Forum Linux.général reseau et routage

Posté par . Licence CC by-sa
1
22
avr.
2014

Bonjour à toi forum,
malgré l'humidité ambiante, je seche depuis quelques jours sur un probleme de reseau, qui, bien que non bloquant, ne me semble pas normal.

ma config est la suivante :
PC <-> switchA <-> switchB <->parefeu pfsense <-> switchB <->switchA <-> box 1 ou box 2 <-> internet

evidemment y a du VLANs la dedans
PC sur vlan1, ip en 192.168.0.0/17 (entre 192.168.0.1 et 192.168.127.254)
box1 (ou box2) sur vlan 210 (ou 220), IPs en 192.168.210.1 (ou 192.168.220.1)
le pfsense dispose d'une carte sur chaque vlan 1/210/220

les switchs sont trunks sur les vlans 1/210/220

mais quand je fais un traceroute ou un mtr, si jamais je sors par numericable, ca m'envoie un resultat similaire à celui là

monuser@monlaptop:~ $ mtr google.fr --report
Start: Tue Apr 22 17:04:09 2014
HOST: monlaptop              Loss%   Snt   Last   Avg  Best  Wrst StDev
  1.|-- box2                 0.0%    10    0.9   0.8   0.6   1.0   0.0
  2.|-- pfsense                   0.0%    10    6.9   6.9   6.1   7.8   0.5
  3.|-- ip-129.net-80-236-9.asnie  0.0%    10    7.9   7.5   6.5   8.4   0.3

je trouve etrange que mon first hop soit ma box, qui renvoie à pfsense, pour finalement sortir directement.

evidemment comme je suis loadbalancé entre 2 box, quand ca passe par l'autre box, les choses se font normalement

1.|-- pfsense
2.|-- box1
3.|-- fai1
...
  • # Besoin de plus d'infos

    Posté par . Évalué à 1.

    Bonjour,

    Regardes l'adresse mac de destination du premier paquet que tu envois et vois si ça colle à ce que tu veux faire.

    Pour clarifier les choses, switchA et switchB sont bien les mêmes switch avant et après pfsense?
    Si oui le PC est bien directement sur le même switch que les deux box?

    Peux-tu nous fournir ta table de routage locale et en particulier ta passerelle par défaut?

    En effet c'est ta table de routage et la passerelle par défaut qui va définir vers quel nœud réseau va partir le paquet lorsque tu l'envois vers l'extérieur en mettant la bonne adresse mac dans le header ethernet.

    • [^] # Re: Besoin de plus d'infos

      Posté par (page perso) . Évalué à 2. Dernière modification le 22/04/14 à 21:14.

      +1 pb de routage ?

          ipcalc 192.168.0.0/17
          Address:   192.168.0.0          11000000.10101000.0 0000000.00000000
          Netmask:   255.255.128.0 = 17   11111111.11111111.1 0000000.00000000
          Wildcard:  0.0.127.255          00000000.00000000.0 1111111.11111111
          =>
          Network:   192.168.0.0/17       11000000.10101000.0 0000000.00000000
          HostMin:   192.168.0.1          11000000.10101000.0 0000000.00000001
          HostMax:   192.168.127.254      11000000.10101000.0 1111111.11111110
          Broadcast: 192.168.127.255      11000000.10101000.0 1111111.11111111
          Hosts/Net: 32766                 Class C, Private Internet

      ça devrait passer par ton routeur pfsense ( qui route les vlans ? sont bien étanches ? )

      Tracer les eventuels icmp redirect avec wireshark/tcpdump.

      Système - Réseau - Sécurité Open Source

    • [^] # Re: Besoin de plus d'infos

      Posté par . Évalué à 2.

      je ne suis plus au bureau donc je reverifierais les reglages et les routes, mais
      - je suis en DHCP,
      - j'arrete le PC tous les soirs, et le demarre tous les matins.

      PC : sur le vlan1 (par defaut sur le switchA, untagged), IP 192.168.0.15/17, passerelle 192.168.1.2

      Pfsense :
      - sur le vlan1 sur le switchB, IP LAN 192.168.1.2/17
      - sur le vlan 210 sur le switchB, IP WAN 192.168.210.210/24, passerelle 192.168.210.1
      - sur le vlan 220 sur le switchB, IP WAN 192.168.220.220/24, passerelle 192.168.220.1

      Les box A et B, chacune sur son VLANs directement sur le switchA.
      les VLANs ne communiquent pas entre eux.

      • [^] # Re: Besoin de plus d'infos

        Posté par (page perso) . Évalué à 2. Dernière modification le 23/04/14 à 13:21.

        Les vlans 210/220 sont bien taggués ?
        Visible dans le vlan d'administration.

        Tu devrais pas pourvoir tapper en direct les box sinon du bypass la couche ip ( arp ).

        Quand cela se passe, fais un

        ip neigh show

        pour voir si c'est le cas.

        Système - Réseau - Sécurité Open Source

        • [^] # Re: Besoin de plus d'infos

          Posté par . Évalué à 2.

          les vlans 210/220 sont
          untagged sur le port switch relié à la box
          tagged sur les autres ports (le trunk interswitch, le port de PFsense)

          le vlan1 est untagged partout

          ~ $ ip neigh show
          192.168.1.105 dev eth0 lladdr 00:00:85:be:8c:ef STALE
          192.168.2.128 dev eth0 lladdr 4e:dd:f6:ac:21:e7 STALE
          192.168.2.104 dev eth0 lladdr ba:25:61:7c:01:c7 DELAY
          192.168.1.2 dev eth0 lladdr 4e:dd:f6:ac:21:e7 REACHABLE
          
          ~$ ip route
          default via 192.168.1.2 dev eth0  proto static 
          192.168.0.0/17 dev eth0  proto kernel  scope link  src 192.168.0.15  metric 1

          1.104 et 1.105 sont des imprimantes
          2.128 et 1.2 sont le routeur par son IP reelle et son IP failover

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.