As estações de trabalho Linux perdem intermitentemente as conexões com a Internet

Navegue suas respostas
3

Cerca de três meses atrás, um fenômeno estranho começou a acontecer em nossa rede.

Primeiramente, deixe-me descrever o layout da rede (apenas os detalhes que eu acho que poderei divulgar):

  • Temos um roteador que estabelece uma conexão VPN pela internet para a rede do nosso cliente.
  • O ponto de verificação é usado para a conexão VPN
  • Eu não sei o modelo exato do roteador. Mas nossos administradores de TI se referem a ele como o "firewall Nokia"
  • As estações de trabalho definem seu gateway para o endereço IP do roteador e fornecem acesso à Internet e VPN.

Então, há o problema:

Cerca de quatro meses atrás, as estações de trabalho Linux perdiam intermitentemente conexões de internet e VPN. Isso não acontece com as estações de trabalho do Windows. O problema parece apenas atormentar os que rodam no Linux.

Podemos ver que os pacotes são enviados para o gateway, mas nenhuma resposta é recebida. Isso dura cerca de 3-5mins e, em seguida, a conectividade com a Internet e VPN é restabelecida. Não conseguimos ver nenhum padrão na ocorrência. O problema mencionado ocorre em intervalos que variam de alguns segundos até algumas horas.

Para descartar as estações de trabalho Linux como sendo o problema, tentamos alternar algumas delas para um gateway diferente. Um roteador comum (vamos chamá-lo de GateWay-B). O problema não ocorre quando um gateway diferente é usado.

Uma coisa que fiz foi configurar as tabelas de IP para que:

  • Todos os pacotes vinculados a estações de trabalho pela VPN usam o gateway "Nokia / checkpoint"
  • Todos os outros pacotes usam outro gateway; GateWay-B.

Com isso, eu não perco mais a conexão com a internet. No entanto, a conexão VPN permanece intermitente.

Pergunta:

Alguém tem uma idéia de qual é o problema? É possível que um gateway determine o sistema operacional de onde um pacote de entrada veio?

    
por user1187186 30.04.2012 / 16:07

1 resposta

3

Isso soa como uma possível confusão de cache de arp.

Uma possibilidade é se o "firewall Nokia" fizer parte de um par de alta disponibilidade (HA), pode haver alguns eventos de failover ou balanceamento de carga ocorrendo. Se houver um par de HA e um deles se tornar o firewall ativo, a estação de trabalho linux pode continuar a enviar solicitações para o firewall errado devido à entrada incorreta do cache de arp.

Você pode testar facilmente isso da próxima vez que perder a conectividade com o site da VPN. Certifique-se de que a estação de trabalho linux tenha o pacote iproute instalado. Execute ip neigh flush dev eth0 (substituindo a interface correta). Isso limpará temporariamente o cache de arp até que ele seja repovoado, possivelmente com o endereço de hardware do firewall que está encaminhando corretamente o tráfego.

Se você puder discernir qual endereço de hardware está encaminhando o tráfego corretamente, você pode adicioná-lo como um mapeamento de arpo estático (embora isso possa potencialmente interromper qualquer HA ou balanceamento de carga realizado pelos firewalls).

Em última análise, isso deve ser apontado ao grupo responsável por manter e configurar os firewalls para que ele possa ser resolvido.

    
por 30.04.2012 / 16:57

Tags

Vulnerabilidades de segurança do Linux? Não é possível alterar o nome de usuário (“user olduser é usado atualmente pelo número do processo”)