Здравствуйте!

Имеются абсолютно два идентичных по железу сервера. На одном из них установлена FreeBSD 9.2, используемая в качестве шлюза (ipfw+natd). Структура локальной сети
1) "пользователи LAN2" -> роутер Cisco 2901 -> FreeBSD шлюз -> ИНЕТ. То есть два ната по пути.
2) "пользователи LAN1" -> шлюз FreeBSD -> ИНЕТ. То есть 1 нат по пути.
Все настроено и работает.

На другой сервер установил FreeBSD 10. Первый сервак погасил, второму выдал идентичные первому настройки и 1в1 перекопировал правила фаервола. Возникла следующая проблема - интернет заработал у второй категории пользователей. А все кто пытаются пробиться до шлюза из первой категории не могут даже пингануть LAN-интерфейс шлюза. Если терминалом подключиться к самому роутеру (ЦИСКЕ) и пинговать шлюз с него - то пингов тоже нет. Меняю сервера местами - все возвращается в нормальный режим! BSD10 отсекает пакеты именно от роутера. В чем проблема? Совсем запутался. Помогите!

• Непонятное поведение фаервола FreeBSD 10,Pahanivo, 14:35 , 01-Апр-14
  • Непонятное поведение фаервола FreeBSD 10,GlooM14, 14:47 , 01-Апр-14
    • Непонятное поведение фаервола FreeBSD 10,Golub Mikhail, 15:23 , 01-Апр-14
    • Непонятное поведение фаервола FreeBSD 10,Pahanivo, 16:35 , 01-Апр-14
      • Непонятное поведение фаервола FreeBSD 10,GlooM14, 17:36 , 01-Апр-14

> Здравствуйте!
> Имеются абсолютно два идентичных по железу сервера. На одном из них установлена
> FreeBSD 9.2, используемая в качестве шлюза (ipfw+natd). Структура локальной сети
> 1) "пользователи LAN2" -> роутер Cisco 2901 -> FreeBSD шлюз -> ИНЕТ.

сходу вопрос - накой тут роутер???
>[оверквотинг удален]
> по пути.
> Все настроено и работает.
> На другой сервер установил FreeBSD 10. Первый сервак погасил, второму выдал идентичные
> первому настройки и 1в1 перекопировал правила фаервола. Возникла следующая проблема -
> интернет заработал у второй категории пользователей. А все кто пытаются пробиться
> до шлюза из первой категории не могут даже пингануть LAN-интерфейс шлюза.
> Если терминалом подключиться к самому роутеру (ЦИСКЕ) и пинговать шлюз с
> него - то пингов тоже нет. Меняю сервера местами - все
> возвращается в нормальный режим! BSD10 отсекает пакеты именно от роутера. В
> чем проблема? Совсем запутался. Помогите!

пальцем в небо - у LANx разная адресация - вы забыли добавить алиас на интерфэйс
а вообще чтобы не взывать к пара-наукам таки надо инфы какбы выложить ...

> пальцем в небо - у LANx разная адресация - вы забыли добавить
> алиас на интерфэйс
> а вообще чтобы не взывать к пара-наукам таки надо инфы какбы выложить
> ...
> пальцем в небо - у LANx разная адресация - вы забыли добавить
> алиас на интерфэйс
> а вообще чтобы не взывать к пара-наукам таки надо инфы какбы выложить
> ...

Настройки у двух серверов абсолютно идентичны.
LAN IP шлюза - 192.168.1.1; WAN порт смотрит в интернет.
Юзеры категории "1" с айпи 192.168.1.15; 192.168.1.20 итд выпускаются в инет корректно через шлюз.
Роутер Cisco имеет LAN IP 10.10.3.1 WAN IP 192.168.1.33 и включается в общий свитч с простыми юзерами из категории "1".
У юзеров в LAN сегменте роутера 10.10.3.15; 10.10.3.20 итд инета нет. 192.168.1.1 (LAN шлюза) даже не пингуется.
Также LAN шлюза не пингуется из консоли управления самой циской.

Как только шлюз с freebsd 10 меняю на сервер с freebsd 9 все взлетает.

Какая именно более подробная информация интересует? готов привести. Фаервол БСД по идее должен принимать пакеты от Циски так же, как и от рядовых пользователей первого сегмента.

>[оверквотинг удален]
> Роутер Cisco имеет LAN IP 10.10.3.1 WAN IP 192.168.1.33 и включается в
> общий свитч с простыми юзерами из категории "1".
> У юзеров в LAN сегменте роутера 10.10.3.15; 10.10.3.20 итд инета нет. 192.168.1.1
> (LAN шлюза) даже не пингуется.
> Также LAN шлюза не пингуется из консоли управления самой циской.
> Как только шлюз с freebsd 10 меняю на сервер с freebsd 9
> все взлетает.
> Какая именно более подробная информация интересует? готов привести. Фаервол БСД по идее
> должен принимать пакеты от Циски так же, как и от рядовых
> пользователей первого сегмента.

Посмотрите маршруты на старом сервере "netstat -nr" и сравните с новым.

И проверьте, не "прибит" ли мак-адрес сервера жестко на Cisco.
Или еще какая-нибудь хрень типа port security ... которая блокирует порт при смене mac-а.

Ну и логи сервера, cisco смотрели?

> Настройки у двух серверов абсолютно идентичны.

версия осей разная - какая идЭнтичность?
> LAN IP шлюза - 192.168.1.1; WAN порт смотрит в интернет.
> Юзеры категории "1" с айпи 192.168.1.15; 192.168.1.20 итд выпускаются в инет корректно
> через шлюз.
> Роутер Cisco имеет LAN IP 10.10.3.1 WAN IP 192.168.1.33 и включается в
> общий свитч с простыми юзерами из категории "1".

да этажж нЭ роутинг - это же нат
> У юзеров в LAN сегменте роутера 10.10.3.15; 10.10.3.20 итд инета нет. 192.168.1.1
> (LAN шлюза) даже не пингуется.
> Также LAN шлюза не пингуется из консоли управления самой циской.

копайте глубже - маки видят?
как правильно выше заметили читаем логи - ищем ошибки или дропы

> Как только шлюз с freebsd 10 меняю на сервер с freebsd 9
> все взлетает.

что доказывает НЕединтичность

> Какая именно более подробная информация интересует? готов привести. Фаервол БСД по идее
> должен принимать пакеты от Циски так же, как и от рядовых
> пользователей первого сегмента.

логи, ipfw -a list и т.д. что покаже что вы посылаете пакеты а они не идут
tcpdump тоже никто не запрещал

>> Настройки у двух серверов абсолютно идентичны.

Проблема решилась перезапуском циски. Видать ARP кэш залип, отправляя пакеты, адресованные 192.168.1.1 на мак, который отсвечивал от сетевухи старого, а не нового сервера - вот и терялись пакеты.