Portweiterleitung auf IP-Alias tut ploetzlich nicht mehr

    Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

    • Portweiterleitung auf IP-Alias tut ploetzlich nicht mehr

      Hallo zusammen,

      Vorstellungsthreads gibt es hier wohl nicht, daher komme ich gleich zu meinem Problem. ;)

      Mercury Appliance mit 2.2.1 (jaja, "aaalt", aber bisher tat es).

      Setup:
      simple, ein /24 innen ("Gruen") und ein /26 aussen ("Rot").
      Dazu noch ein paar IPsec Verbindungen, aber die sollten hier nichts zur Sache haben.

      Auf "Rot" sind neben der eigentlichen IP noch ein paar IP-Aliase angelegt.
      Aus c&p Gruenden hier mal der Output von 'ip addr list' (die ersten 2 Oktete anonymisiert):

      Quellcode

      1. inet 12.34.246.5/26 brd 12.34.246.63 scope global eth4
      2. inet 12.34.246.53/26 brd 12.34.246.63 scope global secondary eth4
      3. inet 12.34.246.54/26 brd 12.34.246.63 scope global secondary eth4
      4. inet 12.34.246.33/26 brd 12.34.246.63 scope global secondary eth4
      5. inet 12.34.246.55/26 brd 12.34.246.63 scope global secondary eth4


      Ich wuerde ja eigentlich Aliase mit /32 anlegen - aber so habe ich dieses Setup "bekommen".

      Es gibt fuer die secondary jeweils mehrere Portweiterleitungen. Diese haben bisher
      auch alle funktioniert.
      Seit heute Mittag ergab es sich, dass die Weiterleitungen via .55 ploetzlich nicht
      mehr funktioniert haben.
      Vom Client aus gesehen.. "Operation timed out".

      Nach einigem hin&her hatte ich erst den Verdacht eines Overflows im conntrack,
      aber weder ein flush/reload von iptables noch ein Reboot (!) haben geholfen.

      Ich bin dann alle Regeln nochmal durchgegangen, kein logischer Fehler zu
      entdecken. Mir fiel dabei auf, dass NUR Weiterleitungen auf die .55 nicht
      funktionieren (auch nach dem Reboot).

      Just to be sure, habe ich alle Weiterleitungen auf .55 geloescht. Das Alias
      geloescht (alles via Webinterface). Die .55 neu angelegt (wieder mit /26)
      und EINE Weiterleitung angelegt.

      Kein Erfolg.

      If nothing helps, ask tcpdump. Habe ich getan. Es kommt NIX auf .55 an.
      Routing seitens ISP kann ich ausschliessen, alle IPs werden
      gleich angesprochen lt. traceroute. Man weiss ja nie, was so per Routing-Announcement
      durch die Gegend springt.

      Also..
      - es hat die letzten 100-120 Tage (uptime war auf jeden Fall ueber 100) funktioniert
      - es bleibt auf EINER secondary-IP ploetzlich stehen - sogar tcpdump sieht nichts mehr?!
      - restart does not help
      - reboot does not help

      Ich bin etwas ratlos. Die Suche nach '[aA]lias' hat nicht viel ergeben, bei "port-weiterleitung"
      bekam ich eine Meldung, dass dieses Suchwort "zu haeufig" vorkomme :roll:

      In TCP/IP bin ich nun wirklich nicht unerfahren (hab selber schon an kernel-filtering mitprogrammiert)
      aber DAS Phaenomen hab ich noch nie gesehen.

      Hat einer eine weiterfuehrende Idee?
      Software-Update? -> wieso hat's dann die letzten 100+Tage funktioniert & auch ein Reboot bringt nix (kmem/proc-exhaust..)

      Verzwicktes Thema - ich weiss, wuerde mich trotzdem auf Antworten oder Nachfragen freuen.
      Ich kann mich auch mehr als "rudimentaer" auf einem Linux (bzw Shell) bewegen ;)

      TIA,
      fips
    • Re: Portweiterleitung auf IP-Alias tut ploetzlich nicht mehr

      Also ich tipp da trotzdem auf ein Problem vom ISP bzw. Router.

      Hast du einmal versucht dich mit einem Rechner zwischen Router und Firewall zu hängen und die .55 zu pingen bzw. einen Dienst der Port-Weiterleitung zu erreichen.
      Eventuell brauchst halt am Rechner eine IP die derzeit als Alias zugewiesen ist. Dann musst sie halt an der Firewall rausnehmen.

      Ich habe die deutsche Übersetzung der Endian Firewall verbrochen ;)