ssh répond sur 2 interfaces mais pas la 3ème

s_Frantz · Le 10/04/2012, à 18:31

Bonjour z'à tous !

Un p'tit soucis de ssh sur lequel je tourne en rond :
Soit un serveur avec 3 interfaces réseau, LAN, WAN1 et WAN2.
Les WAN sont chacune reliées à un modem ADSL (2 différents, qui renvoient le port 25 oups 22 vers le serveur).
ssh répond sans problème sur le LAN.
ssh répond toujours mais parfois avec un délai sur WAN1 (pb de mtu ? les paquets arrivent toujours, mais réponse non systématique).
ssh ne répond jamais sur WAN2.
Avec un tcpdump, je vois les paquets arriver jusqu'à l'interface WAN2 du serveur, mais aucune réponse.
Dans les logs (auth.log), rien pour cette interface.
Dans la config sshd, j'ai rajouté 3 ListenAddress pour les 3 interfaces, le résultat est le même.

Voilà le soucis... c'est surtout le WAN2 que j'aimerais débloquer, je ne parle du WAN1 qu'au cas où ça aurait un lien ou si quelqu'un avait une idée au passage ;-)

Merci d'avance pour les idées !

--
Frantz

Dernière modification par s_Frantz (Le 20/04/2012, à 00:46)

vajpaille · Le 10/04/2012, à 18:35

Bonjour,

Peux-tu nous fournir ta table de routage j'aimerais voir ton dual WAN .
Je suppose que tu n'a pas deux routes par défaut, et que tu a géré ton routage en fonction de l'interface source (?).

Bonne soirée.

Dernière modification par vajpaille (Le 10/04/2012, à 18:37)

s_Frantz · Le 10/04/2012, à 18:52

La voilà :

Table de routage IP du noyau
Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface
10.8.0.2        *               255.255.255.255 UH    0      0        0 tun0
10.0.0.0        *               255.255.255.0   U     0      0        0 eth0
10.0.1.0        *               255.255.255.0   U     0      0        0 eth2
10.8.0.0        10.8.0.2        255.255.255.0   UG    0      0        0 tun0
10.0.2.0        *               255.255.255.0   U     0      0        0 eth1
default         10.0.2.254      0.0.0.0         UG    100    0        0 eth1

Les 10.8.x.x sont pour de l'openvpn.
eth0 correspond au LAN
eth1 et 2 aux WAN1 et 2
Pour l'instant, seul le WAN1 est utilisé, le WAN2 n'est destiné qu'aux dépannages ponctuels.

vajpaille · Le 11/04/2012, à 00:03

Ok, je suis sur mon tel donc c'est pas l'extase pour la lecture mais ce
Que je peux constater, comme je le pensais tu te retrouve avec un simple problème de routage asymétrique...

Logique dans le cas d'un double WAN car tu ne dois avoir qu'une seule default gateway.
Donc ce que tu a constaté en faisant du tcpdump est logique,
Ton paquet arrive sur wan2 et sort par ta default... sur wan1.

Sur ton tux je ne peux t'aider mais quelqu'un pourra sans t'aider pour gérer qu'un paquet arrivant par wan2 ressorte par ta wan2. Gérer au niveau session ou en tagant les paquet avec iptable...
Franchement je ne te serrais malheureusement d'aucune aide.

J'espère avoir pu te donner des pistes et ne pas m'être planté comme une loutre ivre ;-).
Bonne soirée.

Dernière modification par vajpaille (Le 11/04/2012, à 08:55)

s_Frantz · Le 11/04/2012, à 03:02

merci pour l'hypothèse, j'ai regardé :
quand la requête ssh arrive sur le WAN2 :

02:31:35.693536 IP mon_ip.54101 > 10.0.1.2.ssh: Flags [s], seq 2142725222, win 65535, options [mss 1300,sackOK,eol], length 0

il n'y a rien de correspondant qui ressorte sur la route par défaut (WAN1), ni même sur le LAN.
(au passage, la seule fonction d'iptables sur ce serveur est de rediriger le trafic http vers Squid)

Par contre si tu as une photo de loutre ivre arrivant à taper sur un smartphone, je veux bien
Bonne nuit !

vajpaille · Le 11/04/2012, à 08:53

s_Frantz a écrit :

merci pour l'hypothèse, j'ai regardé :
quand la requête ssh arrive sur le WAN2 :
02:31:35.693536 IP mon_ip.54101 > 10.0.1.2.ssh: Flags [s], seq 2142725222, win 65535, options [mss 1300,sackOK,eol], length 0
il n'y a rien de correspondant qui ressorte sur la route par défaut (WAN1), ni même sur le LAN.
(au passage, la seule fonction d'iptables sur ce serveur est de rediriger le trafic http vers Squid)

