Impossivel Pingar Estações da SubNet

Iniciado por robert_rsc, 09 de Março de 2010, 19:42

tópico anterior - próximo tópico

robert_rsc

Ola a todos.

Pessoal "ja não tenho dedos pra contar" quantos sites eu entrei procurando uma solução para meu problema:

Tenho um server de internet rodando Ubuntu 9.10 (Karmic Koala)
Com 2 placas de rede físicas sendo:
eth1: IP FIXO 192.168.1.254 Mask 255.255.255.0 (LIGADA NA INTERNET)
eth0: IP FIXO 192.168.2.254 Mask 255.255.255.0 (LIGADA NA REDE LOCAL 01)

E mais uma placa virtual
eth0:1 IP 172.16.1.254 Mask 255.255.255.0 (LIGADA NA REDE LOCAL 02)


Cenário:
Meu cliente tem uma LAN HOUSE, com 07 maquinas na própria LAN HOUSE e ainda fornece internet (via cabo de rede) para 05 CASAS que estão ao redor da sua LANHOUSE.

Faixa 192.168.2.1~192.168.2.7 (amarrado por mac+dhcp3) para as máquinas da Lan
Faixa 172.16.1.1~172.16.1.7 (amarrado por mac+dhcp3) para as CASAS

Situação do servidor:
Conexão compartilhada: NAT iptables, dhcp3-server rodando, squid+sarg+htb, tudo funcionando legal ATÉ AQUI!!!

Problema:
Nas estações da faixa (192.168.2.x) não consigo pingar pra ninguem (nem entre elas nem pro server), mas http://192.168.2.254 (apache) abre normalmente no browser

No servidor não consigo pingar para nenhuma estação da faixa (192.168.2.x)
Consigo pingar apenas para a faixa (172.16.1.x)

Todas as máquinas estão pegando IP automático e navegando normalmente, apenas não consigo pingar entre elas na faixa (192.168.2.x)

O interessante é que os usuários da LANHOUSE dele estão conseguindo jogar CS normalmente em rede, outra coisa... até eu terminar de implantar o sistema de gerenciamento de lanhouse via linux que estou desenvolvendo ele esta usando o Timer Café (na rede local da lan) e também funciona normalmente.

Então! Como pode isso?
O CS e Timer Cafe conseguem se comunicar via rede interna TCP/IP, mas eu não consigo nem pingar....


Segue abaixo os arquivos de conf que estou usando:

Arquivo de regras_iptables (simples pra TENTAR eliminar as minhas dúvidas)

iptables -F
iptables -X
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
ifconfig eth0:1 172.16.1.254 netmask 255.255.255.0 up



dhcpd.conf

# dhcpd.conf
#
# Configuração redes DHCP
#

option domain-name "lanhouse.org";
#option domain-name-servers 192.168.2.254, 208.67.220.220;
option domain-name-servers 192.168.2.254, 8.8.8.8;
default-lease-time 600;
max-lease-time 7200;
ddns-update-style none;
authoritative;
log-facility local7;

shared-network explore {


   #REDE LOCAL LANHOUSE
   subnet 192.168.2.0 netmask 255.255.255.0 {
      range 192.168.2.1 192.168.2.7;
      option subnet-mask 255.255.255.0;
      option routers 192.168.2.254;
      option broadcast-address 192.168.2.255;

      host notebook {
        hardware ethernet 00:1e:ec:43:29:1c;
        fixed-address 192.168.2.1;
      }

      host pc01 {
   hardware ethernet 00:1e:90:8e:79:d0;
   fixed-address 192.168.2.2;
      }

      host pc02 {
   hardware ethernet 00:e0:4e:0e:34:8d;
   fixed-address 192.168.2.3;
      }

      host pc03 {
   hardware ethernet 00:18:37:04:b2:1e;
   fixed-address 192.168.2.4;
      }

      host pc04 {
   hardware ethernet 00:1d:60:80:c1:37;
   fixed-address 192.168.2.5;
      }

      host pc05 {
   hardware ethernet 00:1d:60:80:c1:2e;
   fixed-address 192.168.2.6;
      }

      host pc06 {
   hardware ethernet 00:1d:60:35:c3:30;
   fixed-address 192.168.2.7;
      }
   }
   
