[freebsd] Re: [freebsd] Re[2]: [freebsd] Странные падения сервера при переключении defaultroute
Здравствуйте. Поставьте atop для мониторинга подобных подземных стуков. И, если возможно, подключить консоль с редиректом на соседний сервер. 27 октября 2014 г., 22:15 пользователь Alexander написал: > Hello George, > > Monday, October 27, 2014, 5:11:14 PM, you wrote: > > >> И у меня до этого дня те хосты, что не резолвились просто в > >> таблицу не попадали, но скрипт инициализации таблиц не > >> останавливался. > > GLY> Наверное, используете firewall_quiet в rc.conf либо свой скрипт вместо > GLY> штатного /etc/rc.firewall > > Два скрипта. Первый - вместо rc.firewall, в котором максимально > обезличено прописаны правила (порты-протоколы-интерфейсы-направления), > а второй запускается из rc.local c & и так и называется: tables.init. > -- > Best regards, > Alexandermailto:albor...@gmail.com > > -- Vladislav V. Prodan System & Network Administrator support.od.ua
[freebsd] Re[2]: [freebsd] Странные падения сервера при переключении defaultroute
Hello George, Monday, October 27, 2014, 5:11:14 PM, you wrote: >> И у меня до этого дня те хосты, что не резолвились просто в >> таблицу не попадали, но скрипт инициализации таблиц не >> останавливался. GLY> Наверное, используете firewall_quiet в rc.conf либо свой скрипт вместо GLY> штатного /etc/rc.firewall Два скрипта. Первый - вместо rc.firewall, в котором максимально обезличено прописаны правила (порты-протоколы-интерфейсы-направления), а второй запускается из rc.local c & и так и называется: tables.init. -- Best regards, Alexandermailto:albor...@gmail.com
Re: [freebsd] nginx on openvpn's tun interface
tun используется для связи между сетями, если надо включить клиента в сеть - лучше будет использовать tap. В данном случае лучше использовать tap 27 октября 2014 г., 14:18 пользователь Anton Sayetsky написал: > Ага, topology subnet > Только вот всё равно непонятно, почему ответов с directly attached address > нету. > > 27 октября 2014 г., 14:17 пользователь Andrey V. Elsukov > написал: > > On 27.10.2014 15:09, Eugene Grosbein wrote: > >> On 27.10.2014 19:06, Anton Sayetsky wrote: > >>> Всё есть: > >>> root@support00:/usr/local/etc/nginx# netstat -rn | fgrep '192.168.89.' > >>> 192.168.89.0/24192.168.89.1 UGS 0 12917434 tun0 > >>> 192.168.89.1 link#3 UH 0 72 tun0 > >> > >> В этом-то и проблема. У link#3 маршрут смотрит в tun0, а должен в lo0. > >> Удали и пересоздай как я написал. > > > > у него оба конца туннеля указывают на один адрес, вот опенвпн и добавил > > маршрут к дальнему конецу через tun0. > > > > -- > > WBR, Andrey V. Elsukov >
Re: [freebsd] nginx on openvpn's tun interface
27.10.2014 15:36, Anton Sayetsky пишет: У вас topology = net30, у меня = subnet А зачем? (Кроме ситуации, когда в продакшине работает другой вариант, а хочется на фоне допилить этот). 27 октября 2014 г., 14:35 пользователь Владимир Друзенко написал: 27.10.2014 15:20, Eugene Grosbein пишет: On 27.10.2014 19:17, Andrey V. Elsukov wrote: On 27.10.2014 15:09, Eugene Grosbein wrote: On 27.10.2014 19:06, Anton Sayetsky wrote: Всё есть: root@support00:/usr/local/etc/nginx# netstat -rn | fgrep '192.168.89.' 192.168.89.0/24192.168.89.1 UGS 0 12917434 tun0 192.168.89.1 link#3 UH 0 72 tun0 В этом-то и проблема. У link#3 маршрут смотрит в tun0, а должен в lo0. Удали и пересоздай как я написал. у него оба конца туннеля указывают на один адрес, вот опенвпн и добавил маршрут к дальнему конецу через tun0. Речь не про маршрут к дальнему концу. Речь про маршрут к ближнему концу. Но таки да, с маршрутизацией у openvpn всё очень плохо. Почти никак. $ ifconfig tun1 tun1: flags=8051 metric 0 mtu 1472 options=8 inet6 fe80::21e:67ff:fe02:91b3%tun1 prefixlen 64 scopeid 0xc inet 192.168.193.1 --> 192.168.193.2 netmask 0x nd6 options=21 Opened by PID 71083 $ netstat -rn|grep '192.168.193.' 192.168.193.0/24 192.168.193.2 UGS 0 562251 tun1 192.168.193.1 link#12UHS 00lo0 192.168.193.2 link#12UH 00 tun1 $ fetch -qo - http://192.168.193.1/
Re: [freebsd] nginx on openvpn's tun interface
On 27.10.2014 16:44, Anton Sayetsky wrote: > Спасибо, кэп. "Понять, почему" = "Найти, а потом исправить проблему". > Сейчас ещё на 10.1 проверю, а позже на 9.3 Там будет так же. -- WBR, Andrey V. Elsukov
Re: [freebsd] Странные падения сервера при переключении defaultroute
