date:20141027

2014-10-27 Пенетрантность Vasiliy P. Melnik

Hello George,

Monday, October 27, 2014, 5:11:14 PM, you wrote:

>> И у меня до этого дня те хосты, что   не   резолвились   просто  в
>> таблицу  не  попадали,  но  скрипт инициализации таблиц не
>> останавливался.

GLY> Наверное, используете firewall_quiet в rc.conf либо свой скрипт вместо
GLY> штатного /etc/rc.firewall

Два  скрипта.  Первый  -  вместо  rc.firewall,  в  котором максимально
обезличено прописаны правила (порты-протоколы-интерфейсы-направления),
а второй запускается из rc.local c & и так и называется: tables.init.
-- 
Best regards,
 Alexandermailto:albor...@gmail.com

Re: [freebsd] nginx on openvpn's tun interface

tun используется для связи между сетями, если надо включить клиента в сеть
- лучше будет использовать tap.

В данном случае лучше использовать tap

27 октября 2014 г., 14:18 пользователь Anton Sayetsky 
написал:

> Ага, topology subnet
> Только вот всё равно непонятно, почему ответов с directly attached address
> нету.
>
> 27 октября 2014 г., 14:17 пользователь Andrey V. Elsukov
>  написал:
> > On 27.10.2014 15:09, Eugene Grosbein wrote:
> >> On 27.10.2014 19:06, Anton Sayetsky wrote:
> >>> Всё есть:
> >>> root@support00:/usr/local/etc/nginx# netstat -rn | fgrep '192.168.89.'
> >>> 192.168.89.0/24192.168.89.1   UGS 0 12917434   tun0
> >>> 192.168.89.1   link#3 UH  0   72   tun0
> >>
> >> В этом-то и проблема. У link#3 маршрут смотрит в tun0, а должен в lo0.
> >> Удали и пересоздай как я написал.
> >
> > у него оба конца туннеля указывают на один адрес, вот опенвпн и добавил
> > маршрут к дальнему конецу через tun0.
> >
> > --
> > WBR, Andrey V. Elsukov
>

Re: [freebsd] nginx on openvpn's tun interface

2014-10-27 Пенетрантность Владимир Друзенко


27.10.2014 15:36, Anton Sayetsky пишет:

У вас topology = net30, у меня = subnet
А зачем? (Кроме ситуации, когда в продакшине работает другой вариант, а 
хочется на фоне допилить этот).



27 октября 2014 г., 14:35 пользователь Владимир Друзенко
 написал:

27.10.2014 15:20, Eugene Grosbein пишет:


On 27.10.2014 19:17, Andrey V. Elsukov wrote:

On 27.10.2014 15:09, Eugene Grosbein wrote:

On 27.10.2014 19:06, Anton Sayetsky wrote:

Всё есть:
root@support00:/usr/local/etc/nginx# netstat -rn | fgrep '192.168.89.'
192.168.89.0/24192.168.89.1   UGS 0 12917434   tun0
192.168.89.1   link#3 UH  0   72   tun0

В этом-то и проблема. У link#3 маршрут смотрит в tun0, а должен в lo0.
Удали и пересоздай как я написал.

у него оба конца туннеля указывают на один адрес, вот опенвпн и добавил
маршрут к дальнему конецу через tun0.

Речь не про маршрут к дальнему концу. Речь про маршрут к ближнему концу.
Но таки да, с маршрутизацией у openvpn всё очень плохо. Почти никак.


$ ifconfig tun1
tun1: flags=8051 metric 0 mtu 1472
 options=8
 inet6 fe80::21e:67ff:fe02:91b3%tun1 prefixlen 64 scopeid 0xc
 inet 192.168.193.1 --> 192.168.193.2 netmask 0x
 nd6 options=21
 Opened by PID 71083

$ netstat -rn|grep '192.168.193.'
192.168.193.0/24   192.168.193.2  UGS 0   562251   tun1
192.168.193.1  link#12UHS 00lo0
192.168.193.2  link#12UH  00   tun1

$ fetch -qo - http://192.168.193.1/

Re: [freebsd] nginx on openvpn's tun interface

2014-10-27 Пенетрантность George L. Yermulnik

On 27.10.2014 16:44, Anton Sayetsky wrote:
> Спасибо, кэп. "Понять, почему" = "Найти, а потом исправить проблему".
> Сейчас ещё на 10.1 проверю, а позже на 9.3

Там будет так же.

-- 
WBR, Andrey V. Elsukov

Re: [freebsd] Странные падения сервера при переключении defaultroute

Hello!

On Mon, 27 Oct 2014 at 16:56:53 (+0300), Alexander wrote:

> >> И   если  прописывать  имя  в   формате   FQDN,   то   оно  нормально
> >> преобразовывается  в  ip-адрес.  Раньше  оно как-то и так резолвилось.

> GLY> На всякий случай: будьте осторожнее с добавлением хостнеймов в конфиг
> GLY> ipfw, а то если при буте сервера какой-то хостнейм не отрезолвится, то
> GLY> обработка конфига остановится на этом месте!

> Это  локальные  имена,  внутрисетевые.

Я это понял. Но только ipfw не знает об этом. ipfw умеет в таблицы
заносить имена джейлов или интерфейсов, которые от Ваших "локальных
имён" по сути ничем не отличаются. Поэтому он и не позволяет добавить
позже ip-адрес, т.к. таблица в его понимании содержит другой тип данных.

> И у меня до этого дня те хосты, что   не   резолвились   просто  в
> таблицу  не  попадали,  но  скрипт инициализации таблиц не
> останавливался.

