Mandriva Fórum

Systém a serverové služby => Připojení k LAN => : joelp January 01, 2010, 19:02:35



: 2 síťové karty
: joelp January 01, 2010, 19:02:35
Mám v počítači 2 síťové karty.

eth0: lokální adresa - lokální síť
eth1: veřejná adresa

Problém je v tom, že pomocí eth0 vidím (ping -I eth0) až na seznam, ale pomocí eth1 pouze bránu. Stejně tak se nedá odpingat veřejná adresa z venku.

Shorewall jsem nastavil pomocí drakfirewall (prozatím) a povolil tak na všechny eth ping.

Když veřejnou adresu nastavím na notebook, tak vše jede jak má. Tudíž bych špatné nastavení sítě vyloučil. Celé jsem to provozoval na MDV 2009.0 a vše jelo jak má. Teď jsem vše přehodil na MDV 2010.0 a nemůžu to rozchodit.

Nenapadá někoho, kde by mohl být zakopaný pes?


: Re: 2 síťové karty
: Hobil January 01, 2010, 21:37:40
Predpokladam, ze jde o sdílení síťového připojení z kompu pro notes.
To by melo jit jednoduse naklikat v ovladacim centru.
Ovládací centrum Mandriva Linuxu - Síť a internet - Sdílet připojení k internetu o ostatními lokálními počítači
H.


: Re: 2 síťové karty
: joelp January 01, 2010, 22:19:30
Ne, nejde o sdílení internetu. Jde jen o oddělení síťového provozu. Na lokální straně jedou služby určené jen pro lokální síť a na veřejné zase ty přístupné odkudkoliv z internetu.

Jde o malý server.


: Re: 2 síťové karty
: Hobil January 01, 2010, 22:29:45
Jaky druh pripojeni je ven? Je tam modem, router nebo neco jineho?
H.


: Re: 2 síťové karty
: joelp January 02, 2010, 00:21:42
Veřejná strana je přímo do páteřní sítě (10GHz -> 10GHz -> optika) přes bridge na Mikrotiku a lokální strana přes ten samý Mikrotik routovaná.


: Re: 2 síťové karty
: Hobil January 02, 2010, 01:08:40
...Jde jen o oddělení síťového provozu. Na lokální straně jedou služby určené jen pro lokální síť a na veřejné zase ty přístupné odkudkoliv z internetu.

Jde o malý server.
No uprimne mi to neprijde jako dobre reseni. Pro lokalni sit bych urcite dal samostany, na venkovni sit nepripojeny server, verejny server (web?) bych provozoval samostatne.
Kdyz uz by nebyl dalsi stroj k dispozici, pouzil bych BSD a ty servery bych spoustel v jailu. Je to o rad bezpecnejsi.

Pokud chces site nastavit podle potreby, bude nejlepsi zkonfigurovat soubory /etc/sysconfig/network-scripts/ifcfg-eth0 a ifcfg-eth1
Mely by tam byt polozky:
DEVICE=eth0
BOOTPROTO=static
IPADDR=xxx.xxx.xxx.xxx
NETMASK=255.255.255.0
GATEWAY=xxx.xxx.xxx.xxx
ONBOOT=yes nebo no
METRIC=10 (dle poskytovatel nebo dokumentace toho Mikrotiku)
MII_NOT_SUPPORTED=no (dle poskytovatel nebo dokumentace toho Mikrotiku)
USERCTL=yes
DNS1=xxx.xxx.xxx.xxx
DNS2=xxx.xxx.xxx.xxx
RESOLV_MODS=no
IPV6INIT=no nebo yes
IPV6TO4INIT=no nebo yes
ACCOUNTING=yes
Pak restartuj sit.
H.

EDIT: Jo a taky nastav udaje v souboru /etc/sysconfig/network.


: Re: 2 síťové karty
: joelp January 02, 2010, 17:04:12
Vše mám nastaveno stejně. Dokonce jsem si nastudoval k čemu je metrika, ale měněním hodnot dle reálu, či zpět na hodnotu 10 žádná změna. Metriky se nastavili automaticky u eth0 na 5 a u eth1 na 10. Jakmile jsem je dal obě na 10, tak mi je sice vidět server z veřejné strany, ale na lokální skoro nejde. Ping sice mám již z obou ethernetů, ale pingnu si jen z veřejné (do internetu).