Justement, en affectant un tag à tout le traffic arrivant depuis WAN2 tu pourrais avoir une règle en sortie (ainsi qu'une 'route par default' supplémentaire avec un poids plus faible) permettant de faire re-sortir le traffic via celle-ci.
J'espère qu'une âme charitable pourra t'aider car le FW linux n'est pas du tout mon truc (je suis en FW OpenBSD ou d'autres boites UTM commercial...).

s_Frantz a écrit :

Par contre si tu as une photo de loutre ivre arrivant à taper sur un smartphone, je veux bien

Attention je vais chercher...

Bonne journée

EDIT :
T'en ai tu sorti avec ce sympathique problème ?

Je ne l'ai pas trouvé avec un smartphone dans l'autre patte...
La loutre...

Dernière modification par vajpaille (Le 18/04/2012, à 00:17)

s_Frantz · Le 19/04/2012, à 23:09

B'soir,

Bien vu pour la photo

Pour mon problème, je pense que ta piste est la bonne. Mais n'ayant pas trouvé d'autres conseils, et le serveur étant en service... je n'ai pas eu envie de faire des essais.
Par contre j'avais le projet (futur...) de mettre un boîtier Alix 3 ports avec pfsense entre les modems et le serveur. J'ai testé sur une machine de récup, avec un pfsense et 3 clics, la connexion semble se faire sans problème depuis les 2 WANs.
Donc projet pfsense accéléré, j'ai reçu le boîtier ce matin, si ça fonctionne comme la machine de test, ça sera en service samedi ou début semaine prochaine, et le problème sera résolu
J'essaierai de regarder la config de pfsense et de mettre la solution ici, je suppose que ça doit être quelques règles iptables qui-vont-bien.

Encore merci pour ton éclairage du problème

Haleth · Le 19/04/2012, à 23:14

25, tu parles du smtp ?
Spa forcement un bon choix, tu en es conscient ?

s_Frantz · Le 20/04/2012, à 00:50

Quand je tape 25, faut lire 22, je parlais bien de ssh, mais mal

vajpaille · Le 20/04/2012, à 09:36

s_Frantz a écrit :

Par contre j'avais le projet (futur...) de mettre un boîtier Alix 3 ports avec pfsense entre les modems et le serveur. J'ai testé sur une machine de récup, avec un pfsense et 3 clics, la connexion semble se faire sans problème depuis les 2 WANs.
Donc projet pfsense accéléré, j'ai reçu le boîtier ce matin, si ça fonctionne comme la machine de test, ça sera en service samedi ou début semaine prochaine, et le problème sera résolu
J'essaierai de regarder la config de pfsense et de mettre la solution ici, je suppose que ça doit être quelques règles iptables qui-vont-bien.
Encore merci pour ton éclairage du problème

Effectivement PFSense est une bonne idée (sur base de freeBSD encore une bonne idée ).
Pour PFSense le firewall est un PF (Packet Filter) très efficace.

Je suis sur pas mal de conf de firewall OpenBSD (version différente de PF par rapport à PFSense du au temps d'implémentation/portage).

De rien c'est un plaisir,
j'ai hâte de lire ton retour, principalement sur l'ALIX.
Bon courage.

Dernière modification par vajpaille (Le 20/04/2012, à 09:38)

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 10/04/2012, à 18:31

ssh répond sur 2 interfaces mais pas la 3ème

#2 Le 10/04/2012, à 18:35

Re : ssh répond sur 2 interfaces mais pas la 3ème

#3 Le 10/04/2012, à 18:52

Re : ssh répond sur 2 interfaces mais pas la 3ème

#4 Le 11/04/2012, à 00:03

Re : ssh répond sur 2 interfaces mais pas la 3ème

#5 Le 11/04/2012, à 03:02

Re : ssh répond sur 2 interfaces mais pas la 3ème

#6 Le 11/04/2012, à 08:53

Re : ssh répond sur 2 interfaces mais pas la 3ème

#7 Le 19/04/2012, à 23:09

Re : ssh répond sur 2 interfaces mais pas la 3ème

#8 Le 19/04/2012, à 23:14

Re : ssh répond sur 2 interfaces mais pas la 3ème

#9 Le 20/04/2012, à 00:50

Re : ssh répond sur 2 interfaces mais pas la 3ème

#10 Le 20/04/2012, à 09:36

Re : ssh répond sur 2 interfaces mais pas la 3ème

Pied de page des forums