Hello! On Mon, 27 Oct 2014 at 16:56:53 (+0300), Alexander wrote: > >> И если прописывать имя в формате FQDN, то оно нормально > >> преобразовывается в ip-адрес. Раньше оно как-то и так резолвилось. > GLY> На всякий случай: будьте осторожнее с добавлением хостнеймов в конфиг > GLY> ipfw, а то если при буте сервера какой-то хостнейм не отрезолвится, то > GLY> обработка конфига остановится на этом месте! > Это локальные имена, внутрисетевые. Я это понял. Но только ipfw не знает об этом. ipfw умеет в таблицы заносить имена джейлов или интерфейсов, которые от Ваших "локальных имён" по сути ничем не отличаются. Поэтому он и не позволяет добавить позже ip-адрес, т.к. таблица в его понимании содержит другой тип данных. > И у меня до этого дня те хосты, что не резолвились просто в > таблицу не попадали, но скрипт инициализации таблиц не > останавливался. Наверное, используете firewall_quiet в rc.conf либо свой скрипт вместо штатного /etc/rc.firewall -- George L. Yermulnik [YZ-RIPE]
[freebsd] Re[2]: [freebsd] Странные падения сервера при переключении defaultroute
Hello George, Monday, October 27, 2014, 3:53:07 PM, you wrote: >> И если прописывать имя в формате FQDN, то оно нормально >> преобразовывается в ip-адрес. Раньше оно как-то и так резолвилось. GLY> На всякий случай: будьте осторожнее с добавлением хостнеймов в конфиг GLY> ipfw, а то если при буте сервера какой-то хостнейм не отрезолвится, то GLY> обработка конфига остановится на этом месте! Это локальные имена, внутрисетевые. И у меня до этого дня те хосты, что не резолвились просто в таблицу не попадали, но скрипт инициализации таблиц не останавливался. Кстати, инициализация фаервола и таблиц у меня разными скриптами проходит. Может, кстати, и поэтому. В памяти всплывают тормоза при инициализации. Но подробностей уже не помню - давно это было... Но, всё равно, спасибо за напоминание. -- Best regards, Alexandermailto:albor...@gmail.com
Re: [freebsd] nginx on openvpn's tun interface
Спасибо, кэп. "Понять, почему" = "Найти, а потом исправить проблему". Сейчас ещё на 10.1 проверю, а позже на 9.3 27 октября 2014 г., 15:36 пользователь Eugene Grosbein написал: > On 27.10.2014 20:35, Anton Sayetsky wrote: >> Блин, точно - забыл. Да, так работает. >> Теперь бы ещё понять, почему сабж изначально не пашет, а негритянский >> линух с тем же конфигом клиента пашет нормально. При >> 192.168.89.8->192.168.89.8, а не 192.168.89.8->192.168.89.255 > > Разные операционки потому что. > >
Re: [freebsd] nginx on openvpn's tun interface
On 27.10.2014 20:35, Anton Sayetsky wrote: > Блин, точно - забыл. Да, так работает. > Теперь бы ещё понять, почему сабж изначально не пашет, а негритянский > линух с тем же конфигом клиента пашет нормально. При > 192.168.89.8->192.168.89.8, а не 192.168.89.8->192.168.89.255 Разные операционки потому что.
Re: [freebsd] nginx on openvpn's tun interface
Блин, точно - забыл. Да, так работает. Теперь бы ещё понять, почему сабж изначально не пашет, а негритянский линух с тем же конфигом клиента пашет нормально. При 192.168.89.8->192.168.89.8, а не 192.168.89.8->192.168.89.255 27 октября 2014 г., 15:30 пользователь Eugene Grosbein написал: > On 27.10.2014 20:28, Anton Sayetsky wrote: >> И тогда локальный пингуется, всё остальное ломается :) > > Маршрут на "всё остальное" слетает после ifconfig, его надо тоже > вручную добавить обратно: route add 192.168.89.0/24 -iface tun0 > >
Re: [freebsd] nginx on openvpn's tun interface
On 27.10.2014 20:28, Anton Sayetsky wrote: > И тогда локальный пингуется, всё остальное ломается :) Маршрут на "всё остальное" слетает после ifconfig, его надо тоже вручную добавить обратно: route add 192.168.89.0/24 -iface tun0
Re: [freebsd] nginx on openvpn's tun interface
И тогда локальный пингуется, всё остальное ломается :) root@dt-support00:/usr/local/etc/openvpn# ifconfig tun0 tun0: flags=8051 metric 0 mtu 1500 options=8 inet6 fe80::21e:67ff:fead:6ab0%tun0 prefixlen 64 scopeid 0x3 inet 192.168.89.1 --> 192.168.89.255 netmask 0x0 nd6 options=21 Opened by PID 62070 root@dt-support00:/usr/local/etc/openvpn# ping -c 3 192.168.89.1 PING 192.168.89.1 (192.168.89.1): 56 data bytes 64 bytes from 192.168.89.1: icmp_seq=0 ttl=64 time=0.012 ms 64 bytes from 192.168.89.1: icmp_seq=1 ttl=64 time=0.014 ms 64 bytes from 192.168.89.1: icmp_seq=2 ttl=64 time=0.010 ms --- 192.168.89.1 ping statistics --- 3 packets transmitted, 3 packets received, 0.0% packet loss round-trip min/avg/max/stddev = 0.010/0.012/0.014/0.002 ms root@dt-support00:/usr/local/etc/openvpn# ping -c 3 192.168.89.8 PING 192.168.89.8 (192.168.89.8): 56 data bytes --- 192.168.89.8 ping statistics --- 3 packets transmitted, 0 packets received, 100.0% packet loss root@dt-support00:/usr/local/etc/openvpn# 27 октября 2014 г., 15:24 пользователь Eugene Grosbein написал: > On 27.10.2014 20:20, Anton Sayetsky wrote: >> Разные адреса будут в случае topology _net30_, у меня же _subnet_ > > В этом месте между ними никакой разницы. > >> Указано server 192.168.89.0 255.255.255.0 > > В openvpn не даёт в subnet задать явно оба адреса на tun0? > Всё ещё хуже, чем я думало. > > Ну тогда вручную, опять workaround, после поднятия туннеля: > > ifconfig tun0 inet 192.168.89.1 192.168.89.255 > route delete 192.168.89.1 > route add 192.168.89.1 -iface lo0 >
