Vikdal Skrevet 17. november 2009 Rapporter Del Skrevet 17. november 2009 Heisann Jeg lurte på om noen kunne hjelpe meg med et nettverksproblem som har oppstått. Jeg har satt opp en virituell Ubuntu Server 9.10 64bit på VMWare ESXi. Innstallasjon gikk helt problemfritt. Det samme gjorde innstallasjon og oppsett av LAPM, OpenSSH osv. Etter innstallasjon tok jeg en "sudo apt-get update" og "sudo apt-get upgrade". Dette gikk også helt fint. Etter som maskina skal benyttes til en nettside som skal være tilgjengelig både internt og eksternt så ville jeg gi den en statisk ip. Jeg gikk derfor inn i /etc/network/interfaces og endret den til: # The loopback network interface auto lo iface lo inet loopback # The primary network interface auto eth0 iface eth0 inet dhcp til # The loopback network interface auto lo iface lo inet loopback # The primary network interface auto eth0 iface eth0 inet static address 192.168.11.41 netmask 255.255.255.0 network 192.168.11.0 broadcast 192.168.11.255 gateway 192.168.11.2 i tillegg så satt jeg følgende i /etc/resolv.conf: search <domene>.local nameserver 192.168.11.5 Etter dette får jeg ikke kontakt med det eksterne nettverket, men jeg får kontakt med den internt. Jeg får mao ikke gjort noen oppdateringer, og eksterne personer vil da heller ikke få kontakt med nettsiden. Etter litt undersøkelse så viser det seg at det er firewall'en som blokkerer trafikken og gir en feilmelding om "ip spoofing". Det jeg lurer på da er hvorfor dette dukket opp nå som jeg endret fra dynamisk til statisk ip ? Har jeg gjort noe galt i noen konfig filer, eller har jeg kanskje glemt noe ? Lenke til kommentar
jonnor Skrevet 17. november 2009 Rapporter Del Skrevet 17. november 2009 Hva slags nettverksoppsett har du for gjestene på ESXi tjeneren din? NAT? Bridged? Og hva mener du med "det eksterne nettet"? Er det internett eller ditt lokale fysiske nettverk? Lenke til kommentar
Vikdal Skrevet 17. november 2009 Forfatter Rapporter Del Skrevet 17. november 2009 Takk for svar Jonnor Med eksternt mener jeg fra andre steder utenfor vår firewall. Altså at eksterne brukere kan nå siden. Når det gjelder nettverksoppsettet for de virituelle maskinene så er dette noe jeg kom på i løpet av dagen, men ikke fått sjekket opp. Var det noe spesiellt du tenkte på i den forbindelse ? Jeg kan ikke huske at jeg gjorde noe spesiellt under oppsettet, så den har vel det som er default for ny virituell maskin. Lenke til kommentar
jonnor Skrevet 17. november 2009 Rapporter Del Skrevet 17. november 2009 Det er ikke en IP konflikt da? Det kan forklare at firewallen advarer om spoofing og at maskinen har begrenset tilgang. Lenke til kommentar
duckers Skrevet 19. november 2009 Rapporter Del Skrevet 19. november 2009 Tror problemet ditt er mangel på nameserver, med mindre du har en maskin lokalt på nettverket på adresse 192.168.11.5 som kjører som neameserver. Dersom du benytter DHCP på en av de andre maskinen, kan du finne hvilken nameserver routeren din gir ut ved å se på "netverksinformasjon" der. Deretter er det bare å legge disse inn i "/etc/resolv.conf" Lenke til kommentar
Vikdal Skrevet 29. november 2009 Forfatter Rapporter Del Skrevet 29. november 2009 Hei igjen Beklager et litt tregt svar her, men har vært særdeles opptatt i en periode. @Jonnor: Det er ikke noen IP-konflikter. IP'n ligger utenfor DHCP området til ruteren (x.x.x.[1-50] er utenfor DHCP, x.x.x.[51-150] er tilegnet DHCP. @duckers: Det er en nameserver som kjører på 192.168.11.5 ja. Så vidt vi kan se i logger osv så fungerer dns osv. Dersom jeg f.eks prøver "ping google.com" så får jeg opp at den forsøker å pinge en eller annen ekstern ipadresse, men så stopper det der. Da dukker det opp "ipspoofing" linjer i loggen i firewall'n. Det jeg synes er veldig rart er at ALT fungerte helt fint så lenge DHCP var aktivert. Da var det ikke noe problem med "spoofing" eller noe. Problemet er forøvrig fortsatt tilstede. Lenke til kommentar
