Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Timeout su NAT

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
infor_mare



Registrato: 09/01/10 13:37
Messaggi: 24

MessaggioInviato: Lun Gen 18, 2010 4:09 pm    Oggetto: Timeout su NAT Rispondi citando

Sto usando ZS come gestore della NAT della mia rete. All'interno ho un apparato che fa una vpn proprietaria con un suo apparato gemello in altra sede.
Se mi cade il primo adsl , ZS va sul secondo .. e tutto continua a funzionare.
Se cade anche il secondo , ZS va in umts, e qui la vpn di questo sistema funziona solo se lo scollego per qualche minuto dalla rete o lo riavvio. Sembra sia un problema di timeout sulla nat di pacchetti Udp. Qualcuno sa dirmi come potrei risolvere la cosa?
Top
Profilo Invia messaggio privato
infor_mare



Registrato: 09/01/10 13:37
Messaggi: 24

MessaggioInviato: Mar Gen 19, 2010 12:51 am    Oggetto: Re: Timeout su NAT Rispondi citando

infor_mare ha scritto:
Sto usando ZS come gestore della NAT della mia rete. All'interno ho un apparato che fa una vpn proprietaria con un suo apparato gemello in altra sede.
Se mi cade il primo adsl , ZS va sul secondo .. e tutto continua a funzionare.
Se cade anche il secondo , ZS va in umts, e qui la vpn di questo sistema funziona solo se lo scollego per qualche minuto dalla rete o lo riavvio. Sembra sia un problema di timeout sulla nat di pacchetti Udp. Qualcuno sa dirmi come potrei risolvere la cosa?



Riuscite a darmi una mano? Ho tutto bloccato per colpa di questa cosa.
grazie
Top
Profilo Invia messaggio privato
lorenzo



Registrato: 02/12/08 11:02
Messaggi: 81

MessaggioInviato: Mar Gen 19, 2010 10:46 am    Oggetto: Rispondi citando

Ciao,

ci sono troppe poche informazioni per aiutarti. Anche io uso una vpn dietro a zs e passando per piu' adsl il problema non si presenta.

Ora, immagino che la tua vpn sia in uscita giusto? Da dietro zs verso un server esterno?

Hai dei log del fault del client vpn quando passi dalla seconda adsl verso l'umts? Usi openvpn? Quali sono le impostazioni di timeout? Riesci a fare un tcpdump su zs e sul terminatore vpn durante il problema?

Con qualche dato in piu' forse si riesce a capire il problema.
Top
Profilo Invia messaggio privato
infor_mare



Registrato: 09/01/10 13:37
Messaggi: 24

MessaggioInviato: Mar Gen 19, 2010 11:23 am    Oggetto: Rispondi citando

Purtroppo non posso fare nulla di ciò.
La vpn usa un protocollo proprietario, e se faccio tcpdump mi viene fuori un file inutile poichè anche criptata.
Non ho purtroppo accesso al client vpn per vedere i log.
L'unica cosa che mi ha saputo dire il fornitore è che il problema è sul router che gestisce la NAT , il quale usa dei timeout che sballano sulla porta ppp0.
Infatti riavviando, o il client vpn, il problema non si ha. Si ha solo se la vpn va in piedi prima su uno degli adsl.
Spero possiate aiutarmi
Top
Profilo Invia messaggio privato
lorenzo



Registrato: 02/12/08 11:02
Messaggi: 81

MessaggioInviato: Mar Gen 19, 2010 12:11 pm    Oggetto: Rispondi citando

Ciao,

non e' assolutamente detto che il tcpdump sia inutile, anzi. Eseguilo cmq, cosi' riusciamo a vedere DOVE vanno i pacchetti, con quale sorgente e quale ip di destinazione e soprattutto dove arriva la risposta (se arriva).