Re: [freebsd] nginx on openvpn's tun interface
On 27.10.2014 20:20, Anton Sayetsky wrote: > Разные адреса будут в случае topology _net30_, у меня же _subnet_ В этом месте между ними никакой разницы. > Указано server 192.168.89.0 255.255.255.0 В openvpn не даёт в subnet задать явно оба адреса на tun0? Всё ещё хуже, чем я думало. Ну тогда вручную, опять workaround, после поднятия туннеля: ifconfig tun0 inet 192.168.89.1 192.168.89.255 route delete 192.168.89.1 route add 192.168.89.1 -iface lo0
Re: [freebsd] nginx on openvpn's tun interface
Разные адреса будут в случае topology _net30_, у меня же _subnet_ Указано server 192.168.89.0 255.255.255.0 Вот, кстати, убунта, подключенная к сабжевому серваку: root@nd0 ~ # ifconfig tun0 tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 inet addr:192.168.89.8 P-t-P:192.168.89.8 Mask:255.255.255.0 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1 RX packets:17878 errors:0 dropped:0 overruns:0 frame:0 TX packets:17879 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:1037875 (1.0 MB) TX bytes:1036229 (1.0 MB) root@nd0 ~ # netstat -rn | fgrep '192.168.89.' 192.168.89.00.0.0.0 255.255.255.0 U 0 0 0 tun0 root@nd0 ~ # ping -c 3 192.168.89.8 PING 192.168.89.8 (192.168.89.8) 56(84) bytes of data. 64 bytes from 192.168.89.8: icmp_seq=1 ttl=64 time=0.037 ms 64 bytes from 192.168.89.8: icmp_seq=2 ttl=64 time=0.030 ms 64 bytes from 192.168.89.8: icmp_seq=3 ttl=64 time=0.031 ms --- 192.168.89.8 ping statistics --- 3 packets transmitted, 3 received, 0% packet loss, time 1998ms rtt min/avg/max/mdev = 0.030/0.032/0.037/0.007 ms root@nd0 ~ # ping -c 3 192.168.89.1 PING 192.168.89.1 (192.168.89.1) 56(84) bytes of data. 64 bytes from 192.168.89.1: icmp_seq=1 ttl=64 time=0.424 ms 64 bytes from 192.168.89.1: icmp_seq=2 ttl=64 time=0.422 ms 64 bytes from 192.168.89.1: icmp_seq=3 ttl=64 time=0.528 ms --- 192.168.89.1 ping statistics --- 3 packets transmitted, 3 received, 0% packet loss, time 1998ms rtt min/avg/max/mdev = 0.422/0.458/0.528/0.049 ms root@nd0 ~ # Повторюсь - проблема только во фре и только при topology subnet. 27 октября 2014 г., 15:11 пользователь Eugene Grosbein написал: > On 27.10.2014 20:00, Anton Sayetsky wrote: > >> 27 октября 2014 г., 14:52 пользователь Andrey V. Elsukov >> написал: >>> On 27.10.2014 15:41, Anton Sayetsky wrote: Проверили на других машинах: фря, topology subnet - не пингуется фря, topology net30 - пингуется убунта, topology subnet - пингуется >>> >>> Если вам так уж необходимо, чтобы в выводе ifconfig показывалась >>> маска сети /24, и всё работало, укажите там: >>> # ifconfig tun0 inet 192.168.89.1 broadcast 192.168.89.255 >>> # route add 192.168.89.0/24 -iface tun0 >>> >>> А так, это ж point-to-point интерфейс, тут вообще всё это неважно. > >> Мне вообще пофигу, что оно там показывает. Мне нужно, чтобы при >> "topology subnet" сервер и клиенты OpenVPN могли пинговать себя, что >> под убунтой пашет. >> > > Вернемся к истокам: > > tun0: flags=8051 metric 0 mtu 1500 > options=8 > inet6 fe80::21e:67ff:fead:6ab0%tun0 prefixlen 64 scopeid 0x3 > inet 192.168.89.1 --> 192.168.89.1 netmask 0xff00 > > Источник проблемы тут - 192.168.89.1 указан и в качестве локального, > и в качестве удаленного адреса; не надо так. Поставь в качестве > удаленного 192.168.89.255, к примеру. > >
Re: [freebsd] nginx on openvpn's tun interface
On 27.10.2014 20:00, Anton Sayetsky wrote: > 27 октября 2014 г., 14:52 пользователь Andrey V. Elsukov > написал: >> On 27.10.2014 15:41, Anton Sayetsky wrote: >>> Проверили на других машинах: >>> фря, topology subnet - не пингуется >>> фря, topology net30 - пингуется >>> убунта, topology subnet - пингуется >> >> Если вам так уж необходимо, чтобы в выводе ifconfig показывалась >> маска сети /24, и всё работало, укажите там: >> # ifconfig tun0 inet 192.168.89.1 broadcast 192.168.89.255 >> # route add 192.168.89.0/24 -iface tun0 >> >> А так, это ж point-to-point интерфейс, тут вообще всё это неважно. > Мне вообще пофигу, что оно там показывает. Мне нужно, чтобы при > "topology subnet" сервер и клиенты OpenVPN могли пинговать себя, что > под убунтой пашет. > Вернемся к истокам: tun0: flags=8051 metric 0 mtu 1500 options=8 inet6 fe80::21e:67ff:fead:6ab0%tun0 prefixlen 64 scopeid 0x3 inet 192.168.89.1 --> 192.168.89.1 netmask 0xff00 Источник проблемы тут - 192.168.89.1 указан и в качестве локального, и в качестве удаленного адреса; не надо так. Поставь в качестве удаленного 192.168.89.255, к примеру.