   #REDE LOCAL RESIDENCIAL
   subnet 172.16.1.0 netmask 255.255.255.0 {
      range 172.16.1.1 172.16.1.5;
      option subnet-mask 255.255.255.0;
      option routers 172.16.1.254;
      option broadcast-address 172.16.1.255;

      host casa01 {
          hardware ethernet 00:21:97:80:2d:f9;
          fixed-address 172.16.1.1;
      }

      host casa02 {
          hardware ethernet 00:03:0d:d0:ff:23;
          fixed-address 172.16.1.2;
      }

      host casa03 {
          hardware ethernet 00:11:2f:b0:34:33;
          fixed-address 172.16.1.3;
      }

      host casa04 {
          hardware ethernet 00:25:11:ea:49:dc;
          fixed-address 172.16.1.4;
      }

      host casa05 {
          hardware ethernet 00:1e:8c:8e:3e:0d;
          fixed-address 172.16.1.5;
      }

   }

}



/etc/network/interfaces

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 192.168.2.254
netmask 255.255.255.0
gateway 192.168.2.254
nameserver 192.168.2.254


auto eth1
iface eth1 inet static
address 192.168.1.254
netmask 255.255.255.0
gateway 192.168.1.1
nameserver 192.168.1.1



/etc/resolv.conf

# Generated by NetworkManager
search serverlan.local
nameserver 127.0.0.1
nameserver 192.168.2.254
nameserver 192.168.1.254
#nameserver 192.168.2.254
#nameserver 192.168.1.254



route -n esta retornando isso:

Tabela de Roteamento IP do Kernel
Destino         Roteador        MáscaraGen.    Opções Métrica Ref   Uso Iface
192.168.2.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
172.16.1.0      0.0.0.0         255.255.255.0   U     0      0        0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 eth0
0.0.0.0         192.168.1.1     0.0.0.0         UG    100    0        0 eth1
0.0.0.0         192.168.2.254   0.0.0.0         UG    100    0        0 eth0



Pessoal desde ja agradeço toda e qualquer ajuda...

Saude e Pazzz

Abrazzz



zekkerj

já tentou trocar a placa eth0? Ela parece não estar sendo capaz de gerar sinais pra sua rede.

Verifique também o cabo que te liga ao switch da rede local 1 (de preferência antes de tentar trocar a placa, afinal é mais barato ;)).

PS: Essa rede chegou a funcionar algum dia?
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

robert_rsc

Citação de: zekkerj online 09 de Março de 2010, 20:41
já tentou trocar a placa eth0? Ela parece não estar sendo capaz de gerar sinais pra sua rede.

Verifique também o cabo que te liga ao switch da rede local 1 (de preferência antes de tentar trocar a placa, afinal é mais barato ;)).

PS: Essa rede chegou a funcionar algum dia?

Sim, a rede estava totalmente transparente para as estações, mas como nada é eterno pode ser realmente o cabo de rede ou a placa (mas a máquina é nova).

O problema é que esta máquina esta (isolada) em uma cidade onde esta a LAN HOUSE e eu em outra, então qualquer manutenção implica em viajar...

Acredito mesmo que deva ser algum erro meu, pois como posso pingar para a faixa (172.16.1.X) conforme dito anteriormente e tanto a rede (192.168.2.X) quanto a (172.16.1.X) estão na mesma placa ou seja eth1 (rede local)

Obrigado

zekkerj

É, se as redes 192.168.2.0/24 e 172.16.1.0/24 compartilham a mesma placa de rede e uma funciona, a hipótese do defeito na placa ou nos cabos está descartada.

Vamos olhar então outra causa provável, o firewall. Posta a saída do comando abaixo.

sudo iptables -L -v -n

sudo iptables -t nat -L -v -n
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

robert_rsc

Citação de: zekkerj online 09 de Março de 2010, 21:30
É, se as redes 192.168.2.0/24 e 172.16.1.0/24 compartilham a mesma placa de rede e uma funciona, a hipótese do defeito na placa ou nos cabos está descartada.