Наверное, используете firewall_quiet в rc.conf либо свой скрипт вместо
штатного /etc/rc.firewall

-- 
George L. Yermulnik
[YZ-RIPE]

[freebsd] Re[2]: [freebsd] Странные падения сервера при переключении defaultroute

Hello George,

Monday, October 27, 2014, 3:53:07 PM, you wrote:

>> И   если  прописывать  имя  в   формате   FQDN,   то   оно  нормально
>> преобразовывается  в  ip-адрес.  Раньше  оно как-то и так резолвилось.

GLY> На всякий случай: будьте осторожнее с добавлением хостнеймов в конфиг
GLY> ipfw, а то если при буте сервера какой-то хостнейм не отрезолвится, то
GLY> обработка конфига остановится на этом месте!

Это  локальные  имена,  внутрисетевые. И у меня до этого дня те хосты,
что   не   резолвились   просто  в  таблицу  не  попадали,  но  скрипт
инициализации таблиц не останавливался. Кстати, инициализация фаервола
и  таблиц у меня разными скриптами проходит. Может, кстати, и поэтому.
В  памяти  всплывают тормоза при инициализации. Но подробностей уже не
помню - давно это было... Но, всё равно, спасибо за напоминание.
-- 
Best regards,
 Alexandermailto:albor...@gmail.com

Re: [freebsd] nginx on openvpn's tun interface

Спасибо, кэп. "Понять, почему" = "Найти, а потом исправить проблему".
Сейчас ещё на 10.1 проверю, а позже на 9.3

27 октября 2014 г., 15:36 пользователь Eugene Grosbein
 написал:
> On 27.10.2014 20:35, Anton Sayetsky wrote:
>> Блин, точно - забыл. Да, так работает.
>> Теперь бы ещё понять, почему сабж изначально не пашет, а негритянский
>> линух с тем же конфигом клиента пашет нормально. При
>> 192.168.89.8->192.168.89.8, а не 192.168.89.8->192.168.89.255
>
> Разные операционки потому что.
>
>

Re: [freebsd] nginx on openvpn's tun interface

On 27.10.2014 20:35, Anton Sayetsky wrote:
> Блин, точно - забыл. Да, так работает.
> Теперь бы ещё понять, почему сабж изначально не пашет, а негритянский
> линух с тем же конфигом клиента пашет нормально. При
> 192.168.89.8->192.168.89.8, а не 192.168.89.8->192.168.89.255

Разные операционки потому что.

Re: [freebsd] nginx on openvpn's tun interface

Блин, точно - забыл. Да, так работает.
Теперь бы ещё понять, почему сабж изначально не пашет, а негритянский
линух с тем же конфигом клиента пашет нормально. При
192.168.89.8->192.168.89.8, а не 192.168.89.8->192.168.89.255

27 октября 2014 г., 15:30 пользователь Eugene Grosbein
 написал:
> On 27.10.2014 20:28, Anton Sayetsky wrote:
>> И тогда локальный пингуется, всё остальное ломается :)
>
> Маршрут на "всё остальное" слетает после ifconfig, его надо тоже
> вручную добавить обратно: route add 192.168.89.0/24 -iface tun0
>
>

Re: [freebsd] nginx on openvpn's tun interface

On 27.10.2014 20:28, Anton Sayetsky wrote:
> И тогда локальный пингуется, всё остальное ломается :)

Маршрут на "всё остальное" слетает после ifconfig, его надо тоже
вручную добавить обратно: route add 192.168.89.0/24 -iface tun0

Re: [freebsd] nginx on openvpn's tun interface

И тогда локальный пингуется, всё остальное ломается :)

root@dt-support00:/usr/local/etc/openvpn# ifconfig tun0
tun0: flags=8051 metric 0 mtu 1500
options=8
inet6 fe80::21e:67ff:fead:6ab0%tun0 prefixlen 64 scopeid 0x3
inet 192.168.89.1 --> 192.168.89.255 netmask 0x0
nd6 options=21
Opened by PID 62070
root@dt-support00:/usr/local/etc/openvpn# ping -c 3 192.168.89.1
PING 192.168.89.1 (192.168.89.1): 56 data bytes
64 bytes from 192.168.89.1: icmp_seq=0 ttl=64 time=0.012 ms
64 bytes from 192.168.89.1: icmp_seq=1 ttl=64 time=0.014 ms
64 bytes from 192.168.89.1: icmp_seq=2 ttl=64 time=0.010 ms

--- 192.168.89.1 ping statistics ---
3 packets transmitted, 3 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 0.010/0.012/0.014/0.002 ms
root@dt-support00:/usr/local/etc/openvpn# ping -c 3 192.168.89.8
PING 192.168.89.8 (192.168.89.8): 56 data bytes

--- 192.168.89.8 ping statistics ---
3 packets transmitted, 0 packets received, 100.0% packet loss
root@dt-support00:/usr/local/etc/openvpn#

27 октября 2014 г., 15:24 пользователь Eugene Grosbein
 написал:
> On 27.10.2014 20:20, Anton Sayetsky wrote:
>> Разные адреса будут в случае topology _net30_, у меня же _subnet_
>
> В этом месте между ними никакой разницы.
>
>> Указано server 192.168.89.0 255.255.255.0
>
> В openvpn не даёт в subnet задать явно оба адреса на tun0?
> Всё ещё хуже, чем я думало.
>
> Ну тогда вручную, опять workaround, после поднятия туннеля:
>
> ifconfig tun0 inet 192.168.89.1 192.168.89.255
> route delete 192.168.89.1
> route add 192.168.89.1 -iface lo0
>

Re: [freebsd] nginx on openvpn's tun interface

On 27.10.2014 20:20, Anton Sayetsky wrote:
> Разные адреса будут в случае topology _net30_, у меня же _subnet_

В этом месте между ними никакой разницы.