Re: [freebsd] nginx on openvpn's tun interface
Мне вообще пофигу, что оно там показывает. Мне нужно, чтобы при "topology subnet" сервер и клиенты OpenVPN могли пинговать себя, что под убунтой пашет. 27 октября 2014 г., 14:52 пользователь Andrey V. Elsukov написал: > On 27.10.2014 15:41, Anton Sayetsky wrote: >> Проверили на других машинах: >> фря, topology subnet - не пингуется >> фря, topology net30 - пингуется >> убунта, topology subnet - пингуется > > Если вам так уж необходимо, чтобы в выводе ifconfig показывалась > маска сети /24, и всё работало, укажите там: > # ifconfig tun0 inet 192.168.89.1 broadcast 192.168.89.255 > # route add 192.168.89.0/24 -iface tun0 > > А так, это ж point-to-point интерфейс, тут вообще всё это неважно. > > -- > WBR, Andrey V. Elsukov
Re: [freebsd] nginx on openvpn's tun interface
On 27.10.2014 19:36, Anton Sayetsky wrote: А можно попросить не использовать топ-квотинг? Очень неудобно отвечать. Спасибо. > Не даёт, ибо как можно удалить маршрут на directly connected? Должно быть можно удалить. Ломать не строить. > root@dt-support00:/usr/local/etc/nginx# service openvpn restart > Stopping openvpn. > Waiting for PIDS: 60320. > Starting openvpn. > add net 192.168.89.0: gateway 192.168.89.1 > root@dt-support00:/usr/local/etc/nginx# netstat -rn | fgrep '192.168.89.' > 192.168.89.0/24192.168.89.1 UGS 02 tun0 > 192.168.89.1 link#3 UH 00 tun0 > root@dt-support00:/usr/local/etc/nginx# route delete 192.168.89.0/24 > delete net 192.168.89.0 > root@dt-support00:/usr/local/etc/nginx# route delete 192.168.89.1 > route: writing to routing socket: Address already in use > delete host 192.168.89.1 fib 0: gateway uses the same route Похоже, начиная с 9.2 ядро перестало разрешать удалять такие маршруты, хотя раньше позволяло. Ok, значит, workaround-а больше нет и надо чинить исходную проблему - фиксить openvpn на тему создания маршрута до .1 в lo0 вместо tun0.
Re: [freebsd] Странные падения сервера при переключении defaultroute
Hello! On Mon, 27 Oct 2014 at 15:36:14 (+0300), Alexander wrote: > В общем, таблица не любит символьных и цифровых значений одновременно. --- cut --- Lookup tables currently support only ports, jail IDs, IPv4/IPv6 addresses and interface names. Wildcards is not supported for interface names. --- cut --- Вы ж ему не хостнейм даёте, а "jail ID" либо "interface name". В таком режиме миксовать записи с ip-адресами не получится. В код мне лезть лень, но, догадываюсь, что ipfw определяется хостнеймы по наличию точек в имени. > И если прописывать имя в формате FQDN, то оно нормально > преобразовывается в ip-адрес. Раньше оно как-то и так резолвилось. На всякий случай: будьте осторожнее с добавлением хостнеймов в конфиг ipfw, а то если при буте сервера какой-то хостнейм не отрезолвится, то обработка конфига остановится на этом месте! -- George L. Yermulnik [YZ-RIPE]
Re: [freebsd] nginx on openvpn's tun interface
On 27.10.2014 15:41, Anton Sayetsky wrote: > Проверили на других машинах: > фря, topology subnet - не пингуется > фря, topology net30 - пингуется > убунта, topology subnet - пингуется Если вам так уж необходимо, чтобы в выводе ifconfig показывалась маска сети /24, и всё работало, укажите там: # ifconfig tun0 inet 192.168.89.1 broadcast 192.168.89.255 # route add 192.168.89.0/24 -iface tun0 А так, это ж point-to-point интерфейс, тут вообще всё это неважно. -- WBR, Andrey V. Elsukov
Re: [freebsd] nginx on openvpn's tun interface
Проверили на других машинах: фря, topology subnet - не пингуется фря, topology net30 - пингуется убунта, topology subnet - пингуется 27 октября 2014 г., 14:36 пользователь Anton Sayetsky написал: > У вас topology = net30, у меня = subnet > > 27 октября 2014 г., 14:35 пользователь Владимир Друзенко > написал: >> 27.10.2014 15:20, Eugene Grosbein пишет: >> >>> On 27.10.2014 19:17, Andrey V. Elsukov wrote: On 27.10.2014 15:09, Eugene Grosbein wrote: > > On 27.10.2014 19:06, Anton Sayetsky wrote: >> >> Всё есть: >> root@support00:/usr/local/etc/nginx# netstat -rn | fgrep '192.168.89.' >> 192.168.89.0/24192.168.89.1 UGS 0 12917434 tun0 >> 192.168.89.1 link#3 UH 0 72 tun0 > > В этом-то и проблема. У link#3 маршрут смотрит в tun0, а должен в lo0. > Удали и пересоздай как я написал. у него оба конца туннеля указывают на один адрес, вот опенвпн и добавил маршрут к дальнему конецу через tun0. >>> >>> Речь не про маршрут к дальнему концу. Речь про маршрут к ближнему концу. >>> Но таки да, с маршрутизацией у openvpn всё очень плохо. Почти никак. >>> >> $ ifconfig tun1 >> tun1: flags=8051 metric 0 mtu 1472 >> options=8 >> inet6 fe80::21e:67ff:fe02:91b3%tun1 prefixlen 64 scopeid 0xc >> inet 192.168.193.1 --> 192.168.193.2 netmask 0x >> nd6 options=21 >> Opened by PID 71083 >> >> $ netstat -rn|grep '192.168.193.' >> 192.168.193.0/24 192.168.193.2 UGS 0 562251 tun1 >> 192.168.193.1 link#12UHS 00lo0 >> 192.168.193.2 link#12UH 00 tun1 >> >> $ fetch -qo - http://192.168.193.1/ >> > >> Никаких вышеописанных глюков незамечено. >> >>
