FreeBSD and proto 55

[Kami]

Добрый день, коллеги.

Возникла вот такая ситуация: есть бордер на FreeBSD 7.0-RELEASE и BGP (два апстрима с FV и два даунлинка, которым отдается дефолт), реализованный на quagga-0.98.6. Все это более-менее хорошо работает. Недавно обратился VIP абонент с притензией, что у него появился спец. софт, использующий IP протокол типа 55 (Ip Mobility или IP in IP encaps). Так вот этот софт не видит свой сервер где-то далеко. Рахбор ситуации показал, что бордер вообще не видит этих пакетов на входе той "ноги", по которая согласно маршрута приезжают пакеты от клиента к серверу.

 

tcpdump -i bge0 -n -nn -v -vv host ip.my.cl.nt

 

видит ICMP пакеты от клиента к серверу, видит все, что угодно, но 55-й протокол не видит. причем, апстрим с той "ноги" утверждает, что пакеты 55-го протоклоа он на своей стороне видит.

 

и тут закралась страшная мысль, что проблема может быть в самой FreeBSD. беглый поиск в гугле утвердил меня в этом, потому что попадаются рекомендации по патчам типа http://fxr.watson.org/fxr/source/net/if_gre.c?v=FREEBSD4.

там, конечно, FreeBSD - 4-й версии, но кто его знает, как с этим в 7-ке...

 

Посдкажите, плз, в какую столрону смотреть, что делать, что бы исправить ситуацию...

 

Спасибо

[terrible]

свичи D-link DGS есть ли? если есть - то какие?

[s.lobanov]

сниферить все участки(через зеркало) по направлению от сервера к абоненту

[Kami]

свичи D-link DGS есть ли? если есть - то какие?

 

есть. как раз на той "ноге", которая нужна, стык с апстримом через DGS-3324SR и DES-3526.

 

есть предположения, что дело не во фре, а в D-Link-ах ?

 

сниферить все участки(через зеркало) по направлению от сервера к абоненту

 

все участки не надо, уже выясненно, что на BGP-стыке наш бордер (FreeBSD) и апстрим (Cisco), со стороны апстрима эти пакеты есть, а уже на интерфейсе FreeBSD их уже нет. по пути, правда, есть, несколько DLink-овских свитчей L2.

Edited October 25, 2012 by Kami

[Giga-Byte]

как-то disappointed писал об "умном" медиаконвертере, конкретные пакеты не пропускал.

я поддтвердил, мы потеряли абонента, у которого не открывался забугорный сайт. в офисе открывался у клиента нет.

ну какбы отмашками (раз у нас всё работает, а техники так и не выяснили на месте причину) и потеряли.

а потом я вспомнил про эти "умные" конвертеры и попросил монтажников доставить эту пару конвертеров мне на стол, и что - не открывается этот сайт!! :)

 

так что сделал вывод, что какая-то последовательность бит вводит в ступор чип казалось бы тупой железки, которая тупо перегоняет фреймы из одной среды в другую

[s.lobanov]

все участки не надо, уже выясненно, что на BGP-стыке наш бордер (FreeBSD) и апстрим (Cisco), со стороны апстрима эти пакеты есть, а уже на интерфейсе FreeBSD их уже нет. по пути, правда, есть, несколько DLink-овских свитчей L2.

 

ну так зеркалируйте трафик на свитчах и смотрите где оно теряется

[Kami]

В общем, все решилось, как обычно... После официальных писем магистралу с той "ноги", вдруг все неожиданно заработало.

Как оказалось, с нашей стороны все ОК, а проблема была в фильтрах на стороне апстрима.

 

tcpdump -i bge0 -n -nn proto 55

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on bge0, link-type EN10MB (Ethernet), capture size 96 bytes

10:24:30.605882 IP 21х.2х.6х.13х > 9х.21х.19х.14х: [|mobile]

10:24:30.612135 IP 9х.21х.19х.14х > 21х.2х.6х.13х: [|mobile]

10:26:01.653079 IP 9х.21х.19х.14х > 21х.2х.6х.13х: [|mobile]

10:26:06.603347 IP 21х.2х.6х.13х > 9х.21х.19х.14х: [|mobile]

10:26:06.604992 IP 9х.21х.19х.14х > 21х.2х.6х.13х: [|mobile]

 

Так что, всем спасибо за внимание и подсказки :)