> Указано server 192.168.89.0 255.255.255.0

В openvpn не даёт в subnet задать явно оба адреса на tun0?
Всё ещё хуже, чем я думало.

Ну тогда вручную, опять workaround, после поднятия туннеля:

ifconfig tun0 inet 192.168.89.1 192.168.89.255
route delete 192.168.89.1
route add 192.168.89.1 -iface lo0

Re: [freebsd] nginx on openvpn's tun interface

Разные адреса будут в случае topology _net30_, у меня же _subnet_
Указано server 192.168.89.0 255.255.255.0

Вот, кстати, убунта, подключенная к сабжевому серваку:
root@nd0 ~ # ifconfig tun0
tun0  Link encap:UNSPEC  HWaddr
00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
  inet addr:192.168.89.8  P-t-P:192.168.89.8  Mask:255.255.255.0
  UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
  RX packets:17878 errors:0 dropped:0 overruns:0 frame:0
  TX packets:17879 errors:0 dropped:0 overruns:0 carrier:0
  collisions:0 txqueuelen:100
  RX bytes:1037875 (1.0 MB)  TX bytes:1036229 (1.0 MB)

root@nd0 ~ # netstat -rn | fgrep '192.168.89.'
192.168.89.00.0.0.0 255.255.255.0   U 0 0  0 tun0
root@nd0 ~ # ping -c 3 192.168.89.8
PING 192.168.89.8 (192.168.89.8) 56(84) bytes of data.
64 bytes from 192.168.89.8: icmp_seq=1 ttl=64 time=0.037 ms
64 bytes from 192.168.89.8: icmp_seq=2 ttl=64 time=0.030 ms
64 bytes from 192.168.89.8: icmp_seq=3 ttl=64 time=0.031 ms

--- 192.168.89.8 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 1998ms
rtt min/avg/max/mdev = 0.030/0.032/0.037/0.007 ms
root@nd0 ~ # ping -c 3 192.168.89.1
PING 192.168.89.1 (192.168.89.1) 56(84) bytes of data.
64 bytes from 192.168.89.1: icmp_seq=1 ttl=64 time=0.424 ms
64 bytes from 192.168.89.1: icmp_seq=2 ttl=64 time=0.422 ms
64 bytes from 192.168.89.1: icmp_seq=3 ttl=64 time=0.528 ms

--- 192.168.89.1 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 1998ms
rtt min/avg/max/mdev = 0.422/0.458/0.528/0.049 ms
root@nd0 ~ #

Повторюсь - проблема только во фре и только при topology subnet.

27 октября 2014 г., 15:11 пользователь Eugene Grosbein
 написал:
> On 27.10.2014 20:00, Anton Sayetsky wrote:
>
>> 27 октября 2014 г., 14:52 пользователь Andrey V. Elsukov
>>  написал:
>>> On 27.10.2014 15:41, Anton Sayetsky wrote:
 Проверили на других машинах:
 фря, topology subnet - не пингуется
 фря, topology net30 - пингуется
 убунта, topology subnet - пингуется
>>>
>>> Если вам так уж необходимо, чтобы в выводе ifconfig показывалась
>>> маска сети /24, и всё работало, укажите там:
>>> # ifconfig tun0 inet 192.168.89.1 broadcast 192.168.89.255
>>> # route add 192.168.89.0/24 -iface tun0
>>>
>>> А так, это ж point-to-point интерфейс, тут вообще всё это неважно.
>
>> Мне вообще пофигу, что оно там показывает. Мне нужно, чтобы при
>> "topology subnet" сервер и клиенты OpenVPN могли пинговать себя, что
>> под убунтой пашет.
>>
>
> Вернемся к истокам:
>
> tun0: flags=8051 metric 0 mtu 1500
> options=8
> inet6 fe80::21e:67ff:fead:6ab0%tun0 prefixlen 64 scopeid 0x3
> inet 192.168.89.1 --> 192.168.89.1 netmask 0xff00
>
> Источник проблемы тут - 192.168.89.1 указан и в качестве локального,
> и в качестве удаленного адреса; не надо так. Поставь в качестве
> удаленного 192.168.89.255, к примеру.
>
>

Re: [freebsd] nginx on openvpn's tun interface

On 27.10.2014 20:00, Anton Sayetsky wrote:

> 27 октября 2014 г., 14:52 пользователь Andrey V. Elsukov
>  написал:
>> On 27.10.2014 15:41, Anton Sayetsky wrote:
>>> Проверили на других машинах:
>>> фря, topology subnet - не пингуется
>>> фря, topology net30 - пингуется
>>> убунта, topology subnet - пингуется
>>
>> Если вам так уж необходимо, чтобы в выводе ifconfig показывалась
>> маска сети /24, и всё работало, укажите там:
>> # ifconfig tun0 inet 192.168.89.1 broadcast 192.168.89.255
>> # route add 192.168.89.0/24 -iface tun0
>>
>> А так, это ж point-to-point интерфейс, тут вообще всё это неважно.

> Мне вообще пофигу, что оно там показывает. Мне нужно, чтобы при
> "topology subnet" сервер и клиенты OpenVPN могли пинговать себя, что
> под убунтой пашет.
> 

Вернемся к истокам:

tun0: flags=8051 metric 0 mtu 1500
options=8
inet6 fe80::21e:67ff:fead:6ab0%tun0 prefixlen 64 scopeid 0x3
inet 192.168.89.1 --> 192.168.89.1 netmask 0xff00

Источник проблемы тут - 192.168.89.1 указан и в качестве локального,
и в качестве удаленного адреса; не надо так. Поставь в качестве
удаленного 192.168.89.255, к примеру.