Re: [freebsd] nginx on openvpn's tun interface
У вас topology = net30, у меня = subnet 27 октября 2014 г., 14:35 пользователь Владимир Друзенко написал: > 27.10.2014 15:20, Eugene Grosbein пишет: > >> On 27.10.2014 19:17, Andrey V. Elsukov wrote: >>> >>> On 27.10.2014 15:09, Eugene Grosbein wrote: On 27.10.2014 19:06, Anton Sayetsky wrote: > > Всё есть: > root@support00:/usr/local/etc/nginx# netstat -rn | fgrep '192.168.89.' > 192.168.89.0/24192.168.89.1 UGS 0 12917434 tun0 > 192.168.89.1 link#3 UH 0 72 tun0 В этом-то и проблема. У link#3 маршрут смотрит в tun0, а должен в lo0. Удали и пересоздай как я написал. >>> >>> у него оба конца туннеля указывают на один адрес, вот опенвпн и добавил >>> маршрут к дальнему конецу через tun0. >> >> Речь не про маршрут к дальнему концу. Речь про маршрут к ближнему концу. >> Но таки да, с маршрутизацией у openvpn всё очень плохо. Почти никак. >> > $ ifconfig tun1 > tun1: flags=8051 metric 0 mtu 1472 > options=8 > inet6 fe80::21e:67ff:fe02:91b3%tun1 prefixlen 64 scopeid 0xc > inet 192.168.193.1 --> 192.168.193.2 netmask 0x > nd6 options=21 > Opened by PID 71083 > > $ netstat -rn|grep '192.168.193.' > 192.168.193.0/24 192.168.193.2 UGS 0 562251 tun1 > 192.168.193.1 link#12UHS 00lo0 > 192.168.193.2 link#12UH 00 tun1 > > $ fetch -qo - http://192.168.193.1/ > > Никаких вышеописанных глюков незамечено. > >
[freebsd] Re: [freebsd] Странные падения сервера при переключении defaultroute
Hello Vasiliy, Monday, October 27, 2014, 12:00:04 PM, you wrote: EG>> Вообще, с легко воспроизводимыми паниками бороться легче - EG>> первым делом надо снять crashdump, как описано в Handbook. VPM> Ага, легко - только первым делом надо обновиться хот бы до VPM> релиза, а уже потом разбираться с паниками. После перезагрузки вылезла пока одна неприятность. В интернете обсуждения не нашёл. В ipfw у меня есть такая конструкция: allow tcp from table(7) to 192.168.15.5 dst-port 80 setup Раньше работало ipfw table 7 add injyt; ipfw table 7 add sbsve - в таблицу попадали адреса после резолвинга. Сейчас же ipfw table 7 list содержит символьные записи injyt 0 sbsve 0 правило не работает. Попытка добавить ip вручную даёт ошибку: ipfw table 7 add 192.168.0.182 ipfw: setsockopt(IP_FW_TABLE_XADD): Invalid argument удалить-добавить запись можно без проблем: ipfw table 7 delete injyt ipfw table 7 add injyt Если расписать правило без таблиц - всё работает нормально, но в таблицах может быть больше сотни записей. Есть таблицы, которые меняются динамически в процессе рабочего дня. -- Best regards, Alexandermailto:albor...@gmail.com
[freebsd] Re: [freebsd] Странные падения сервера при переключении defaultroute
Hello all, Monday, October 27, 2014, 10:28:33 AM, you wrote: EG>>> Вообще, с легко воспроизводимыми паниками бороться легче - EG>>> первым делом надо снять crashdump, как описано в Handbook. VPM>> Ага, легко - только первым делом надо обновиться хот бы до VPM>> релиза, а уже потом разбираться с паниками. A> После перезагрузки вылезла пока одна неприятность. В интернете A> обсуждения не нашёл. В ipfw у меня есть такая конструкция: A> allow tcp from table(7) to 192.168.15.5 dst-port 80 setup A> Раньше работало ipfw table 7 add injyt; ipfw table 7 add sbsve - A> в таблицу попадали адреса после резолвинга. Сейчас же ipfw table 7 list A> содержит символьные записи A> injyt 0 A> sbsve 0 A> правило не работает. Попытка добавить ip вручную даёт ошибку: A> ipfw table 7 add 192.168.0.182 A> ipfw: setsockopt(IP_FW_TABLE_XADD): Invalid argument A> удалить-добавить запись можно без проблем: A> ipfw table 7 delete injyt A> ipfw table 7 add injyt A> Если расписать правило без таблиц - всё работает нормально, но в A> таблицах может быть больше сотни записей. Есть таблицы, которые A> меняются динамически в процессе рабочего дня. В общем, таблица не любит символьных и цифровых значений одновременно. И если прописывать имя в формате FQDN, то оно нормально преобразовывается в ip-адрес. Раньше оно как-то и так резолвилось. Пока упоминаний об этом нигде не нашёл, все наверное, уже и так об этом знают, но если кто ещё не в курсе - ... PS: пока разбирался с этой проблемой - упустил время разгрузки для переключения маршрута. Завтра попробую... -- Best regards, Alexandermailto:albor...@gmail.com
Re: [freebsd] nginx on openvpn's tun interface
