo  table local  proto kernel  scope host  src 127.0.0.1
broadcast 127.255.255.255 dev lo  table local  proto kernel  scope link  src 127.0.0.1
broadcast 192.168.211.0 dev eth0  table local  proto kernel  scope link  src 192.168.211.21
local 192.168.211.21 dev eth0  table local  proto kernel  scope host  src 192.168.211.21
broadcast 192.168.211.255 dev eth0  table local  proto kernel  scope link  src 192.168.211.21
unreachable default dev lo  table unspec  proto kernel  metric 4294967295  error -101
unreachable default dev lo  table unspec  proto kernel  metric 4294967295  error -101

# ping 192.168.211.1
PING 192.168.211.1 (192.168.211.1) 56(84) bytes of data.
64 bytes from 192.168.211.1: icmp_req=1 ttl=64 time=0.213 ms

# traceroute 192.168.154.21
traceroute to 192.168.154.21 (192.168.154.21), 30 hops max, 60 byte packets
 1  192.168.211.2 (192.168.211.2)  0.800 ms  0.947 ms  1.177 ms
 2  80.50.18.58 (80.50.18.58)  23.224 ms  23.231 ms  23.352 ms
 3  * * *
 4  * * *
 5  * * *
 6  * * *

Nach einem Neustart des Rechners 192.168.211.21 ist alles wieder für ein paar Tage ok. Nun möchte ich den nicht immer neu starten.


Nun meine Fragen:

1. Wie sehe ich diesen (dynamischen) Routing-Eintrag für den Rechner 192.168.154.21, daß dieser über 192.168.211.2 versucht wird zu erreichen?

2. Warum steht trotz des "net.ipv4.conf.all.accept_redirects = 0" bei "/proc/sys/net/ipv4/conf/eth0/accept_redirects" noch eine "1"?

3. Reicht es in der sysctrl.conf den Eintrag "net.ipv4.conf.default.accept_redirects = 0" zu setzten?

Traceman

 

[danton]

Hast du auf deinem Router zum Internet auch eine Route eingetragen, dass das 192.168.154.xx Netz über die 192.168.211.1 erreichbar ist? Der muß ja auch wissen, was mit den Paketen passiert. Dein letzter Traceroute zeigt den Hop 192.168.211.1 gar nicht an, obwohl er eigentlich das Default-Gateway sein sollte - so als wenn das Default-Gateway aus irgendwelchen Gründen an gewisser Zeit auf den Internetrouter umgebogen wird.
Ich habe bei mir ein etwas anderes Setup: Der Router zum Internet ist das Default-Gateway für alle Clients im lokalen Netz. Dort ist eine Route für das VPN-Netz eingetragen mit Gateway-Adresse zu meinem VPN-Server. Im Prinzip ist das erst mal ausreichend, damit es läuft - alleridings habe ich noch auf einigen Systemen, die regelmäßig mit VPN-Clients kommunizieren, ebenfalls das VPN-Netz als statische Route konfiguriert (dienst aber nur dazu, den Internet-Router ein wenig zu entlasten).
Was setzt du als VPN ein? Ich nutze bei mir OpenVPN.

 

[Traceman]

Hallo danton,

bei mir ist es auch OpenVPN, allerdings ist der Internetrouter einfach zu doof. Er kann nur eine Internetverbindung herstellen und per DHCP Adressen verteilen. Alles andere kann er einfach nicht.

Deshalb habe ich als default-Route meine Rechner mit der VPN-Verbindung eingestellt.

Warum der 211.21 als erstes zum Internetrouter geht ist genau die Frage 1.

Traceman