Odezva na lokální straně 8ms (což je celkem dost, ale to bych ještě rozdýchal), ale když se chci připojit přes SSH, tak to trvá 30s, než se mě zeptá na heslo. Na veřejné straně je to v pořádku. Zdá se, že se jen přepl provoz na druhý ethernet.

Nastavování MII_NOT_SUPPORTED bez efektu.

Použití virtualizace nepřipadá v úvahu, protože i tak je server dost zatížený. O dvou serverech jsme už uvažovali, ale ekonomicky je to momentálně bohužel nemožné. Navíc ten server pro lokální provoz stejně musí být v internetu, protože část služeb ho prostě potřebuje. Měl jsem to řešeno tak, že lokální část využívala internet z lokální sítě (za routerem + firewallem) a veřejná část využívala internet z ethernetu s veřejnou IP. Teď mi to funguje tak, že mám internet buď z jednoho, nebo druhého rozhraní.


: Re: 2 síťové karty
: Hobil January 02, 2010, 17:56:46
Problem asi bude, ze pro vnitrni sit nemas nastaveny DNS server. Bridge to nezajisti, takze musis v kompu nahodit DNS server (bind) nebo doplnit vsechny kompy ze site do resolv.conf vsech pocitacu a vsem priradit pevne IP.

Adresy lze naklikat v drakhosts

H.


: Re: 2 síťové karty
: joelp January 02, 2010, 20:03:18
na eth0 i eth1 mam nastavene DNS. Ve vnitrni siti se komunikuje pouze pomoci IP, tudíž zadny bind nepotřebuju.

Navic by to nevysvetlovalo to, že nemam ping na DNS, jen na branu. Z aktualne funkčniho ethernetu funguje vše.


: Re: 2 síťové karty
: Hobil January 02, 2010, 21:58:54
Bez konkretnich udaju se nikam nepohnem, ale chapu, ze sem je posilat nebudes.
vyjed si vypisy z netstat -nr a netstat -i, ip addr show a ip route show na vsech strojich a hledej zadrhel. Porovnej soubory /etc/hosts, zda maji vsechny kompy kompatibilni IP adresy a jmena (zejm. domenovou cast)...
Problem muze byt i v nastaveni Mikrotiku. On opravdu umi pro kazdy port nastavit samostany rezim (bridge pro server, router a eventuelne NAT pro stanice)? PC v lokalni siti na sebe umi pingnout? V routeru je ping povoleny?

H.


: Re: 2 síťové karty
: joelp January 04, 2010, 10:53:34
Nastavení sítě na routerech je v pořádku. Ano, Mikrotik (RouterOS) toto umí a zvládá mnohem víc. V této kofiguraci to na MDV 2009.0 jelo.

Včera se mi to nějakým zázrakem podařilo uchodit, ale dnes jsem na to sáhl a můžu se třeba stavět na hlavu a zase to nejede. Dokonce mi nejde přepínat provoz pomocí metric a síť stále jede jen na lokální eth1 (eth0 jsem v biosu zakázal a teď mám eth1 a eth2). Teda jede, internet si bere z ethernetu, který má menší metriku, ale eth_wan (aby nebyly zmatky s eth0, eth1, eth2, .... ethx) stále z venku není vidět (nepingá)

V momentě, kdy jeden z ethernetů odeberu (softwarově s drakconf), tak ten druhý začne fungovat. (jede z něj internet a pingá)
Všiml jsem si, že se dvěma síťovkama to dokonce začíná hlásit při nastavování sítě pomocí ethernetu
:
Čekám na spuštění sítě               [SELHALO]
edit: Nic víc mi ale neprozradil.
Když nastavím ethernety pomocí souborů /etc/sysconfig/network-scripts/ifcfg-eth1/eth2 a restartuju síť service network restart, tak to chybu nevyhodí.

edit: jak tak procházím zdejší forum, tak začínám mít dojem, že v MDV 2010 je s 2 síťovíma rozhraníma problém :(


: Re: 2 síťové karty
: Hobil January 05, 2010, 07:46:18
Zkusim si to shrnout:
Do Mikrotiku jsou pripojeny vsechny kompy v LAN (vnitrni sit, Mikrotik jako router, NAT) i server (Mikrotik jako bridge)
V serveru mas nastavenou verejnou IP (eth0) a adresu vnitrni site (LAN, rekneme 192.168.x.x) na eth1.