Del Skrevet 29. november 2009 Rapporter Del Skrevet 29. november 2009 Du har antagelig egress filtering på brannmuren din: http://en.wikipedia.org/wiki/Egress_filtering Dette beror på at brannmuren din tror IP adressen til den virtuelle maskinen er falsk. Såvidt jeg kan se er det flere mulig feilkilder, og sikkert flere mulig work-arounds. Mine første innfall er: -du kan slå av egress filering i brannmuren (kanskje det enkleste, men også den dårligste løsningen) -Sjekk hva ESXi gjør, er den virtuelle maskinen din bak en brannmur eller har du i ESXi satt opp en bro? -Fyr opp en maskin med dynamisk IP på samme ESXi server (hvor ting funker?), og sett opp en med statisk IP hvor mest mulig er likt den med dynamisk -Prøv med KVM, der er det enkelt å teste fra kommandolinja med kontroll over alle egenskaper til den virtuelle maskinen og oppsett av nett lokalt -Skift brannmur, en router med openwrt er sikkerstikk Lenke til kommentar
HawP Skrevet 29. november 2009 Rapporter Del Skrevet 29. november 2009 Hmm... en litt "wild guess"... Du hadde tidligere DHCP på serveren, ut i fra hva du skriver hadde du da en annen ip enn x.x.x.41. Kan det være at brannmuren "husker" kombinasjonen mac-adr. og tidligere IP? og når det nå kommer en pakke med en annen ip i headeren men samme mac adr. så tror den at her er det noe "muffens" ? Lenke til kommentar
Vikdal Skrevet 29. november 2009 Forfatter Rapporter Del Skrevet 29. november 2009 Hmm... en litt "wild guess"... Du hadde tidligere DHCP på serveren, ut i fra hva du skriver hadde du da en annen ip enn x.x.x.41. Kan det være at brannmuren "husker" kombinasjonen mac-adr. og tidligere IP? og når det nå kommer en pakke med en annen ip i headeren men samme mac adr. så tror den at her er det noe "muffens" ? Det der var faktisk ikke så dumt forslag. Nei, den dynamiske ip'en var ikke den samme som den statiske, så dette må jeg sjekke ut. Skal se om jeg klarer å finne ut hva den dynamiske ip'en var og endre til denne på serveren bare for test. I og med at det fungerte så lenge jeg hadde dynamisk ip så kan nettopp dette være grunnen til at det ikke fungerer lenger. Du har antagelig egress filtering på brannmuren din:http://en.wikipedia.org/wiki/Egress_filtering Dette beror på at brannmuren din tror IP adressen til den virtuelle maskinen er falsk. Såvidt jeg kan se er det flere mulig feilkilder, og sikkert flere mulig work-arounds. Mine første innfall er: -du kan slå av egress filering i brannmuren (kanskje det enkleste, men også den dårligste løsningen) -Sjekk hva ESXi gjør, er den virtuelle maskinen din bak en brannmur eller har du i ESXi satt opp en bro? -Fyr opp en maskin med dynamisk IP på samme ESXi server (hvor ting funker?), og sett opp en med statisk IP hvor mest mulig er likt den med dynamisk -Prøv med KVM, der er det enkelt å teste fra kommandolinja med kontroll over alle egenskaper til den virtuelle maskinen og oppsett av nett lokalt -Skift brannmur, en router med openwrt er sikkerstikk Etter å ha lest den wiki-siden så stemmer nok det godt overrens med hvordan vårt nett er satt opp. Skal få sjekket opp disse punktene forhåpentligvis imorgen, og så rapporterer jeg tilbake med hvordan det gikk Tusen takk for svar. Setter veldig stor pris på det Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå