Не доступны часть хостов за openvpn сервером.

bridge, kvm, openvpn, tcp

0

2

Собственно действующие лица.

C(10.9.1.6) - openvpn клиент, он же мой домашний комп.

H1 - гипервизор 1

H2 - гипервизор 2

S - Openvpn сервер.

A(1.1.1.1) - Хост за openvpn к которому не могу получить доступ

B(10.9.4.6) - Хост за openvpn к которому получаю доступ.

Ниже небольшой дамп трафика. Возможно немного изыбточен.

No.     Time           Source                Destination           Protocol Length Info
      3 9.559971000    10.9.1.6              10.9.4.6              TCP      60     52592 > ssh [SYN] Seq=0 Win=29200 Len=0 MSS=1460 SACK_PERM=1 TSval=160332589 TSecr=0 WS=128
      4 9.563355000    10.9.4.6              10.9.1.6              TCP      60     ssh > 52592 [SYN, ACK] Seq=0 Ack=1 Win=17896 Len=0 MSS=1350 SACK_PERM=1 TSval=2551354587 TSecr=160332589 WS=16
      5 9.563390000    10.9.1.6              10.9.4.6              TCP      52     52592 > ssh [ACK] Seq=1 Ack=1 Win=29312 Len=0 TSval=160332590 TSecr=2551354587
      6 9.564074000    10.9.1.6              10.9.4.6              SSHv2    93     Encrypted request packet len=41
      7 9.575086000    10.9.4.6              10.9.1.6              SSHv2    91     Encrypted response packet len=39
      8 9.575138000    10.9.1.6              10.9.4.6              TCP      52     52592 > ssh [ACK] Seq=42 Ack=40 Win=29312 Len=0 TSval=160332593 TSecr=2551354590
      9 9.577299000    10.9.4.6              10.9.1.6              TCP      52     ssh > 52592 [ACK] Seq=40 Ack=42 Win=17904 Len=0 TSval=2551354591 TSecr=160332591
     10 9.577457000    10.9.1.6              10.9.4.6              SSHv2    1390   Encrypted request packet len=1338
     11 9.577470000    10.9.1.6              10.9.4.6              SSHv2    682    Encrypted request packet len=630
     12 9.579814000    10.9.4.6              10.9.1.6              SSHv2    1036   Server: Key Exchange Init
     13 9.584270000    10.9.4.6              10.9.1.6              TCP      52     ssh > 52592 [ACK] Seq=1024 Ack=2010 Win=23248 Len=0 TSval=2551354592 TSecr=160332594
     14 9.584309000    10.9.1.6              10.9.4.6              SSHv2    132    Client: Diffie-Hellman Key Exchange Init
     15 9.592395000    10.9.4.6              10.9.1.6              SSHv2    364    Server: New Keys
     16 9.600723000    10.9.1.6              10.9.4.6              SSHv2    68     Client: New Keys
     17 9.652438000    10.9.4.6              10.9.1.6              TCP      52     ssh > 52592 [ACK] Seq=1336 Ack=2106 Win=23248 Len=0 TSval=2551354610 TSecr=160332600
     18 9.652460000    10.9.1.6              10.9.4.6              SSHv2    100    Encrypted request packet len=48
     19 9.654897000    10.9.4.6              10.9.1.6              TCP      52     ssh > 52592 [ACK] Seq=1336 Ack=2154 Win=23248 Len=0 TSval=2551354610 TSecr=160332613
     20 9.693788000    10.9.4.6              10.9.1.6              SSHv2    100    Encrypted response packet len=48
     21 9.695094000    10.9.1.6              10.9.4.6              SSHv2    116    Encrypted request packet len=64
     22 9.723264000    10.9.4.6              10.9.1.6              SSHv2    116    Encrypted response packet len=64
     23 9.723384000    10.9.1.6              10.9.4.6              SSHv2    420    Encrypted request packet len=368
     24 9.726646000    10.9.4.6              10.9.1.6              SSHv2    116    Encrypted response packet len=64
     25 9.764015000    10.9.1.6              10.9.4.6              TCP      52     52592 > ssh [ACK] Seq=2586 Ack=1512 Win=33152 Len=0 TSval=160332641 TSecr=2551354628
     27 17.995759000   10.9.1.6              10.9.4.6              SSHv2    196    Encrypted request packet len=144
     28 17.998470000   10.9.4.6              10.9.1.6              SSHv2    116    Encrypted response packet len=64
     29 17.998494000   10.9.1.6              10.9.4.6              TCP      52     52592 > ssh [ACK] Seq=2730 Ack=1576 Win=33152 Len=0 TSval=160334699 TSecr=2551356696
     30 18.615094000   10.9.1.6              10.9.4.6              TCP      52     52592 > ssh [FIN, ACK] Seq=2730 Ack=1576 Win=33152 Len=0 TSval=160334853 TSecr=2551356696
     31 18.621556000   10.9.4.6              10.9.1.6              TCP      52     ssh > 52592 [FIN, ACK] Seq=1576 Ack=2731 Win=25936 Len=0 TSval=2551356851 TSecr=160334853
     32 18.621580000   10.9.1.6              10.9.4.6              TCP      52     52592 > ssh [ACK] Seq=2731 Ack=1577 Win=33152 Len=0 TSval=160334855 TSecr=2551356851
     33 25.050726000   10.9.1.6              1.1.1.1         TCP      60     53546 > ssh [SYN] Seq=0 Win=29200 Len=0 MSS=1460 SACK_PERM=1 TSval=160336462 TSecr=0 WS=128
     34 25.053453000   1.1.1.1         10.9.1.6              TCP      60     ssh > 53546 [SYN, ACK] Seq=0 Ack=1 Win=5792 Len=0 MSS=1350 SACK_PERM=1 TSval=826064470 TSecr=160336462 WS=128
     35 25.053479000   10.9.1.6              1.1.1.1         TCP      52     53546 > ssh [ACK] Seq=1 Ack=1 Win=29312 Len=0 TSval=160336463 TSecr=826064470
     36 25.053843000   10.9.1.6              1.1.1.1         SSHv2    93     Client: Unknown (46)
     37 25.097466000   1.1.1.1         10.9.1.6              TCP      52     ssh > 53546 [ACK] Seq=1 Ack=42 Win=5888 Len=0 TSval=826064514 TSecr=160336463
     38 25.137494000   1.1.1.1         10.9.1.6              SSHv2    72     Server: Unknown (46)
     39 25.315694000   1.1.1.1         10.9.1.6              SSHv2    72     [TCP Retransmission] Server: Unknown (46)
     40 25.720827000   1.1.1.1         10.9.1.6              SSHv2    72     [TCP Retransmission] Server: Unknown (46)
     41 26.529580000   1.1.1.1         10.9.1.6              SSHv2    72     [TCP Retransmission] Server: Unknown (46)
     42 28.146574000   1.1.1.1         10.9.1.6              SSHv2    72     [TCP Retransmission] Server: Unknown (46)
     43 31.378740000   1.1.1.1         10.9.1.6              SSHv2    72     [TCP Retransmission] Server: Unknown (46)

Интерес вызывают пакеты 3-6 и 33-36, и в том и в другом случае первые 3 пакета это обычное установление tcp соединения. А вот дальше немного странная вещь получается, wire shark не может разобрать содержимое пакета 36(openvpn client), хотя содержимое tcp пакета совпадает с содержимым пакета под номером 6, который wireshark разбирает. Как видим пакет 37 от хоста A это подтвеждение, о том что 36 пакет получен. Пакет 38, хост посылает информацию о своей версии openvpn, которую wireshark опять разобрать не может. Сессия зависает. Так с любым tcp/ip соединением.

Небольшая предыстрия.

Openvpn сервер и хост к которому я хочу подключиться работали как машины kvm на гипервизоре H1, потом были перенесены на H2. Доступ получают через один и тот же bridge, на предыдущем гипервизоре все работало. Хост B это реальная машина. Так же есть нормальный доступ через openvpn сервер к виртуальным машинам которые находятся в другом bridge.

Между самим openvpn сервером и проблемным хостом номально устанавливаются соединения и бегает трафик, а вот с клиентов за openvpn сервером проблемы.

Ссылка

←	Интерпретация la (утилита top)

Определить несанкционированное проникновение

→

А что с маршрутами?

turtle_bazon ★★★★★
(08.03.15 20:16:32 MSK)

Ответ на: комментарий от turtle_bazon 08.03.15 20:16:32 MSK

Ну как бы пакеты в нужные места добегают. Иначе не устанавливалось бы соединение.

swelf ★
(08.03.15 20:58:13 MSK) автор топика

С mtu игрался уже, разумеется?

~~xtraeft~~ ★★☆☆
(08.03.15 21:29:31 MSK)

Ответ на: комментарий от xtraeft 08.03.15 21:29:31 MSK

А чего с ним играться?

1)ping -s 1472 -M do <host> проходит

2)пакеты, которые участвуют в инициализациизации ssh соединения не большого размера.

3)С двух сторон дамп трафика абсолютно одинаковый, в случае потери пакетов, я бы это заметил.

4)С хостами, которые находятся в другом бридже проблем нету.

swelf ★
(08.03.15 23:50:34 MSK) автор топика

Ссылка

Ответ на: комментарий от swelf 08.03.15 20:58:13 MSK

А в другие нужные не добегают. Поэтому и спросил про маршруты ip route list покажешь? На обоих точках.

turtle_bazon ★★★★★
(09.03.15 05:50:09 MSK)

Ответ на: комментарий от turtle_bazon 09.03.15 05:50:09 MSK

В какие другие? Пакеты доходят до проблемного хоста, просто после установки tcp соединения ничего дальше не работает.

Это на моем компе, клиент

$ ip r
default via 192.168.0.1 dev eth0  proto static 
10.9.0.6 via 10.9.1.5 dev tun0 
10.9.1.0/24 via 10.9.1.5 dev tun0 
10.9.1.5 dev tun0  proto kernel  scope link  src 10.9.1.6 
10.9.4.0/24 via 10.9.1.5 dev tun0 
10.11.0.0/24 via 10.9.1.5 dev tun0 
192.168.0.0/24 dev eth0  proto kernel  scope link  src 192.168.0.101  metric 1 
192.168.4.0/24 via 10.9.1.5 dev tun0 
1.1.1.1 via 10.9.1.5 dev tun0

Это на проблемном, за сервером сервером.

# ip r
1.1.1.0/27 dev eth0  proto kernel  scope link  src 1.1.1.1 
10.9.1.0/24 via 1.1.1.23 dev eth0  
default via 1.1.1.2 dev eth0

1.1.1.23 - openvpn сервер.

swelf ★
(09.03.15 13:32:01 MSK) автор топика

Ответ на: комментарий от swelf 09.03.15 13:32:01 MSK

Ага. Лень было читать дамп. Судя по дампу у тебя и ssh нормально работает. Уверен, что проблема не в самом ssh сервере?

turtle_bazon ★★★★★
(09.03.15 20:40:45 MSK)

Ответ на: комментарий от turtle_bazon 09.03.15 20:40:45 MSK

ssh для примера, с http теже дела. Да и работает он, если я перенесу хост на другой гипервизор, то проблема уйдет, но надо ж разобраться.

swelf ★
(10.03.15 00:13:24 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Интерпретация la (утилита top)

Admin

Определить несанкционированное проникновение

→

Похожие темы