Na kompech mas branu pro LAN 192.168.1.1 (Mikrotik)
Na serveru mas branu na eth0 dle poskytovatele, na eth0 (LAN) adresu Mikrotiku
Na Mikrotiku mas branu pro WAN dle poskytovatele

DNS mas na kompech bud Mikrotik nebo dle poskytovatele. V prvnim pripade by musel byt na Mikrotiku spusten rezim DNS serveru.

Aby jsi se z kompu (LAN) dostal ven, musis mit na Mikrotiku (WAN) svou verejnou IP adresu, a tim se dostavam k jadru pudla.

Dle mého neni mozne mit nastavenu stejnou verejnou IP na routru Mikrotik i serveru (nelze mit tutez adresu na dvou kusech hardware). Proto ti bezi bud jedna nebo druha moznost.

Mozne reseni je mit k inetu pripojeny server, druha sitovka by sla do Mikrotiku (WAN) a do nej by byly pripojeny i ostatni kompy (LAN). V ovladacim centru si naklikej sdilet pripojeni site. Mikrotik si nastav jako router a NAT (nemusis dal zatezovat server),  branou bude server. Do jednotlivych kompu i serveru zadej DNS poskytovatele (nemusis provozovat DNS server), do kompu (LAN) IP vnitrni site, mikrotik (LAN) dtto, v Mikrotiku ve  WAN dat jako branu adresu eth1 na serveru, eth0 na serveru IP dle poskytovatele (jede rovnou ven) a na eth1 serveru adresu brany vnitrni site.

H.


: Re: 2 síťové karty
: joelp January 05, 2010, 11:29:34
Ne, je to ještě trochu jinak. Zjistil jsem, že se cca před rokem topologie měnila takže ten server již není v bridge, ale je na routě. To ale nic nemění na tom, že to fungovalo. Raději přikládám obrázek.
(http://joelp.cz/ext-data/topology.png)

Route 2 samozřejmě obsahuje i NAT.
Interface má vždy IP, které je u něj napsána.

edit: DNS se používají od dodavatele konektivity. Kešovací DNS nepoužíváme, máme velmi dobrou otezvu dodavatelských DNS (4ms).


: Re: 2 síťové karty
: Hobil January 05, 2010, 15:36:19
Zapnes-li na serveru eth(0) 212.0.51.200 a druhá je vypnutá, pingnes na router i ven?
Pokud pripojis eth(1), kterou se pingnes kam? (router/ven/stroj v LAN)? Kam se propingnes z PC v LAN - router/srver/web?

Zapnes-li na serveru eth(1) 192.168.1.200 a druhá je vypnutá, pingnes na router i na stroje v LAN?
Pokud pripojis eth(0), kterou se propingnes kam? Kam se propingnes z PC v LAN?

Zkousel jsi pouzit tracepath nebo traceroute?

Switch je L3? Pouziva adaptivni switching? Pokud ano, mozna nastal cas ho smaznout (resetovat) a zacit znovu.

Ktera z adres (212.0.51.200 a 212.0.40.92) je verejna - dodana poskytovatelem? Protoze ma-li  server provozovat nejake verejne sluzby (web, ftp atd), mel by mit verejnou adresu a mikrotik by mel byt skutecne v bridgi. Pripadne by jsi musel mit nastaveno v Mikrotiku pri dotazech na 212.0.40.92 z venku presmerovani na server - coz nevim, jestli Mikrotik umoznuje. Je pak ovsem otazka, proc pripojeni k serveru protahovat pres router. Kdyz uz, spis bych tam dal hardwarovy fw, pred router presunul ten prepinac, který by mel: 1. linku na server pres fw a 2. na router pro LAN. Za routerem by uz nemuselo byt nic (ovsem dle velikosti site LAN). Co je to za router (ten mikrotik) - typ?

H.


: Re: 2 síťové karty
: joelp January 05, 2010, 16:50:17
Jsi si jistý, že jsi nepopletl označení ethx podle toho obrázku? Tak by mi při eth0 s veřejnou a neprohoděním kabelů nejelo vůbec nic.