Vamos olhar então outra causa provável, o firewall. Posta a saída do comando abaixo.

sudo iptables -L -v -n

sudo iptables -t nat -L -v -n


OK feito


root@serverlan:~# iptables -L -v -n
Chain INPUT (policy ACCEPT 21M packets, 15G bytes)
pkts bytes target     prot opt in     out     source               destination

Chain FORWARD (policy ACCEPT 14M packets, 6484M bytes)
pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 24M packets, 18G bytes)
pkts bytes target     prot opt in     out     source               destination


root@serverlan:~# iptables -t nat -L -v -n
Chain PREROUTING (policy ACCEPT 2475K packets, 200M bytes)
pkts bytes target     prot opt in     out     source               destination
268K   13M REDIRECT   tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80 redir ports 3128
    0     0 REDIRECT   tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80 redir ports 3128
    0     0 REDIRECT   tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80 redir ports 3128
    0     0 REDIRECT   tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80 redir ports 3128
    0     0 REDIRECT   tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80 redir ports 3128
    0     0 REDIRECT   tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80 redir ports 3128
    0     0 REDIRECT   tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80 redir ports 3128
    0     0 REDIRECT   tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80 redir ports 3128

Chain POSTROUTING (policy ACCEPT 15674 packets, 2296K bytes)
pkts bytes target     prot opt in     out     source               destination
2153K  167M MASQUERADE  all  --  *      eth1    0.0.0.0/0            0.0.0.0/0
    0     0 MASQUERADE  all  --  *      eth1    0.0.0.0/0            0.0.0.0/0
    0     0 MASQUERADE  all  --  *      eth1    0.0.0.0/0            0.0.0.0/0
    0     0 MASQUERADE  all  --  *      eth1    0.0.0.0/0            0.0.0.0/0
    0     0 MASQUERADE  all  --  *      eth1    0.0.0.0/0            0.0.0.0/0
    0     0 MASQUERADE  all  --  *      eth1    0.0.0.0/0            0.0.0.0/0
    0     0 MASQUERADE  all  --  *      eth1    0.0.0.0/0            0.0.0.0/0
  130 38102 MASQUERADE  all  --  *      eth0    0.0.0.0/0            0.0.0.0/0
    0     0 MASQUERADE  all  --  *      eth1    0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT 402K packets, 28M bytes)
pkts bytes target     prot opt in     out     source               destination




Talvez não seja um trem a luz no fim do tunel... hehehe
Obrigado



zekkerj

Limpe o firewall, na parte do NAT.

sudo iptables -t nat -F

Depois repita os testes de ping.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

robert_rsc

Nada feito...

ja tinha tentado inclusive limpar TUDO
-F e -X

Mas não deu liga também....

Mas oq to intrigado eh que não ta dando Host unreachable

Exemplo:
root@serverlan:/etc/init.d# ping 192.168.2.1
PING 192.168.2.1 (192.168.2.1) 56(84) bytes of data.

Ai fica eternamente nisso e não da erro também.

sigo na batalha...

Obrigado

zekkerj

CitarMas oq to intrigado eh que não ta dando Host unreachable
Ele só dá isso se não tiver resposta de ARP. Hmm.

Pinga algum lugar da rede e executa o comando "arp -an". Cola a saída aqui.

PS: vc já fez alguma captura de pacotes?
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

robert_rsc

Olha amigo eu ja dei uma olhada pelo iptraf.... mas nada d mais...
alguma sugestão...

se tivesse local usava o wireshark...

Saida de arp -an
root@serverlan:~# arp -an
? (192.168.2.7) em 00:0b:6a:5e:e7:d1 [ether] em eth0
? (172.16.1.4) em 00:25:11:ea:49:dc [ether] em eth0
? (172.16.1.8) em 00:23:cd:b4:ba:cc [ether] em eth0
? (192.168.1.1) em 00:18:d1:86:e0:df [ether] em eth1
? (172.16.1.5) em 00:1e:8c:8e:3e:0d [ether] em eth0


Obrigado

robert_rsc

Opss... ficou um smile no 192.168.1.1

root@serverlan:~# arp -an
? (192.168.2.7 _) em 00:0b:6a:5e:e7:d1 [ether] em eth0
? (172.16.1.4 _) em 00:25:11:ea:49:dc [ether] em eth0
? (172.16.1.8 _) em 00:23:cd:b4:ba:cc [ether] em eth0
? (192.168.1.1 _) em 00:18:d1:86:e0:df [ether] em eth1
? (172.16.1.5 _) em 00:1e:8c:8e:3e:0d [ether] em eth0

zekkerj

vc pode capturar com o programa tcpdump, e depois visualizar a captura em qq máquina com o wireshark.

Sobre a saída do arp -an, essa máquina 192.168.2.7, veja que ela respondeu ao arp.

será que vc não bloqueou os pings no kernel?

cat /proc/sys/net/ipv4/icmp_echo_ignore_all

E essas estações, será que o firewall delas não está bloqueando esses pings?
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D