Re: [freebsd] nginx on openvpn's tun interface

Мне вообще пофигу, что оно там показывает. Мне нужно, чтобы при
"topology subnet" сервер и клиенты OpenVPN могли пинговать себя, что
под убунтой пашет.

27 октября 2014 г., 14:52 пользователь Andrey V. Elsukov
 написал:
> On 27.10.2014 15:41, Anton Sayetsky wrote:
>> Проверили на других машинах:
>> фря, topology subnet - не пингуется
>> фря, topology net30 - пингуется
>> убунта, topology subnet - пингуется
>
> Если вам так уж необходимо, чтобы в выводе ifconfig показывалась
> маска сети /24, и всё работало, укажите там:
> # ifconfig tun0 inet 192.168.89.1 broadcast 192.168.89.255
> # route add 192.168.89.0/24 -iface tun0
>
> А так, это ж point-to-point интерфейс, тут вообще всё это неважно.
>
> --
> WBR, Andrey V. Elsukov

Re: [freebsd] nginx on openvpn's tun interface

2014-10-27 Пенетрантность George L. Yermulnik

On 27.10.2014 19:36, Anton Sayetsky wrote:

А можно попросить не использовать топ-квотинг? Очень неудобно отвечать. Спасибо.

> Не даёт, ибо как можно удалить маршрут на directly connected?

Должно быть можно удалить. Ломать не строить.

> root@dt-support00:/usr/local/etc/nginx# service openvpn restart
> Stopping openvpn.
> Waiting for PIDS: 60320.
> Starting openvpn.
> add net 192.168.89.0: gateway 192.168.89.1
> root@dt-support00:/usr/local/etc/nginx# netstat -rn | fgrep '192.168.89.'
> 192.168.89.0/24192.168.89.1   UGS 02   tun0
> 192.168.89.1   link#3 UH  00   tun0
> root@dt-support00:/usr/local/etc/nginx# route delete 192.168.89.0/24
> delete net 192.168.89.0
> root@dt-support00:/usr/local/etc/nginx# route delete 192.168.89.1
> route: writing to routing socket: Address already in use
> delete host 192.168.89.1 fib 0: gateway uses the same route

Похоже, начиная с 9.2 ядро перестало разрешать удалять такие маршруты,
хотя раньше позволяло. Ok, значит, workaround-а больше нет и надо чинить
исходную проблему - фиксить openvpn на тему создания маршрута до .1 в lo0 
вместо tun0.

Re: [freebsd] Странные падения сервера при переключении defaultroute

Hello!

On Mon, 27 Oct 2014 at 15:36:14 (+0300), Alexander wrote:

> В общем, таблица не любит символьных и цифровых значений одновременно.

--- cut ---
 Lookup tables currently support only ports, jail IDs, IPv4/IPv6
 addresses and interface names. Wildcards is not supported for interface
 names.
--- cut ---

Вы ж ему не хостнейм даёте, а "jail ID" либо "interface name".
В таком режиме миксовать записи с ip-адресами не получится.
В код мне лезть лень, но, догадываюсь, что ipfw определяется хостнеймы
по наличию точек в имени.

> И   если  прописывать  имя  в   формате   FQDN,   то   оно  нормально
> преобразовывается  в  ip-адрес.  Раньше  оно как-то и так резолвилось.

На всякий случай: будьте осторожнее с добавлением хостнеймов в конфиг
ipfw, а то если при буте сервера какой-то хостнейм не отрезолвится, то
обработка конфига остановится на этом месте!

-- 
George L. Yermulnik
[YZ-RIPE]

Re: [freebsd] nginx on openvpn's tun interface

On 27.10.2014 15:41, Anton Sayetsky wrote:
> Проверили на других машинах:
> фря, topology subnet - не пингуется
> фря, topology net30 - пингуется
> убунта, topology subnet - пингуется

Если вам так уж необходимо, чтобы в выводе ifconfig показывалась
маска сети /24, и всё работало, укажите там:
# ifconfig tun0 inet 192.168.89.1 broadcast 192.168.89.255
# route add 192.168.89.0/24 -iface tun0

А так, это ж point-to-point интерфейс, тут вообще всё это неважно.

-- 
WBR, Andrey V. Elsukov

Re: [freebsd] nginx on openvpn's tun interface

Проверили на других машинах:
фря, topology subnet - не пингуется
фря, topology net30 - пингуется
убунта, topology subnet - пингуется

27 октября 2014 г., 14:36 пользователь Anton Sayetsky
 написал:
> У вас topology = net30, у меня = subnet
>
> 27 октября 2014 г., 14:35 пользователь Владимир Друзенко
>  написал:
>> 27.10.2014 15:20, Eugene Grosbein пишет:
>>
>>> On 27.10.2014 19:17, Andrey V. Elsukov wrote:

 On 27.10.2014 15:09, Eugene Grosbein wrote:
>
> On 27.10.2014 19:06, Anton Sayetsky wrote:
>>
>> Всё есть:
>> root@support00:/usr/local/etc/nginx# netstat -rn | fgrep '192.168.89.'
>> 192.168.89.0/24192.168.89.1   UGS 0 12917434   tun0
>> 192.168.89.1   link#3 UH  0   72   tun0
>
> В этом-то и проблема. У link#3 маршрут смотрит в tun0, а должен в lo0.
> Удали и пересоздай как я написал.

