[gelöst] Forum ist aus FF Wuppertal nicht erreichbar

phip · 15. November 2014 um 15:28

Hallo zusammen,

dieses Forum ist aus dem Wuppertaler Subnetz nicht zu erreichen.

traceroute forum.freifunk.net
traceroute to forum.freifunk.net (185.66.195.242), 30 hops max, 60 byte packets
1  185.66.194.16 (185.66.194.16)  11.591 ms  11.518 ms  11.600 ms
2  100.64.0.42 (100.64.0.42)  19.820 ms  19.937 ms  20.125 ms
3  100.64.0.40 (100.64.0.40)  33.815 ms  33.965 ms  34.147 ms
4  * * *
5  * * * […]
20  *^C

bitte überprüft das Routing oder hilft mir bei der Verbesserung auf Wuppertaler Seite.

Vielen Dank

thomasDOTwtf · 20. November 2014 um 08:04

Hallo Phip,
hast du den rp_filter deaktiv auf den Supernodes?
Grüße
Thomas

phip · 20. November 2014 um 22:33

ja, wie Du gesagt hast:

sysctl -w net.ipv4.ip_forward=1
sysctl -w net.ipv4.conf.default.rp_filter=0
sysctl -w net.ipv4.conf.all.rp_filter=0

fürs Batman-Debuging auf wupper7 ist w1 (185.66.194.21) erst mal vom Freifunk abgekoppelt

[root@wupper1 ~]# traceroute forum.freifunk.net -i lo
traceroute to forum.freifunk.net (185.66.195.242), 30 hops max, 60 byte packets^C
[root@wupper1 ~]# traceroute forum.freifunk.net -i tun-ffw-ber
traceroute to forum.freifunk.net (185.66.195.242), 30 hops max, 60 byte packets^C
[root@wupper1 ~]# traceroute forum.freifunk.net -i tun-ffw-fra
traceroute to forum.freifunk.net (185.66.195.242), 30 hops max, 60 byte packets
1  100.64.0.38 (100.64.0.38)  11.829 ms  11.797 ms  11.893 ms
2  * * *
[ … ]
7  *^C

Jedoch vom FFW aus erreichbar. traceroute vom Smartphone nachgeschrieben:

1  wupper7.ffw (10.3.0.247)
2  * * * 
3  100.64.0.42 # wupper0
4  185.66.192.128
5  185.66.194.21

Versuch mal von deiner Seite aus 185.66.194.16, 185.66.194.17 und 185.66.194.21 zu erreichen.

Danke

DSchmidtberg · 26. November 2014 um 09:19

Das Problem besteht bis heute.

MrMM · 3. Dezember 2014 um 23:20

Wegen der starken Ähnlichkeit recycele ich mal dieses Thema:

tracepath forum.freifunk.net
1?: [LOCALHOST] pmtu 1280
1: 10.40.228.1 14.210ms
1: 10.40.228.1 14.307ms
2: 100.64.0.16 22.386ms
3: 100.64.0.14 39.507ms asymm 2
4: no reply
5: no reply

Diesmal aus Aachen, also Rheinufer

DSchmidtberg · 4. Dezember 2014 um 06:53

traceroute to forum.freifunk.net (185.66.195.242), 64 hops max, 52 byte packets

 1  wupper7.ffw (10.3.0.247)  27.554 ms  27.626 ms  27.070 ms
 2  * * *
 3  100.64.0.42 (100.64.0.42)  49.475 ms  46.771 ms  47.073 ms
 4  100.64.0.40 (100.64.0.40)  61.167 ms  61.001 ms  60.851 ms
 5  * * *
 6  * * *
 7  * * *
 8  * * *
 9  * * *
10  * * *
^C

traceroute to www.freifunk-rheinland.net (78.47.165.13), 64 hops max, 52 byte packets