Lorenzo
Top
Profilo Invia messaggio privato
infor_mare



Registrato: 09/01/10 13:37
Messaggi: 24

MessaggioInviato: Mar Gen 19, 2010 12:19 pm    Oggetto: Rispondi citando

Ok , lo faccio , anche se i caratteri all'interno a mio avviso sono incomprensibili.
In ogni caso se può aiutare ho notato che riavviando la porta ETH dove faccio NAT sullo ZS va tutto in piedi anche sulla ppp0.

grazie per l'aiuto
Top
Profilo Invia messaggio privato
lorenzo



Registrato: 02/12/08 11:02
Messaggi: 81

MessaggioInviato: Mar Gen 19, 2010 12:22 pm    Oggetto: Rispondi citando

Hai qualche regola sul net balancer?
Top
Profilo Invia messaggio privato
infor_mare



Registrato: 09/01/10 13:37
Messaggi: 24

MessaggioInviato: Mar Gen 19, 2010 12:39 pm    Oggetto: Rispondi citando

sì,
obbligo i pacchetti con destinazione verso l'ip dell'altro capo della vpn a passare per un'unica rotta.
quindi con peso 1 tutti usano l'adsl1
con peso 2 tutti usano l'adsl2 (quindi viene matchato solo se l'adsl1 è down)
con peso 3 tutti usano ppp0 (matchato se tutti gl iadsl sono down)
Top
Profilo Invia messaggio privato
lorenzo



Registrato: 02/12/08 11:02
Messaggi: 81

MessaggioInviato: Mer Gen 20, 2010 10:09 am    Oggetto: Rispondi citando

Mi posti la regola:

Citazione:
obbligo i pacchetti con destinazione verso l'ip dell'altro capo della vpn a passare per un'unica rotta.

? Forse e' questa a contenere un errore.
Top
Profilo Invia messaggio privato
infor_mare



Registrato: 09/01/10 13:37
Messaggi: 24

MessaggioInviato: Mer Gen 20, 2010 2:17 pm    Oggetto: Rispondi citando

e come dovrei fare per imporgli di passare sempre per la stessa rotta?
perchè se riavvio la eth della nat tutto va a posto?

grazie ancora
Top
Profilo Invia messaggio privato
lorenzo



Registrato: 02/12/08 11:02
Messaggi: 81

MessaggioInviato: Mer Gen 20, 2010 6:43 pm    Oggetto: Rispondi citando

Ciao,

c'e' piu' di un modo per farlo. Non sono li da te, per cui sarebbe piu' semplice se tu mi postassi la regola.

Lorenzo
Top
Profilo Invia messaggio privato
infor_mare



Registrato: 09/01/10 13:37
Messaggi: 24

MessaggioInviato: Mer Gen 20, 2010 9:25 pm    Oggetto: Rispondi citando

giusto, considera 151.1.1.1 come lato Bdella mia vpn

1 * * MARK all opt -- in * out * 0.0.0.0/0 -> 151.1.1.1 state INVALID,NEW,RELATED,ESTABLISHED,UNTRACKED MARK set 0x64 DEFAULT GATEWAY (192.168.1.1) no

2 * * MARK all opt -- in * out * 0.0.0.0/0 -> 151.1.1.1 state INVALID,NEW,RELATED,ESTABLISHED,UNTRACKED MARK set 0x65 secondo (192.168.1.2) no

3 * * MARK all opt -- in * out * 0.0.0.0/0 -> 151.1.1.1 state INVALID,NEW,RELATED,ESTABLISHED,UNTRACKED MARK set 0x66 tim (ppp0) no
Top
Profilo Invia messaggio privato
infor_mare



Registrato: 09/01/10 13:37
Messaggi: 24

MessaggioInviato: Mar Feb 02, 2010 10:33 am    Oggetto: Rispondi citando

Allora .. è appurato che il problema sia sulla NAT del ppp0.
Anche togliendo le regole sul net balance accade ugualmente.
Al momento risolvo con uno script che ogni volta che viene attivato il ppp0 riavvia le ETHxx sulle quali faccio NAT. In questo modo dopo qualche secondo tutto funziona. Ovviamente la cosa è un poco fastidiosa (anche se il down è di soli 3 secondi). Secondo voi ... secondo te Fulvio (grazie per questa spendida distribuzione) ... quale potrebbe essere il problema? Potrei dare qualche altro comando invece del riavvio della ETH? Considerate che ho provato anche a pulire l'arp , ma nulla.
grazie
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Mer Feb 03, 2010 10:11 pm    Oggetto: Rispondi citando

Potresti provare a fare il flush del connection tracking mediante il comando:

conntrack -F

Ciao
Fulvio
Top
Profilo Invia messaggio privato
infor_mare



Registrato: 09/01/10 13:37
Messaggi: 24

MessaggioInviato: Gio Feb 04, 2010 10:33 pm    Oggetto: Rispondi citando

funziona!!!!
grazie fulvio
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it