 у него оба конца туннеля указывают на один адрес, вот опенвпн и добавил
 маршрут к дальнему конецу через tun0.
>>>
>>> Речь не про маршрут к дальнему концу. Речь про маршрут к ближнему концу.
>>> Но таки да, с маршрутизацией у openvpn всё очень плохо. Почти никак.
>>>
>> $ ifconfig tun1
>> tun1: flags=8051 metric 0 mtu 1472
>> options=8
>> inet6 fe80::21e:67ff:fe02:91b3%tun1 prefixlen 64 scopeid 0xc
>> inet 192.168.193.1 --> 192.168.193.2 netmask 0x
>> nd6 options=21
>> Opened by PID 71083
>>
>> $ netstat -rn|grep '192.168.193.'
>> 192.168.193.0/24   192.168.193.2  UGS 0   562251   tun1
>> 192.168.193.1  link#12UHS 00lo0
>> 192.168.193.2  link#12UH  00   tun1
>>
>> $ fetch -qo - http://192.168.193.1/
>>  >
>> Никаких вышеописанных глюков незамечено.
>>
>>

Re: [freebsd] nginx on openvpn's tun interface

У вас topology = net30, у меня = subnet

27 октября 2014 г., 14:35 пользователь Владимир Друзенко
 написал:
> 27.10.2014 15:20, Eugene Grosbein пишет:
>
>> On 27.10.2014 19:17, Andrey V. Elsukov wrote:
>>>
>>> On 27.10.2014 15:09, Eugene Grosbein wrote:

 On 27.10.2014 19:06, Anton Sayetsky wrote:
>
> Всё есть:
> root@support00:/usr/local/etc/nginx# netstat -rn | fgrep '192.168.89.'
> 192.168.89.0/24192.168.89.1   UGS 0 12917434   tun0
> 192.168.89.1   link#3 UH  0   72   tun0

 В этом-то и проблема. У link#3 маршрут смотрит в tun0, а должен в lo0.
 Удали и пересоздай как я написал.
>>>
>>> у него оба конца туннеля указывают на один адрес, вот опенвпн и добавил
>>> маршрут к дальнему конецу через tun0.
>>
>> Речь не про маршрут к дальнему концу. Речь про маршрут к ближнему концу.
>> Но таки да, с маршрутизацией у openvpn всё очень плохо. Почти никак.
>>
> $ ifconfig tun1
> tun1: flags=8051 metric 0 mtu 1472
> options=8
> inet6 fe80::21e:67ff:fe02:91b3%tun1 prefixlen 64 scopeid 0xc
> inet 192.168.193.1 --> 192.168.193.2 netmask 0x
> nd6 options=21
> Opened by PID 71083
>
> $ netstat -rn|grep '192.168.193.'
> 192.168.193.0/24   192.168.193.2  UGS 0   562251   tun1
> 192.168.193.1  link#12UHS 00lo0
> 192.168.193.2  link#12UH  00   tun1
>
> $ fetch -qo - http://192.168.193.1/
>  
> Никаких вышеописанных глюков незамечено.
>
>

[freebsd] Re: [freebsd] Странные падения сервера при переключении defaultroute

Hello Vasiliy,

Monday, October 27, 2014, 12:00:04 PM, you wrote:

EG>> Вообще, с легко воспроизводимыми паниками бороться легче -
EG>> первым делом надо снять crashdump, как описано в Handbook.

VPM> Ага, легко - только первым делом надо обновиться хот бы до
VPM> релиза, а уже потом разбираться с паниками. 

После   перезагрузки  вылезла  пока  одна  неприятность.  В  интернете
обсуждения не нашёл. В ipfw у меня есть такая конструкция:
allow tcp from table(7) to 192.168.15.5 dst-port 80 setup

Раньше работало ipfw table 7 add injyt; ipfw table 7 add sbsve -
в таблицу попадали адреса после резолвинга. Сейчас же ipfw table 7 list
содержит символьные записи
injyt 0
sbsve 0
правило не работает. Попытка добавить ip вручную даёт ошибку:
ipfw table 7 add 192.168.0.182
ipfw: setsockopt(IP_FW_TABLE_XADD): Invalid argument
удалить-добавить запись можно без проблем:
ipfw table 7 delete injyt
ipfw table 7 add injyt

Если  расписать  правило  без  таблиц  -  всё работает нормально, но в
таблицах  может  быть  больше  сотни  записей.  Есть  таблицы, которые
меняются динамически в процессе рабочего дня.
-- 
Best regards,
 Alexandermailto:albor...@gmail.com

[freebsd] Re: [freebsd] Странные падения сервера при переключении defaultroute

Hello all,

Monday, October 27, 2014, 10:28:33 AM, you wrote:

EG>>> Вообще, с легко воспроизводимыми паниками бороться легче -
EG>>> первым делом надо снять crashdump, как описано в Handbook.

VPM>> Ага, легко - только первым делом надо обновиться хот бы до
VPM>> релиза, а уже потом разбираться с паниками.

A> После перезагрузки вылезла пока одна неприятность. В интернете
A> обсуждения не нашёл. В ipfw у меня есть такая конструкция:
A> allow tcp from table(7) to 192.168.15.5 dst-port 80 setup

A> Раньше работало ipfw table 7 add injyt; ipfw table 7 add sbsve -
A> в таблицу попадали адреса после резолвинга. Сейчас же ipfw table 7 list
A> содержит символьные записи
A> injyt 0
A> sbsve 0
A> правило не работает. Попытка добавить ip вручную даёт ошибку:
A> ipfw table 7 add 192.168.0.182
A> ipfw: setsockopt(IP_FW_TABLE_XADD): Invalid argument
A> удалить-добавить запись можно без проблем:
A> ipfw table 7 delete injyt
A> ipfw table 7 add injyt

A> Если расписать правило без таблиц - всё работает нормально, но в
A> таблицах может быть больше сотни записей. Есть таблицы, которые
A> меняются динамически в процессе рабочего дня.