: Re: 2 síťové karty
: Hobil January 05, 2010, 17:48:14
Jsi si jistý, že jsi nepopletl označení ethx podle toho obrázku? Tak by mi při eth0 s veřejnou a neprohoděním kabelů nejelo vůbec nic.
popravde jsem pri psani prispevku na oznaceni eth v obrazku nekoukal. Pocital jsem eth0 ven a eth1 LAN, myslim, ze to z prispevku jasne vyplyva. Omlouvam se za zmateni.
H.


: Re: 2 síťové karty
: joelp January 05, 2010, 19:01:09
Zapnes-li na serveru eth(1) 212.0.51.200 a druhá je vypnutá, pingnes na router i ven?
Pokud pripojis eth(0), kterou se pingnes kam? (router/ven/stroj v LAN)? Kam se propingnes z PC v LAN - router/srver/web?
Ano v tomto případě pingnu na router i ven.

V momentě, kdy připojím kabel k eth0, přestane pingat veřejná strana (eth1) a začne pingat LAN (eth0). Ze serveru pak odpingám všechny počítače na LAN, WAN i port SRV a pingnu do internetu.
Jakmile kabel k eth0 odpojím, začne pingat veřejná adresa na (eth1) a vše jede přes eth1. Když jsou ale kabely připojeny součastně delší dobu (cca minuta?), tak se již veřejná nerozjede a musím na pár vteřin odpojit kabel z eth1.


Zapnes-li na serveru eth(0) 192.168.1.200 a druhá je vypnutá, pingnes na router i na stroje v LAN?
Pokud pripojis eth(1), kterou se propingnes kam? Kam se propingnes z PC v LAN?
V tomto případě pingnu na všechny PC v LAN, na bránu, WAN i SRV + web. Když připojím kabel k eth1 nic se nezmění a jede dál jen eth0.
Z PC v LAN si pingnu vše kromě veřejné IP serveru.

Zkousel jsi pouzit tracepath nebo traceroute?
používám většinou mtr (vylepšený traceroute). Nerozumím kam tím míříš.

Switch je L3? Pouziva adaptivni switching? Pokud ano, mozna nastal cas ho smaznout (resetovat) a zacit znovu.
Switch je dokonce dle výrobce L4. Naní ale v něm nic nastaveno. Restart nic neřešil, tak jsem pro jistoto zkusil prachobyčelný 5 portový Streight a po zapnutí (všechny ethernety zapojeny) mi veřejná pingla 5x a pak zase ticho.

Ktera z adres (212.0.51.200 a 212.0.40.92) je verejna - dodana poskytovatelem?
Nerozumím otázce. Veřejné adresy jsou obě a obě dodané poskytovatelem.

Protoze ma-li  server provozovat nejake verejne sluzby (web, ftp atd), mel by mit verejnou adresu a mikrotik by mel byt skutecne v bridgi. Pripadne by jsi musel mit nastaveno v Mikrotiku pri dotazech na 212.0.40.92 z venku presmerovani na server - coz nevim, jestli Mikrotik umoznuje.
Na tu adresu 212.0.40.92 je naroutovaný jeden velký rozsah přímo od poskytovatele. A jeho část je naroutována na port SRV. Mikrotik umí vše co Linuxový router.

Je pak ovsem otazka, proc pripojeni k serveru protahovat pres router. Kdyz uz, spis bych tam dal hardwarovy fw, pred router presunul ten prepinac, který by mel: 1. linku na server pres fw a 2. na router pro LAN. Za routerem by uz nemuselo byt nic (ovsem dle velikosti site LAN). Co je to za router (ten mikrotik) - typ?
To je sice krásné řešení, ale pro těch pár počítačů (cca 15) a naše potřeby je to celkem drahé.
Jedná se o RB433:
CPU    300MHz
RAM 64MB
Architecture MIPS-BE
LAN ports    3
MiniPCI    3


Jen dodám, že IP adresy jsou smyšlené :)


: Re: 2 síťové karty
: Hobil January 05, 2010, 20:05:10
...používám většinou mtr (vylepšený traceroute). Nerozumím kam tím míříš...
No jde mi o to, jestli jsi vysledoval, kudy ty pakety cestuji. Jestli nedoslo k tomu, ze  jste zmenou topologie vytvorili smycku, coz je vec, se kterou se nektere switche spatne vyrovnavaji.