Не даёт, ибо как можно удалить маршрут на directly connected? root@dt-support00:/usr/local/etc/nginx# service openvpn restart Stopping openvpn. Waiting for PIDS: 60320. Starting openvpn. add net 192.168.89.0: gateway 192.168.89.1 root@dt-support00:/usr/local/etc/nginx# netstat -rn | fgrep '192.168.89.' 192.168.89.0/24192.168.89.1 UGS 02 tun0 192.168.89.1 link#3 UH 00 tun0 root@dt-support00:/usr/local/etc/nginx# route delete 192.168.89.0/24 delete net 192.168.89.0 root@dt-support00:/usr/local/etc/nginx# route delete 192.168.89.1 route: writing to routing socket: Address already in use delete host 192.168.89.1 fib 0: gateway uses the same route root@dt-support00:/usr/local/etc/nginx# 27 октября 2014 г., 14:33 пользователь Eugene Grosbein написал: > On 27.10.2014 19:27, Anton Sayetsky wrote: >> Во-первых, какая разница? > > Разница в результате. Он будет другой, верный. > >> Во-вторых, >> root@dt-support00:/usr/local/etc/nginx# route delete 192.168.89.1 >> route: writing to routing socket: Address already in use >> delete host 192.168.89.1 fib 0: gateway uses the same route > > Возможно, нужно сначала удалить все маршруты, которые используют 192.168.89.1 > в качестве шлюза, а в конце добавить их заново: > > route delete 192.168.89.0/24 > route delete 192.168.89.1 > route add 192.168.89.1 -iface lo0 > route add 192.168.89.0/24 -iface tun0 > > То есть, привести таблицу маршрутизации к нормальному виду, > в каком opevpn её дожен бы изначально её сформировать. >
Re: [freebsd] nginx on openvpn's tun interface
27.10.2014 15:20, Eugene Grosbein пишет: On 27.10.2014 19:17, Andrey V. Elsukov wrote: On 27.10.2014 15:09, Eugene Grosbein wrote: On 27.10.2014 19:06, Anton Sayetsky wrote: Всё есть: root@support00:/usr/local/etc/nginx# netstat -rn | fgrep '192.168.89.' 192.168.89.0/24192.168.89.1 UGS 0 12917434 tun0 192.168.89.1 link#3 UH 0 72 tun0 В этом-то и проблема. У link#3 маршрут смотрит в tun0, а должен в lo0. Удали и пересоздай как я написал. у него оба конца туннеля указывают на один адрес, вот опенвпн и добавил маршрут к дальнему конецу через tun0. Речь не про маршрут к дальнему концу. Речь про маршрут к ближнему концу. Но таки да, с маршрутизацией у openvpn всё очень плохо. Почти никак. $ ifconfig tun1 tun1: flags=8051 metric 0 mtu 1472 options=8 inet6 fe80::21e:67ff:fe02:91b3%tun1 prefixlen 64 scopeid 0xc inet 192.168.193.1 --> 192.168.193.2 netmask 0x nd6 options=21 Opened by PID 71083 $ netstat -rn|grep '192.168.193.' 192.168.193.0/24 192.168.193.2 UGS 0 562251 tun1 192.168.193.1 link#12UHS 00lo0 192.168.193.2 link#12UH 00 tun1 $ fetch -qo - http://192.168.193.1/
Re: [freebsd] nginx on openvpn's tun interface
On 27.10.2014 19:27, Anton Sayetsky wrote: > Во-первых, какая разница? Разница в результате. Он будет другой, верный. > Во-вторых, > root@dt-support00:/usr/local/etc/nginx# route delete 192.168.89.1 > route: writing to routing socket: Address already in use > delete host 192.168.89.1 fib 0: gateway uses the same route Возможно, нужно сначала удалить все маршруты, которые используют 192.168.89.1 в качестве шлюза, а в конце добавить их заново: route delete 192.168.89.0/24 route delete 192.168.89.1 route add 192.168.89.1 -iface lo0 route add 192.168.89.0/24 -iface tun0 То есть, привести таблицу маршрутизации к нормальному виду, в каком opevpn её дожен бы изначально её сформировать.
Re: [freebsd] nginx on openvpn's tun interface
Во-первых, какая разница? Во-вторых, root@dt-support00:/usr/local/etc/nginx# route delete 192.168.89.1 route: writing to routing socket: Address already in use delete host 192.168.89.1 fib 0: gateway uses the same route root@dt-support00:/usr/local/etc/nginx# Он же используется OpenVPN 2014-10-27 14:25 GMT+02:00 Eugene Grosbein : > On 27.10.2014 19:17, Anton Sayetsky wrote: >> Что-то тут не то. >> root@support00:/usr/local/etc/nginx# netstat -rn | fgrep '192.168.89.' >> 192.168.89.0/24192.168.89.1 UGS 03 tun0 >> 192.168.89.1 link#3 UH 00 tun0 >> root@dt-support00:/usr/local/etc/nginx# route change -host >> 192.168.89.1 -iface lo0 >> change host 192.168.89.1: gateway lo0 >> root@dt-support00:/usr/local/etc/nginx# netstat -rn | fgrep '192.168.89.' >> 192.168.89.0/24192.168.89.1 UGS 07 tun0 >> 192.168.89.1 lo0UHS 00 tun0 > > О боже мой, я разве неясно выражаюсь? > Маршрут УДАЛИТЬ и создать заново. Не изменять, а удалить. > И создать. Заново. > >
Re: [freebsd] nginx on openvpn's tun interface
On 27.10.2014 19:17, Anton Sayetsky wrote: > Что-то тут не то. > root@support00:/usr/local/etc/nginx# netstat -rn | fgrep '192.168.89.' > 192.168.89.0/24192.168.89.1 UGS 03 tun0 > 192.168.89.1 link#3 UH 00 tun0 > root@dt-support00:/usr/local/etc/nginx# route change -host > 192.168.89.1 -iface lo0 > change host 192.168.89.1: gateway lo0 > root@dt-support00:/usr/local/etc/nginx# netstat -rn | fgrep '192.168.89.' > 192.168.89.0/24192.168.89.1 UGS 07 tun0 > 192.168.89.1 lo0UHS 00 tun0 О боже мой, я разве неясно выражаюсь? Маршрут УДАЛИТЬ и создать заново. Не изменять, а удалить. И создать. Заново.