В общем, таблица не любит символьных и цифровых значений одновременно.
И если прописывать имя в формате FQDN, то оно нормально
преобразовывается в ip-адрес. Раньше оно как-то и так резолвилось.
Пока упоминаний об этом нигде не нашёл, все наверное, уже и так об
этом знают, но если кто ещё не в курсе - ...

PS: пока разбирался с этой проблемой - упустил время разгрузки для
переключения маршрута. Завтра попробую...
--
Best regards,
Alexandermailto:albor...@gmail.com

Re: [freebsd] nginx on openvpn's tun interface

2014-10-27 Пенетрантность Владимир Друзенко

Не даёт, ибо как можно удалить маршрут на directly connected?
root@dt-support00:/usr/local/etc/nginx# service openvpn restart
Stopping openvpn.
Waiting for PIDS: 60320.
Starting openvpn.
add net 192.168.89.0: gateway 192.168.89.1
root@dt-support00:/usr/local/etc/nginx# netstat -rn | fgrep '192.168.89.'
192.168.89.0/24192.168.89.1   UGS 02   tun0
192.168.89.1   link#3 UH  00   tun0
root@dt-support00:/usr/local/etc/nginx# route delete 192.168.89.0/24
delete net 192.168.89.0
root@dt-support00:/usr/local/etc/nginx# route delete 192.168.89.1
route: writing to routing socket: Address already in use
delete host 192.168.89.1 fib 0: gateway uses the same route
root@dt-support00:/usr/local/etc/nginx#

27 октября 2014 г., 14:33 пользователь Eugene Grosbein
 написал:
> On 27.10.2014 19:27, Anton Sayetsky wrote:
>> Во-первых, какая разница?
>
> Разница в результате. Он будет другой, верный.
>
>> Во-вторых,
>> root@dt-support00:/usr/local/etc/nginx# route delete 192.168.89.1
>> route: writing to routing socket: Address already in use
>> delete host 192.168.89.1 fib 0: gateway uses the same route
>
> Возможно, нужно сначала удалить все маршруты, которые используют 192.168.89.1
> в качестве шлюза, а в конце добавить их заново:
>
> route delete 192.168.89.0/24
> route delete 192.168.89.1
> route add 192.168.89.1 -iface lo0
> route add 192.168.89.0/24 -iface tun0
>
> То есть, привести таблицу маршрутизации к нормальному виду,
> в каком opevpn её дожен бы изначально её сформировать.
>

Re: [freebsd] nginx on openvpn's tun interface


27.10.2014 15:20, Eugene Grosbein пишет:

On 27.10.2014 19:17, Andrey V. Elsukov wrote:

On 27.10.2014 15:09, Eugene Grosbein wrote:

On 27.10.2014 19:06, Anton Sayetsky wrote:

Всё есть:
root@support00:/usr/local/etc/nginx# netstat -rn | fgrep '192.168.89.'
192.168.89.0/24192.168.89.1   UGS 0 12917434   tun0
192.168.89.1   link#3 UH  0   72   tun0

В этом-то и проблема. У link#3 маршрут смотрит в tun0, а должен в lo0.
Удали и пересоздай как я написал.

у него оба конца туннеля указывают на один адрес, вот опенвпн и добавил
маршрут к дальнему конецу через tun0.

Речь не про маршрут к дальнему концу. Речь про маршрут к ближнему концу.
Но таки да, с маршрутизацией у openvpn всё очень плохо. Почти никак.


$ ifconfig tun1
tun1: flags=8051 metric 0 mtu 1472
options=8
inet6 fe80::21e:67ff:fe02:91b3%tun1 prefixlen 64 scopeid 0xc
inet 192.168.193.1 --> 192.168.193.2 netmask 0x
nd6 options=21
Opened by PID 71083

$ netstat -rn|grep '192.168.193.'
192.168.193.0/24   192.168.193.2  UGS 0   562251   tun1
192.168.193.1  link#12UHS 00lo0
192.168.193.2  link#12UH  00   tun1

$ fetch -qo - http://192.168.193.1/

Re: [freebsd] nginx on openvpn's tun interface

On 27.10.2014 19:27, Anton Sayetsky wrote:
> Во-первых, какая разница?

Разница в результате. Он будет другой, верный.

> Во-вторых,
> root@dt-support00:/usr/local/etc/nginx# route delete 192.168.89.1
> route: writing to routing socket: Address already in use
> delete host 192.168.89.1 fib 0: gateway uses the same route

Возможно, нужно сначала удалить все маршруты, которые используют 192.168.89.1
в качестве шлюза, а в конце добавить их заново:

route delete 192.168.89.0/24
route delete 192.168.89.1
route add 192.168.89.1 -iface lo0
route add 192.168.89.0/24 -iface tun0

То есть, привести таблицу маршрутизации к нормальному виду,
в каком opevpn её дожен бы изначально её сформировать.