 Pokud síť obsahuje smyčku (mezi dvěma uzly existuje více než jedna cesta), mohou pakety od stejného odesilatele přicházet chaoticky z různých rozhraní a dokonce tentýž paket může do switche dorazit několikrát. Switch není v takovém prostředí schopen rozpoznat, kde se kdo nachází. Tento problém řeší switche mechanismem zvaným Spanning Tree protokol
(z http://cs.wikipedia.org/wiki/Switch)
H.


: Re: 2 síťové karty
: joelp January 05, 2010, 21:49:28
To by neměl být náš případ. Máme to zapojeno přesně podle toho obrázku. Ty 2 sítě se ve switchy nepotkají. Ale už mě to zakruhování taky napadlo, když jsem řešil METRIC. Prošel jsem to  jen tak zevrubně. Ještě se na to zaměřím.


: Re: 2 síťové karty
: joelp January 06, 2010, 18:38:26
Tady je výstup příkazu traceroute seznam.cz
Proč to hází takové výsledky (hvězdičky a vykřičníky) nevím. MTR mi jede normálně.

ETH1
 1  ip-212-0-51-193.static.xxx.cz (212.0.51.193)  2.003 ms  1.993 ms  1.992 ms
 2  ip-212-0-40-65.static.xxx.cz (212.0.40.65)  9.323 ms  9.582 ms  9.822 ms
 3  ip-212-0-32-1.static.xxx.cz (212.0.32.1)  14.087 ms  14.324 ms  14.493 ms
 4  217.197.155.9 (217.197.155.9)  20.669 ms  20.842 ms  21.014 ms
 5  * ge9-32-tr3.pop1.pra.sloane.cz (213.192.3.85)  21.250 ms  21.523 ms
 6  te4-1-s101.tr2.pop1.pra.sloane.cz (62.240.161.149)  21.730 ms  11.976 ms  18.100 ms
 7  * * *
 8  * * *
 9  * * *
10  * * *
11  * * *
12  * * *
13  * * *
14  * * *
15  * * *
16  * * *
17  * * *
18  * * *
19  * * *
20  * * *
21  * * *
22  * * *
23  * * *
24  * * *
25  * * *
26  * * *
27  * * *
28  * * *
29  * * *
30  * * *


ETH0
 1  192.168.1.1 (192.168.1.1)  2.452 ms  2.448 ms  2.457 ms
 2  ip-212-0-40-65.static.xxx.cz (212.0.40.65)  7.243 ms  7.602 ms  7.780 ms
 3  ip-212-0-32-1.static.xxx.cz (212.0.32.1)  14.114 ms  14.425 ms  14.655 ms
 4  217.197.155.9 (217.197.155.9)  17.664 ms  20.171 ms  20.529 ms
 5  ge9-32-tr3.pop1.pra.sloane.cz (213.192.3.85)  19.624 ms  19.861 ms  20.690 ms
 6  te4-1-s101.tr2.pop1.pra.sloane.cz (62.240.161.149)  20.966 ms  16.055 ms  14.801 ms
 7  nix2.seznam.cz (194.50.100.194)  18.555 ms !X * *

Nevidím nikde problém.


: Re: 2 síťové karty
: Hobil January 06, 2010, 21:18:07
Taky ne. Takze vic asi neporadim.
Zda je to bug v Mandrive zjistis tim, kdyz vyzkousis na miste serveru nejaky jiny stroj, kuprikladu slackware (rychly install a pruhledne nastavovani site v konfiguracich).

Mimochodem - ten mikrotik vypada pekne, a je za velmi rozumny peniz.

H.


: Re: 2 síťové karty
: joelp January 11, 2010, 00:06:02
Tak jsem testoval ve Virtualboxu 2010.0 a stejný problém. Pak jsem zkusil 2010.1 alfa 1 a ta jede bez problémů (sice si pingnu jen pomocí jednoho interface, ale to bych ožele) Oboje dvoje rozhraní odpovídají jako mají a při společné koexistenci se síť nerozpadne. l. V práci mám roztahovaný CentOS tak ještě testnu ten.


: Re: 2 síťové karty
: joelp January 27, 2010, 10:19:38
Po pár updatech (tipl bych to na drakxtools) se to rozchodilo. Sice má systém občas problém se sítí při změně konfigurace, ale obvikle pomůže service network restart (někdy až na poněkolikáté).

Takže děkuji za snahu pomoct. Už jsem uvažoval o jiné distribuci pro server, ale naštěstí nebyl čas a já se nerad zbavuju "kouzel" jako je service, drakbackup, ...