Logo Море(!) аналитической информации!
IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware
Архив форумов ЦИТФорума
Море(!) вопросов - Море(!) ответов
 
 FAQFAQ   ПоискПоиск   ПользователиПользователи   ГруппыГруппы   РегистрацияРегистрация 
 ПрофильПрофиль   Войти и проверить личные сообщенияВойти и проверить личные сообщения   ВходВход 
Как правильно задавать вопросы

проблема с gif-туннелем

 
Перейти:  
Этот форум закрыт, вы не можете писать новые сообщения и редактировать старые.   Эта тема закрыта, вы не можете писать ответы и редактировать сообщения.    Список форумов Архив форумов ЦИТФорума -> Unix
Предыдущая тема :: Следующая тема  
Автор Сообщение
Alexandra



Зарегистрирован: 30.01.2005
Сообщения: 13

СообщениеДобавлено: Пт Мар 31 2006 11:33    Заголовок сообщения: проблема с gif-туннелем Ответить с цитатой

Добрый день. Обращаюсь за помощью мирового разума, может хоть намекнете, где копать Smile

Итак. Есть центральный офис, есть филиалы. Связываются филиалы с центр. офисом посредством нешифрованных gif-туннелей, поднимаемых между серваками, на которых стоят: в центр. офисе FreeBSD 5.4R, в филиалах - на первом FreeBSD 5.2.1R, а на втором - тоже FreeBSD 5.4R.

Итак, теперь оставим только то, что нам нужно - один сервер с 5.4 в центре и два филиала. Туннели от центра на оба филиала подняты абсолютно одинаково, стандартно: gif-интерфейсы: (выдержка из rc.conf одного филиала) :
gif_interfaces="gif0 gif1"
gifconfig_gif0="real-ip-филиала real-ip-центра"
ifconfig_gif0="inet 10.55.3.34 10.55.3.33 netmask 255.255.255.252 mtu 1500 up"
и еще поднят аналогичный туннель на питерский сервак. Во втором филиале абсолютно аналогичная ситуация - те же два туннеля.
На обоих филиалах используется ipfw (на всякий случай).
И вот проблема - некоторое время назад туннель с первым филиалом стал падать. Работает-работает и через какое-то время отваливается. Если при этом запустить пинг с центр сервака, то он опять поднимается сам и все прекрасно работает (у нас теперь бесконечные пинги целыми днями включены), т.е. ему нужна какая-то активность с нашей стороны. На их серваке ничего в последнее время не делали и не переделывали.

Далее, со вторым филиалом тоже наблюдалась проблема, но сначала другого характера - там туннель периодически "отключался" на пару секунд, потом снова "включался". Я ставила на ИХ серваке пинг на наш сервак и смотрела tcpdump по gif-концам туннеля на обоих серваках. Моменты "отключения" выглядели так - с ИХ конца пакеты в туннель уходят, а с центр конца - даже не появляются...(в туннеле пакетожуйка сидит Laughing ).. так было до недавнего времени. А буквально пару дней назад (и опять же мы уже месяц там ничего не делали) туннель стал отваливаться полностью точно так же, как и в ситуации с первым филиалом. При этом на обоих филиалах такие же туннели с питером работают нормально.

Сразу приходит в голову мысль - ну так проблема тогда, наверное в центр. серваке! Логично, согласна, но и с этим серваком мы давно ничего не делали в конструктивном или деструктивном плане. Такое впечатление, что все произошло ВДРУГ.

В общем, совещания с коллегами ничего не дали, ломаем голову, не знаем, куда смотреть и кого увольнять. Посоветуйте что-нибудь, а? пожаааааааалусто. Может еще чего сообщить надо?
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
bsDrake



Зарегистрирован: 19.07.2005
Сообщения: 8

СообщениеДобавлено: Сб Апр 29 2006 12:34    Заголовок сообщения: Ответить с цитатой

я бы сначала смотрел сети через которые эти туннели проброшены, наверняка проблема не в серверах (мне сложно представить что-то более железное, чем gif). ну а вместо того, что бы кого-то увольнять Smile, я бы пробросил pptp и/или ipsec туннели и посмотрел как они себя ведут
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
and3008



Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород

СообщениеДобавлено: Сб Апр 29 2006 13:19    Заголовок сообщения: Ответить с цитатой

Ну в общем-то все тривиально.

1. Смотрим доки на по организации туннеля. Ищем упоминания о пакетах keepalive и/или установлении туннеля по требованию.

2. Смотрим на сетевую инфраструктуру. Особое внимание пограничным роутерам. Смотрим на настроку MTU.

3. В качестве теста пробуем уменьшить MTU на одной стороне. Все равно на какой, но только на одной.

4. Проведите эксперимент. Дождитесь падения канала. После этого проведите трассировку (traceroute) по обычному, не туннельному маршруту. Обратите внимание на места, где появляются наибольшие задержки.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Alexandra



Зарегистрирован: 30.01.2005
Сообщения: 13

СообщениеДобавлено: Пт Май 05 2006 09:44    Заголовок сообщения: Ответить с цитатой

Спасибо за советы, возьму на вооружение. Smile

А с основной проблемой полного отваливания туннелей все оказалось до безобразия просто, даже стыдно как-то Embarassed конечно же дело оказалось в ipfw на центр. серваке. У нас практически все на keep-state заделано, ну и вот как-то насчет внутренних адресов концов туннеля мы это учли (ну чтобы инициировать соединение с той стороны тоже могли), а вот про реальники-то забыли!! ну и понятное дело при отсутствии активности с нашей стороны туннель падал, потому что никакие пакеты с ТОЙ стороны (с реальника) не пускались Laughing
Вот Embarassed

Ну теперь надо попробовать посмотреть, откуда потери, хотя в хандбуке писали, что потери будут по-любому, но немного. А еще надо IPSEC настроить.... Shocked

В общем, всем спасибо, не судите строго Embarassed
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Показать сообщения:   
Этот форум закрыт, вы не можете писать новые сообщения и редактировать старые.   Эта тема закрыта, вы не можете писать ответы и редактировать сообщения.    Список форумов Архив форумов ЦИТФорума -> Unix Часовой пояс: GMT + 3
Страница 1 из 1

 
Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах


Powered by phpBB © 2001, 2002 phpBB Group
Русская поддержка phpBB

 

IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware

Информация для рекламодателей PR-акции, размещение рекламы — adv@citforum.ru,
тел. +7 495 6608306, ICQ 232284597
Пресс-релизы — pr@citforum.ru
Послать комментарий
Информация для авторов
This Web server launched on February 24, 1997
Copyright © 1997-2000 CIT, © 2001-2006 CIT Forum
Внимание! Любой из материалов, опубликованных на этом сервере, не может быть воспроизведен в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения владельцев авторских прав. Подробнее...