Re: [freebsd] nginx on openvpn's tun interface

Во-первых, какая разница? Во-вторых,
root@dt-support00:/usr/local/etc/nginx# route delete 192.168.89.1
route: writing to routing socket: Address already in use
delete host 192.168.89.1 fib 0: gateway uses the same route
root@dt-support00:/usr/local/etc/nginx#


Он же используется OpenVPN

2014-10-27 14:25 GMT+02:00 Eugene Grosbein :
> On 27.10.2014 19:17, Anton Sayetsky wrote:
>> Что-то тут не то.
>> root@support00:/usr/local/etc/nginx# netstat -rn | fgrep '192.168.89.'
>> 192.168.89.0/24192.168.89.1   UGS 03   tun0
>> 192.168.89.1   link#3 UH  00   tun0
>> root@dt-support00:/usr/local/etc/nginx# route change -host
>> 192.168.89.1 -iface lo0
>> change host 192.168.89.1: gateway lo0
>> root@dt-support00:/usr/local/etc/nginx# netstat -rn | fgrep '192.168.89.'
>> 192.168.89.0/24192.168.89.1   UGS 07   tun0
>> 192.168.89.1   lo0UHS 00   tun0
>
> О боже мой, я разве неясно выражаюсь?
> Маршрут УДАЛИТЬ и создать заново. Не изменять, а удалить.
> И создать. Заново.
>
>

Re: [freebsd] nginx on openvpn's tun interface

On 27.10.2014 19:17, Anton Sayetsky wrote:
> Что-то тут не то.
> root@support00:/usr/local/etc/nginx# netstat -rn | fgrep '192.168.89.'
> 192.168.89.0/24192.168.89.1   UGS 03   tun0
> 192.168.89.1   link#3 UH  00   tun0
> root@dt-support00:/usr/local/etc/nginx# route change -host
> 192.168.89.1 -iface lo0
> change host 192.168.89.1: gateway lo0
> root@dt-support00:/usr/local/etc/nginx# netstat -rn | fgrep '192.168.89.'
> 192.168.89.0/24192.168.89.1   UGS 07   tun0
> 192.168.89.1   lo0UHS 00   tun0

О боже мой, я разве неясно выражаюсь?
Маршрут УДАЛИТЬ и создать заново. Не изменять, а удалить.
И создать. Заново.

Re: [freebsd] nginx on openvpn's tun interface

On 27.10.2014 19:17, Andrey V. Elsukov wrote:
> On 27.10.2014 15:09, Eugene Grosbein wrote:
>> On 27.10.2014 19:06, Anton Sayetsky wrote:
>>> Всё есть:
>>> root@support00:/usr/local/etc/nginx# netstat -rn | fgrep '192.168.89.'
>>> 192.168.89.0/24192.168.89.1   UGS 0 12917434   tun0
>>> 192.168.89.1   link#3 UH  0   72   tun0
>>
>> В этом-то и проблема. У link#3 маршрут смотрит в tun0, а должен в lo0.
>> Удали и пересоздай как я написал.
> 
> у него оба конца туннеля указывают на один адрес, вот опенвпн и добавил
> маршрут к дальнему конецу через tun0.

Речь не про маршрут к дальнему концу. Речь про маршрут к ближнему концу.
Но таки да, с маршрутизацией у openvpn всё очень плохо. Почти никак.

Re: [freebsd] nginx on openvpn's tun interface

Ага, topology subnet
Только вот всё равно непонятно, почему ответов с directly attached address нету.

27 октября 2014 г., 14:17 пользователь Andrey V. Elsukov
 написал:
> On 27.10.2014 15:09, Eugene Grosbein wrote:
>> On 27.10.2014 19:06, Anton Sayetsky wrote:
>>> Всё есть:
>>> root@support00:/usr/local/etc/nginx# netstat -rn | fgrep '192.168.89.'
>>> 192.168.89.0/24192.168.89.1   UGS 0 12917434   tun0
>>> 192.168.89.1   link#3 UH  0   72   tun0
>>
>> В этом-то и проблема. У link#3 маршрут смотрит в tun0, а должен в lo0.
>> Удали и пересоздай как я написал.
>
> у него оба конца туннеля указывают на один адрес, вот опенвпн и добавил
> маршрут к дальнему конецу через tun0.
>
> --
> WBR, Andrey V. Elsukov

Re: [freebsd] nginx on openvpn's tun interface

Что-то тут не то.
root@support00:/usr/local/etc/nginx# netstat -rn | fgrep '192.168.89.'
192.168.89.0/24192.168.89.1   UGS 03   tun0
192.168.89.1   link#3 UH  00   tun0
root@dt-support00:/usr/local/etc/nginx# route change -host
192.168.89.1 -iface lo0
change host 192.168.89.1: gateway lo0
root@dt-support00:/usr/local/etc/nginx# netstat -rn | fgrep '192.168.89.'
192.168.89.0/24192.168.89.1   UGS 07   tun0
192.168.89.1   lo0UHS 00   tun0
root@support00:/usr/local/etc/nginx#

27 октября 2014 г., 14:09 пользователь Eugene Grosbein
 написал:
> On 27.10.2014 19:06, Anton Sayetsky wrote:
>> Всё есть:
>> root@support00:/usr/local/etc/nginx# netstat -rn | fgrep '192.168.89.'
>> 192.168.89.0/24192.168.89.1   UGS 0 12917434   tun0
>> 192.168.89.1   link#3 UH  0   72   tun0
>
> В этом-то и проблема. У link#3 маршрут смотрит в tun0, а должен в lo0.
> Удали и пересоздай как я написал.
>

Re: [freebsd] nginx on openvpn's tun interface

On 27.10.2014 15:09, Eugene Grosbein wrote:
> On 27.10.2014 19:06, Anton Sayetsky wrote:
>> Всё есть:
>> root@support00:/usr/local/etc/nginx# netstat -rn | fgrep '192.168.89.'
>> 192.168.89.0/24192.168.89.1   UGS 0 12917434   tun0
>> 192.168.89.1   link#3 UH  0   72   tun0
> 
> В этом-то и проблема. У link#3 маршрут смотрит в tun0, а должен в lo0.
> Удали и пересоздай как я написал.

у него оба конца туннеля указывают на один адрес, вот опенвпн и добавил
маршрут к дальнему конецу через tun0.