Re: [freebsd] nginx on openvpn's tun interface
On 27.10.2014 19:17, Andrey V. Elsukov wrote: > On 27.10.2014 15:09, Eugene Grosbein wrote: >> On 27.10.2014 19:06, Anton Sayetsky wrote: >>> Всё есть: >>> root@support00:/usr/local/etc/nginx# netstat -rn | fgrep '192.168.89.' >>> 192.168.89.0/24192.168.89.1 UGS 0 12917434 tun0 >>> 192.168.89.1 link#3 UH 0 72 tun0 >> >> В этом-то и проблема. У link#3 маршрут смотрит в tun0, а должен в lo0. >> Удали и пересоздай как я написал. > > у него оба конца туннеля указывают на один адрес, вот опенвпн и добавил > маршрут к дальнему конецу через tun0. Речь не про маршрут к дальнему концу. Речь про маршрут к ближнему концу. Но таки да, с маршрутизацией у openvpn всё очень плохо. Почти никак.
Re: [freebsd] nginx on openvpn's tun interface
Ага, topology subnet Только вот всё равно непонятно, почему ответов с directly attached address нету. 27 октября 2014 г., 14:17 пользователь Andrey V. Elsukov написал: > On 27.10.2014 15:09, Eugene Grosbein wrote: >> On 27.10.2014 19:06, Anton Sayetsky wrote: >>> Всё есть: >>> root@support00:/usr/local/etc/nginx# netstat -rn | fgrep '192.168.89.' >>> 192.168.89.0/24192.168.89.1 UGS 0 12917434 tun0 >>> 192.168.89.1 link#3 UH 0 72 tun0 >> >> В этом-то и проблема. У link#3 маршрут смотрит в tun0, а должен в lo0. >> Удали и пересоздай как я написал. > > у него оба конца туннеля указывают на один адрес, вот опенвпн и добавил > маршрут к дальнему конецу через tun0. > > -- > WBR, Andrey V. Elsukov
Re: [freebsd] nginx on openvpn's tun interface
Что-то тут не то. root@support00:/usr/local/etc/nginx# netstat -rn | fgrep '192.168.89.' 192.168.89.0/24192.168.89.1 UGS 03 tun0 192.168.89.1 link#3 UH 00 tun0 root@dt-support00:/usr/local/etc/nginx# route change -host 192.168.89.1 -iface lo0 change host 192.168.89.1: gateway lo0 root@dt-support00:/usr/local/etc/nginx# netstat -rn | fgrep '192.168.89.' 192.168.89.0/24192.168.89.1 UGS 07 tun0 192.168.89.1 lo0UHS 00 tun0 root@support00:/usr/local/etc/nginx# 27 октября 2014 г., 14:09 пользователь Eugene Grosbein написал: > On 27.10.2014 19:06, Anton Sayetsky wrote: >> Всё есть: >> root@support00:/usr/local/etc/nginx# netstat -rn | fgrep '192.168.89.' >> 192.168.89.0/24192.168.89.1 UGS 0 12917434 tun0 >> 192.168.89.1 link#3 UH 0 72 tun0 > > В этом-то и проблема. У link#3 маршрут смотрит в tun0, а должен в lo0. > Удали и пересоздай как я написал. >
Re: [freebsd] nginx on openvpn's tun interface
On 27.10.2014 15:09, Eugene Grosbein wrote: > On 27.10.2014 19:06, Anton Sayetsky wrote: >> Всё есть: >> root@support00:/usr/local/etc/nginx# netstat -rn | fgrep '192.168.89.' >> 192.168.89.0/24192.168.89.1 UGS 0 12917434 tun0 >> 192.168.89.1 link#3 UH 0 72 tun0 > > В этом-то и проблема. У link#3 маршрут смотрит в tun0, а должен в lo0. > Удали и пересоздай как я написал. у него оба конца туннеля указывают на один адрес, вот опенвпн и добавил маршрут к дальнему конецу через tun0. -- WBR, Andrey V. Elsukov
Re: [freebsd] nginx on openvpn's tun interface
On 27.10.2014 19:06, Anton Sayetsky wrote: > Всё есть: > root@support00:/usr/local/etc/nginx# netstat -rn | fgrep '192.168.89.' > 192.168.89.0/24192.168.89.1 UGS 0 12917434 tun0 > 192.168.89.1 link#3 UH 0 72 tun0 В этом-то и проблема. У link#3 маршрут смотрит в tun0, а должен в lo0. Удали и пересоздай как я написал.