 1  wupper7.ffw (10.3.0.247)  28.518 ms  28.418 ms  28.229 ms
 2  * * *
 3  100.64.0.42 (100.64.0.42)  51.411 ms  48.523 ms  64.530 ms
 4  irb-1050.bb-a.fra3.fra.de.oneandone.net (195.20.242.193)  48.782 ms  50.809 ms  47.470 ms
 5  decix-gw.hetzner.de (80.81.192.164)  48.914 ms  48.812 ms  48.462 ms
 6  core1.hetzner.de (213.239.245.6)  48.851 ms  49.462 ms  66.577 ms
 7  core22.hetzner.de (213.239.245.178)  53.232 ms  53.466 ms  52.954 ms
 8  juniper3.rz10.hetzner.de (213.239.245.102)  75.051 ms  52.628 ms  55.296 ms
 9  hos-tr3.ms-ex3k1.rz13.hetzner.de (213.239.236.101)  61.520 ms
    hos-tr1.ms-ex3k1.rz13.hetzner.de (213.239.236.69)  54.122 ms  54.471 ms
10  freifunk-rheinland.net (78.47.165.13)  53.894 ms  53.168 ms  53.039 ms

thomasDOTwtf · 6. Dezember 2014 um 18:49

Der Server Wupper7 ist soweit ich weiß nicht an unseren Backbone angebunden.
Wir ist die Erreichbarkeit bei den anderen Servern?
Könnt ihr mir die Ausgabe von

sysctl -a | grep rp_filter

mal posten?

phip · 7. Dezember 2014 um 19:04

wupper1 (hier klappt die direkte Verbindung zum Forum):

net.ipv4.conf.all.arp_filter = 0
net.ipv4.conf.all.rp_filter = 0
net.ipv4.conf.bat-wup.arp_filter = 0
net.ipv4.conf.bat-wup.rp_filter = 0
net.ipv4.conf.bat-rdv.arp_filter = 0
net.ipv4.conf.bat-rdv.rp_filter = 0
net.ipv4.conf.default.arp_filter = 0
net.ipv4.conf.default.rp_filter = 0
net.ipv4.conf.eth0.arp_filter = 0
net.ipv4.conf.eth0.rp_filter = 1
net.ipv4.conf.fastd-wup.arp_filter = 0
net.ipv4.conf.fastd-wup.rp_filter = 0
net.ipv4.conf.fastd-rdv.arp_filter = 0
net.ipv4.conf.fastd-rdv.rp_filter = 0
net.ipv4.conf.gre0.arp_filter = 0
net.ipv4.conf.gre0.rp_filter = 1
net.ipv4.conf.gretap0.arp_filter = 0
net.ipv4.conf.gretap0.rp_filter = 1
net.ipv4.conf.lo.arp_filter = 0
net.ipv4.conf.lo.rp_filter = 0
net.ipv4.conf.tun-ffw-ber.arp_filter = 0
net.ipv4.conf.tun-ffw-ber.rp_filter = 1
net.ipv4.conf.tun-ffw-fra.arp_filter = 0
net.ipv4.conf.tun-ffw-fra.rp_filter = 1

wupper0 (darüber ist w7 über ipip angebunden):

9: tun-ffw-w07@NONE: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1400 qdisc noqueue state UNKNOWN group default 
    link/ipip <w0> peer <w7>
    inet 185.66.194.16/31 scope global tun-ffw-w07
       valid_lft forever preferred_lft forever

net.ipv4.conf.all.arp_filter = 0
net.ipv4.conf.all.rp_filter = 0
net.ipv4.conf.default.arp_filter = 0
net.ipv4.conf.default.rp_filter = 0
net.ipv4.conf.eth0.arp_filter = 0
net.ipv4.conf.eth0.rp_filter = 1
net.ipv4.conf.gre0.arp_filter = 0
net.ipv4.conf.gre0.rp_filter = 1
net.ipv4.conf.gretap0.arp_filter = 0
net.ipv4.conf.gretap0.rp_filter = 1
net.ipv4.conf.lo.arp_filter = 0
net.ipv4.conf.lo.rp_filter = 0
net.ipv4.conf.tun-ffw-ber.arp_filter = 0
net.ipv4.conf.tun-ffw-ber.rp_filter = 1
net.ipv4.conf.tun-ffw-fra.arp_filter = 0
net.ipv4.conf.tun-ffw-fra.rp_filter = 1
net.ipv4.conf.tun-ffw-w07.arp_filter = 0
net.ipv4.conf.tun-ffw-w07.rp_filter = 0
net.ipv4.conf.tunl0.arp_filter = 0
net.ipv4.conf.tunl0.rp_filter = 1

wupper7:

