Netzwerkprobleme

[Stefan307]

Vieleicht ne Technik um Radundant zwischen 2 Gateways zu wechseln ?

[Ten Little Indyans]

Kaum hat man das richtige Stichwort (ICMP) schon fällt der Groschen...

Riecht irgendwie danach als ob es mit ICMP Broadcasts eine Gatewayüberwachung gemacht wird. Und wenn das
Gateway nicht antwortet, wird die Route nicht mehr benutzt.

Genau. Das ganze nennt sich "dead gateway detection":

http://docs.hp.com/en/B9901-90042/ch10s02.html

Ich denke mal wenn ip_ire_gw_probe auf der C3700 ausgeschaltet wird dann  darf das Gateway auch wieder ICMP-Broadcasts verwerfen (das ist zumindest Richtung Internet vielleicht durchaus sinnvoll).

[kaenguru]

Hallo

danke für die Doku,  wenn ich die nur vor ca 5 tagen gehabt hätte :-) 

andi

[Stefan307]

Nur so zum Verstäntniss du verwendest jetzt nicht deinen Router sondern ne Selbsgeaute FW oder ?

[kaenguru]

Hallo Stefan307,

Ich verwende nach wie vor einen Rechner auf dem Llinux läuft mit einer iptables Firewall

Deine Idee mit IPCOP finde ich aber recht interessant, das gug ich mir genauer an.

andi

[Ebbi]

Danke an alle die geholfen haben und mir mit ihren Tips Denkanstöße gaben, insbesondere an Ebbi der meine HP-UX installation geprüft hat :-)

Danke, aber so doll war das jetzt auch nicht.
Das ist schon ein schräger Spezialfall, der mir noch nie begegnet ist.

Deine Idee mit IPCOP finde ich aber recht interessant, das gug ich mir genauer an.

Kann ich empfehlen, nach fünf Jahren Debian-Eigenbau bin ich auch auf IPcop umgestiegen und verwende den nun seit über zwei Jahren überaus zufrieden.

[Stefan307]

Danke an alle die geholfen haben und mir mit ihren Tips Denkanstöße gaben, insbesondere an Ebbi der meine HP-UX installation geprüft hat :-)

Danke, aber so doll war das jetzt auch nicht.
Das ist schon ein schräger Spezialfall, der mir noch nie begegnet ist.

Ich versteh jetzt nur nicht warum das Problem nicht immer bei der kombination HP-UX 08/15 Router auftritt? und ob ich damals das gleiche problem hatte und es irendwann wieder hätte wenn ich mal dazu komme die Mühlen wieder an den Start zu bekommen ...

[Fleedwood]

Ich versteh jetzt nur nicht warum das Problem nicht immer bei der kombination HP-UX 08/15 Router auftritt? und ob ich damals das gleiche problem hatte und es irendwann wieder hätte wenn ich mal dazu komme die Mühlen wieder an den Start zu bekommen ...

weil man normalerweise keine icmp echo filtert. Die sind einfach zu wichtig für Netzwerkdiagnose. Nachdem das Gateways
nicht auf icmp echos geantwortet hat, wirds als tot angesehen und schon wars das.

Der Default bei Linux ist icmp_echo_ignore_all = 0 und icmp_echo_ignore_broadcast =1. So macht das auch Sinn.

Thomas.

[Stefan307]

das heist doch jetzt das dieser fertige router mist macht, dem man ihm mangels zugang noch nicht mal austreiben kann und desshalb mit einem Selbergebauten z.b. IPCOP wesentlich besser fährt, oder ?

[Fleedwood]

das heist doch jetzt das dieser fertige router mist macht, dem man ihm mangels zugang noch nicht mal austreiben kann und desshalb mit einem Selbergebauten z.b. IPCOP wesentlich besser fährt, oder ?

wieso Fertigrouter ? Ich hatte es so verstanden, daß das ne Selbstbaukiste ist...

Thomas.

[kaenguru]

Hallo Zusammen :-)

ja ich habe einen Selbstbau router mit Firewall drauf.

Was mich etwas wundert ist die Aussage das das sperren der beiden ICPM Einstellungen keinen Sinn machen soll.

Verwerfen von ICMP-Paketen
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all

Dies veranlasst den Kernel alle pings bzw. alle ICMP-Pakete mit dem Typ 0 zu verwerfen.

Ignorieren von "broadcast pings"
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

Dies deaktiviert die automatische Antwort auf "ICMP broadcasts" und schützt so vor Smurf-Attacken.

Über ersteres kann man streiten, allerdings bin ich der Meinung was man nicht sieht kann man nicht angreifen, den Punkt zwei finde ich recht wichtig, deswegen ist es ja auch aus bzw. an gewesen.

http://de.wikipedia.org/wiki/Smurf-Attacke

andi 

[Fleedwood]

Dies deaktiviert die automatische Antwort auf "ICMP broadcasts" und schützt so vor Smurf-Attacken.

das ist sehr sinnvoll und wie ich ja schon geschrieben hab auch der aktuelle Default bei Linux

Über ersteres kann man streiten, allerdings bin ich der Meinung was man nicht sieht kann man nicht angreifen, den Punkt zwei finde ich recht wichtig, deswegen ist es ja auch aus bzw. an gewesen.

vom Internet aus reagiert mein Router auch auf nix (der sagt noch nichtmal Port Unreachable), aber von innen macht es IMHO durchaus Sinn auch auf echo requets zu antworten.
Dann kann man mit einem einfachen Ping feststellen, ob das Gateway noch reagiert.

Thomas.