freebsd quagga

[morfey1]

Настраиваем резерв + пиринг. Трафик побежал. Но отваливаются некоторые сети. Например vk.com,local.com.ua etc.. . Траса проходит, пинг идет. При заходе на сайт присылаются заголовки ( connection reset by peer).

Принимаем дефолт + укр. в разных вланах. Только подключаем резерв(пира), начинают отваливатся сети.

 

Конфиг http://pastebin.com/v9jPi4sy

 

xxx.xxx.206.0/23 - мое

xxx.xxx.0.0/22 - мое

xxx.xxx.20.0/24 - пира

 

Где может быть затык?

[morfey1]

Немного локализовал проблему tcpdump'ом. Запросы(пинги) идут на один интерфейс(основного аплинка), а ответ идет от пира. Но пинги то доходят... o_O

Возможно более понятный конфиг http://pastebin.com/yr7eP52i

Edited May 5, 2012 by morfey1

[dovecot]

Вы на этом же девайсе натите пользователей? Делаете NAT вообще?

 

Лучше конечно разобраться с Вашей асиметрией. Ну а пока можно prepend сделать с сторону пира (хотя, как показывает практика, не всегда помогает).

Edited May 5, 2012 by dovecot

[morfey1]

Да, немного осталось натовских, ipfw NAT

Edited May 5, 2012 by morfey1

[morfey1]

препенды стоят

Edited May 5, 2012 by morfey1

[zhenya`]

rpf отключен?

[morfey1]

во фре нет rp_f насколько я знаю, есть правила фаервола аля antispoof/verrevpath в ipfw. Но у меня нет таких правил.

 

У меня на основной аплинк 2 влана(мир, укр.). Есть некоторые сети по которым запрос идет в укр. влан, а возвращается в мировой влан. И все работает. Т.е. о rp_f речи не может идти. Правильно?

 

P.S. В линуксе такая же проблема лечится rp_f=0 на каждом интнерфейсе. Как быть на фре?

Edited May 6, 2012 by morfey1

[bos9]

т.е. с одного и того же хоста в вашей AS, до хоста в AS vkontakte icmp проходит, а http не? Ну... попробуйте детально разобрать дамп установления tcp сессии с требуемым хостом, кто там чего кому и на каком интерфейсе отвечает. Начните с telnet x.x.x.x 80 для простоты.

[morfey1]

Сегодня ночью поснимаю дампы, отпишусь.

[dmvy]

посмотрите обратную трассу lg.vk.com

может ваш пир куда-то ваши анонсы передает?

[morfey1]

попробую. Вот сейчас пробую просто к пиру обратную трассу сделать:

traceroute to xxx.xxx.20.1 (xxx.xxx.20.1), 10 hops max, 60 byte packets
3 * * *
4 * * *
5 xxx.xxx.20.1 (xxx.xxx.20.1) 34.959 ms 35.049 ms 35.295 ms

 

У меня нормально.

Если у пира не настроины PTR, должно работать?

 

Ночью попробую при включенной сессии

Edited May 6, 2012 by morfey1

[morfey1]

Вот с интерфейса пира пришло: (но почему оно от них лезет, локалпреф стоит, препенды стоят...)

 

87.240.143.243.80 > xxx.xxx.xxx.50.40321: Flags [s.], cksum 0x3599 (correct), seq 626198243, ack 3686956373, win 14480, 
options [mss 1460,sackOK,TS val 1614399262 ecr 854936165,nop,wscale 2], length 0
20:49:41.772426 IP (tos 0x0, ttl 58, id 0, offset 0, flags [DF], proto TCP (6), length 40)
   87.240.143.243.80 > xxx.xxx.xxx.50.40321: Flags [R], cksum 0xd3de (correct), seq 626198244, win 0, length 0
20:49:47.464959 IP (tos 0x0, ttl 57, id 0, offset 0, flags [DF], proto TCP (6), length 48)

 

посмотрите обратную трассу lg.vk.com

Не могу т.к. vk.com не работает при вкл. пире

 

# fetch http://vk.com
fetch: http://vk.com: Connection reset by peer

 

P.S. vk.com - пример, так пол инета валится

Edited May 6, 2012 by morfey1

[bos9]

87.240.143.243.80 > xxx.xxx.xxx.50.40321: Flags [s.], cksum 0x3599 (correct), seq 626198243, ack 3686956373, win 14480,

options [mss 1460,sackOK,TS val 1614399262 ecr 854936165,nop,wscale 2], length 0

20:49:41.772426 IP (tos 0x0, ttl 58, id 0, offset 0, flags [DF], proto TCP (6), length 40)

87.240.143.243.80 > xxx.xxx.xxx.50.40321: Flags [R], cksum 0xd3de (correct), seq 626198244, win 0, length 0

20:49:47.464959 IP (tos 0x0, ttl 57, id 0, offset 0, flags [DF], proto TCP (6), length 48)

 

Выглядит так, как будто vk закрыли 80 порт для направления, через которое получают ваши анонсы. мб какой-то специфичный IX. Попросите кого-нибудь посмотреть на lg.vk.com откуда они видят ваши сети при поднятой сессии с пиром (или сами посмотрите ч/з прокси какой-нить).

[morfey1]

traceroute to xxx.xxx.0.1 (xxx.xxx.0.1), 10 hops max, 60 byte packets
3 * * *
4 * * *
5 xx.xx.xxx.190 34.437 ms 34.525 ms 34.509 ms
6 xxx.xxx.0.1 34.402 ms 34.099 ms 34.107 ms

 

Где xxx.xxx.0.1 - мое

xx.xx.xxx.190 - это по ходу ип выдан для бжп сессии пиру (т.к. у него другой блок)

[bos9]

Блин прям все засекречено =) Пообщайтесь со своим пиром, попросите их анонсировать вас только в мир, без всяких IX.

[morfey1]

Ну наш пир получает 1 FV от своего аплинка и все.. Я даже хз куда рыть.

[bos9]

а что будет, если оставить только сессию с пиром?

[morfey1]

Вечером опробую

 

З.Ы. Меня юзера скоро собакам скормят))

Edited May 7, 2012 by morfey1

[morfey1]

Спасибо всем, нашел проблему. Нужно было на свои сети поставить препенды в сторону пира

 

тут помогли http://local.com.ua/forum/topic/35718-freebsd-quagga/

[bos9]

Ну это устраняет ассиметрию, но не объясняет сути проблемы ) Кстати с препендами вам еще в #3 предлагали поэкспериментировать.

[morfey1]

Опять беда

Отключаю основной канал - работает, подключаю основной - не работает, передергиваю сессию пира - опять все работает.

[bos9]

еще больше препендов! ) при одинаковой длине as-path при прочих равных выбирается более старый маршрут.

[st_re]

Попинайте аплинков, чтобы выключили проверку реверс путей (ну у них врядли, скорее дальше).. И чтобы они попинали своих аплинков на туже тему.. ретна в путях туда-оттуда нету ? они в свое время таким баловались. Если они Вас видят через один линк, а трафик от Вас приходит с другого, то опа. Правда у них пинги не ходили тоже. Я с ними долго мучился на эту тему. Но никто не мешает другим тем же заниматься. Препендами вы конечно немного выравниваете маршрут похоже, но при любых изменениях оно становится асимметричным снова.. добавите еще, оно может и стабилизируется в этой позиции, но через какое то время где то что то сменится и снова здорова. По закону подлости будет это вечером в пятницу :)

Edited May 8, 2012 by st_re

[morfey1]

Есть ретн! )

 

Поговорю с аплинком, добавлю еще препендов)))