7: tun-ffw-w00@NONE: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1400 qdisc noqueue state UNKNOWN 
    link/ipip <w7> peer <w0>
    inet 185.66.194.17/31 scope global tun-ffw-w00
       valid_lft forever preferred_lft forever

net.ipv4.conf.all.arp_filter = 0
net.ipv4.conf.all.rp_filter = 0
net.ipv4.conf.bat-wup.arp_filter = 0
net.ipv4.conf.bat-wup.rp_filter = 0
net.ipv4.conf.bat-rdv.arp_filter = 0
net.ipv4.conf.bat-rdv.rp_filter = 0
net.ipv4.conf.default.arp_filter = 0
net.ipv4.conf.default.rp_filter = 0
net.ipv4.conf.eth0.arp_filter = 0
net.ipv4.conf.eth0.rp_filter = 1
net.ipv4.conf.fastd-wup.arp_filter = 0
net.ipv4.conf.fastd-wup.rp_filter = 1
net.ipv4.conf.fastd-rdv.arp_filter = 0
net.ipv4.conf.fastd-rdv.rp_filter = 1
net.ipv4.conf.lo.arp_filter = 0
net.ipv4.conf.lo.rp_filter = 1
net.ipv4.conf.sit0.arp_filter = 0
net.ipv4.conf.sit0.rp_filter = 0
net.ipv4.conf.tun-ffw-w00.arp_filter = 0
net.ipv4.conf.tun-ffw-w00.rp_filter = 0
net.ipv4.conf.tunl0.arp_filter = 0
net.ipv4.conf.tunl0.rp_filter = 1

dies wurde der bird.conf auf wupper0 bearbeitet bzw. hinzugefügt

filter hostroute {
	if net ~ 185.66.194.16/31 then accept;
	reject;
};

protocol static {
	route 185.66.194.16/31 via 185.66.194.16;
}

Weitere Konfiguration vom w7 (wobei {fastd,bat}0 jetzt {fastd,bat}-wup sind). Alles routet durch, außer das Forum.

Das Problem wird sich bald von selbst lösen, da w7 kein GW mehr sein wird, da ich mit dem Debuggen fertig bin. Trotzdem ist es interessant, wo hier der Fehler liegt, um daraus zu lernen.

thomasDOTwtf · 8. Dezember 2014 um 12:43

Hi @phip,

das Problem liegt an dem aktiven rp_filter für die verschiedenen Tunnel-Interfaces.

Grüße
Thomas

phip · 8. Dezember 2014 um 23:28

Danke Thomas. Ich werde das morgen anpassen und berichte dann nochmal. Interessant ist, dass auf wupper1 trotz eingeschaltetem rp_filter die Verbindung zum Forum klappt.

thomasDOTwtf · 9. Dezember 2014 um 07:50

wupper1 hat Tunnel zu ber-a und fra-a und der Standort ber-a ist seit ca. 3-4 Wochen offline.

phip · 14. Dezember 2014 um 15:02

das verstehe ich jetzt nicht … soll das bedeuten, nur weil der w1-Tunnel nach Berlin kaputt ist, nur deshalb klappt die Verbindung zum Forum? Und beim funktionierenden Tunnel bei w0 klappt sie nicht?

Ich habe vor 4 Tagen den rp_filter auf den Tunnel-Schnittstellen ausgeschaltet. Das hat den Fehler behoben. Das Forum ist erreichbar. Danke für die Hilfe.