-- 
WBR, Andrey V. Elsukov

Re: [freebsd] nginx on openvpn's tun interface

On 27.10.2014 19:06, Anton Sayetsky wrote:
> Всё есть:
> root@support00:/usr/local/etc/nginx# netstat -rn | fgrep '192.168.89.'
> 192.168.89.0/24192.168.89.1   UGS 0 12917434   tun0
> 192.168.89.1   link#3 UH  0   72   tun0

В этом-то и проблема. У link#3 маршрут смотрит в tun0, а должен в lo0.
Удали и пересоздай как я написал.

Re: [freebsd] nginx on openvpn's tun interface

Всё есть:
root@support00:/usr/local/etc/nginx# netstat -rn | fgrep '192.168.89.'
192.168.89.0/24192.168.89.1   UGS 0 12917434   tun0
192.168.89.1   link#3 UH  0   72   tun0
root@support00:/usr/local/etc/nginx#

27 октября 2014 г., 13:59 пользователь Eugene Grosbein
 написал:
> On 27.10.2014 18:51, Anton Sayetsky wrote:
>
>> При этом если делать fetch с любой другой машины, подключенной к этому
>> туннелю - всё ок. ЧЯДНТ?
>
> Используешь openvpn, авторы которого плохо умеют сети.
> Должен помочь workaround, добавь маршрут:
>
> route add -host 192.168.89.1 -iface lo0
>
> По хорошему, openvpn должен бы сам такие маршруты создавать
> при поднятии туннелей. Но это наименьшая проблема с маршрутизацией в openvpn.
>
>

Re: [freebsd] nginx on openvpn's tun interface

On 27.10.2014 18:51, Anton Sayetsky wrote:

> При этом если делать fetch с любой другой машины, подключенной к этому
> туннелю - всё ок. ЧЯДНТ?

Используешь openvpn, авторы которого плохо умеют сети.
Должен помочь workaround, добавь маршрут:

route add -host 192.168.89.1 -iface lo0

По хорошему, openvpn должен бы сам такие маршруты создавать
при поднятии туннелей. Но это наименьшая проблема с маршрутизацией в openvpn.

[freebsd] nginx on openvpn's tun interface

Приветствую,

Не работает сабж при запуске fetch с той же машины, где запущен nginx:

root@support00:/usr/local/etc/nginx# fgrep '192.168.' nginx.conf
listen 192.168.89.1 accept_filter=httpready;
root@support00:/usr/local/etc/nginx# sockstat -46 | fgrep nginx |
fgrep '192.168.'
www  nginx  57575 14 tcp4   192.168.89.1:80   *:*
www  nginx  57574 14 tcp4   192.168.89.1:80   *:*
www  nginx  57573 14 tcp4   192.168.89.1:80   *:*
www  nginx  57572 14 tcp4   192.168.89.1:80   *:*
www  nginx  57571 14 tcp4   192.168.89.1:80   *:*
www  nginx  57570 14 tcp4   192.168.89.1:80   *:*
www  nginx  57569 14 tcp4   192.168.89.1:80   *:*
www  nginx  57568 14 tcp4   192.168.89.1:80   *:*
root nginx  57567 14 tcp4   192.168.89.1:80   *:*
root@support00:/usr/local/etc/nginx# fetch -qo - http://192.168.89.1/
fetch: transfer timed out
root@support00:/usr/local/etc/nginx#

tcpdump видит запросы, ответов нет:
13:41:34.512225 IP (tos 0x10, ttl 64, id 3795, offset 0, flags [DF],
proto TCP (6), length 60)
192.168.89.1.56061 > 192.168.89.1.80: Flags [S], cksum 0x2904
(correct), seq 3046307514, win 65535, options [mss 1460,nop,wscale
6,sackOK,TS val 1877275689 ecr 0], length 0
13:41:37.540228 IP (tos 0x10, ttl 64, id 7387, offset 0, flags [DF],
proto TCP (6), length 60)
192.168.89.1.56061 > 192.168.89.1.80: Flags [S], cksum 0x1d2f
(correct), seq 3046307514, win 65535, options [mss 1460,nop,wscale
6,sackOK,TS val 1877278718 ecr 0], length 0
13:41:40.766640 IP (tos 0x10, ttl 64, id 10486, offset 0, flags [DF],
proto TCP (6), length 60)
192.168.89.1.56061 > 192.168.89.1.80: Flags [S], cksum 0x1095
(correct), seq 3046307514, win 65535, options [mss 1460,nop,wscale
6,sackOK,TS val 1877281944 ecr 0], length 0

Машина - OpenVPN-сервер, туннель такой:
root@support00:/usr/local/etc/nginx# ifconfig tun0
tun0: flags=8051 metric 0 mtu 1500
options=8
inet6 fe80::21e:67ff:fead:6ab0%tun0 prefixlen 64 scopeid 0x3
inet 192.168.89.1 --> 192.168.89.1 netmask 0xff00
nd6 options=21
Opened by PID 4047
root@support00:/usr/local/etc/nginx#

При этом если делать fetch с любой другой машины, подключенной к этому
туннелю - всё ок. ЧЯДНТ?

Re: [freebsd] Re[2]: [freebsd] Странные падения сервера при переключении defaultroute

On 27.10.2014 15:01, Andrey V. Elsukov wrote:

> подорожник, я его ко всему прикладываю :)
> Прежде чем начинать лечить, нужно диагноз поставить.
> Спонтанные ребуты без всяких сообщений могут быть следствием аппаратных
> проблем.

Могут. Поэтому первым делом обновиться до STABLE.
Если система способна не падая обновить мир - шансы аппаратных
проблем сильно снижаются.

Re: [freebsd] Re[2]: [freebsd] Странные падения сервера при переключении defaultroute