Re: [freebsd] nginx on openvpn's tun interface
Всё есть: root@support00:/usr/local/etc/nginx# netstat -rn | fgrep '192.168.89.' 192.168.89.0/24192.168.89.1 UGS 0 12917434 tun0 192.168.89.1 link#3 UH 0 72 tun0 root@support00:/usr/local/etc/nginx# 27 октября 2014 г., 13:59 пользователь Eugene Grosbein написал: > On 27.10.2014 18:51, Anton Sayetsky wrote: > >> При этом если делать fetch с любой другой машины, подключенной к этому >> туннелю - всё ок. ЧЯДНТ? > > Используешь openvpn, авторы которого плохо умеют сети. > Должен помочь workaround, добавь маршрут: > > route add -host 192.168.89.1 -iface lo0 > > По хорошему, openvpn должен бы сам такие маршруты создавать > при поднятии туннелей. Но это наименьшая проблема с маршрутизацией в openvpn. > >
Re: [freebsd] nginx on openvpn's tun interface
On 27.10.2014 18:51, Anton Sayetsky wrote: > При этом если делать fetch с любой другой машины, подключенной к этому > туннелю - всё ок. ЧЯДНТ? Используешь openvpn, авторы которого плохо умеют сети. Должен помочь workaround, добавь маршрут: route add -host 192.168.89.1 -iface lo0 По хорошему, openvpn должен бы сам такие маршруты создавать при поднятии туннелей. Но это наименьшая проблема с маршрутизацией в openvpn.
[freebsd] nginx on openvpn's tun interface
Приветствую, Не работает сабж при запуске fetch с той же машины, где запущен nginx: root@support00:/usr/local/etc/nginx# fgrep '192.168.' nginx.conf listen 192.168.89.1 accept_filter=httpready; root@support00:/usr/local/etc/nginx# sockstat -46 | fgrep nginx | fgrep '192.168.' www nginx 57575 14 tcp4 192.168.89.1:80 *:* www nginx 57574 14 tcp4 192.168.89.1:80 *:* www nginx 57573 14 tcp4 192.168.89.1:80 *:* www nginx 57572 14 tcp4 192.168.89.1:80 *:* www nginx 57571 14 tcp4 192.168.89.1:80 *:* www nginx 57570 14 tcp4 192.168.89.1:80 *:* www nginx 57569 14 tcp4 192.168.89.1:80 *:* www nginx 57568 14 tcp4 192.168.89.1:80 *:* root nginx 57567 14 tcp4 192.168.89.1:80 *:* root@support00:/usr/local/etc/nginx# fetch -qo - http://192.168.89.1/ fetch: transfer timed out root@support00:/usr/local/etc/nginx# tcpdump видит запросы, ответов нет: 13:41:34.512225 IP (tos 0x10, ttl 64, id 3795, offset 0, flags [DF], proto TCP (6), length 60) 192.168.89.1.56061 > 192.168.89.1.80: Flags [S], cksum 0x2904 (correct), seq 3046307514, win 65535, options [mss 1460,nop,wscale 6,sackOK,TS val 1877275689 ecr 0], length 0 13:41:37.540228 IP (tos 0x10, ttl 64, id 7387, offset 0, flags [DF], proto TCP (6), length 60) 192.168.89.1.56061 > 192.168.89.1.80: Flags [S], cksum 0x1d2f (correct), seq 3046307514, win 65535, options [mss 1460,nop,wscale 6,sackOK,TS val 1877278718 ecr 0], length 0 13:41:40.766640 IP (tos 0x10, ttl 64, id 10486, offset 0, flags [DF], proto TCP (6), length 60) 192.168.89.1.56061 > 192.168.89.1.80: Flags [S], cksum 0x1095 (correct), seq 3046307514, win 65535, options [mss 1460,nop,wscale 6,sackOK,TS val 1877281944 ecr 0], length 0 Машина - OpenVPN-сервер, туннель такой: root@support00:/usr/local/etc/nginx# ifconfig tun0 tun0: flags=8051 metric 0 mtu 1500 options=8 inet6 fe80::21e:67ff:fead:6ab0%tun0 prefixlen 64 scopeid 0x3 inet 192.168.89.1 --> 192.168.89.1 netmask 0xff00 nd6 options=21 Opened by PID 4047 root@support00:/usr/local/etc/nginx# При этом если делать fetch с любой другой машины, подключенной к этому туннелю - всё ок. ЧЯДНТ?
Re: [freebsd] Re[2]: [freebsd] Странные падения сервера при переключении defaultroute
On 27.10.2014 15:01, Andrey V. Elsukov wrote: > подорожник, я его ко всему прикладываю :) > Прежде чем начинать лечить, нужно диагноз поставить. > Спонтанные ребуты без всяких сообщений могут быть следствием аппаратных > проблем. Могут. Поэтому первым делом обновиться до STABLE. Если система способна не падая обновить мир - шансы аппаратных проблем сильно снижаются.
Re: [freebsd] Re[2]: [freebsd] Странные падения сервера при переключении defaultroute
On 24.10.2014 15:03, Eugene Grosbein wrote: > On 24.10.2014 17:59, Alexander wrote: > >> EG> Вообще крайне желательно обновиться хотя бы до 8.4, >> EG> так как в более ранних восьмерках есть известные баги в netgraph, >> EG> которые приводят к паникам. >> >> Тырнет ходит через mpd, так что отключить его пока не могу. А >> обновление сегодня запущу вечером. > > Рекомендую ещё после обновления src приложить этот патч: > http://www.grosbein.net/freebsd/patches/dang2.diff > > Он повышает стабильность связки netgraph+mpd, я его ко всем своим > серверам с mpd прикладываю. подорожник, я его ко всему прикладываю :) Прежде чем начинать лечить, нужно диагноз поставить. Спонтанные ребуты без всяких сообщений могут быть следствием аппаратных проблем. -- WBR, Andrey V. Elsukov signature.asc Description: OpenPGP digital signature
[freebsd] Re: [freebsd] Странные падения сервера при переключении defaultroute
> > Вообще, с легко воспроизводимыми паниками бороться легче - > первым делом надо снять crashdump, как описано в Handbook. Ага, легко - только первым делом надо обновиться хот бы до релиза, а уже потом разбираться с паниками.