Не все адреса пингуются ESXi

[Impuls]

Доброго времени суток уважаемые эксперты. Имеется 2-е Windows 2003. На одной стоит контроллер домена, DNS и DHCP. На второй вторичный DNS. На виртуальной машине стоит debian. Сетевую карту он видит. Ip адреса по DHCP получает, но пинговать я могу только свои DNS-ы и больше ничего. Запустил на виртуалке Ubuntu таже проблема. Пинги не идут вообще. Т.е. запустил ping 192.168.2.46 и он весит пока я не выйду по ctrl+c. Пробовал не прописывать DNS-ы на системе - не помогло (2 адреса пингует, а остальные нет). Файервола нету.
Подскажите в чем может быть дело?

Ах да. Чуть не забыл. Debian Squeeze.

[вложение удалено администратором]

[ihammers]

С настройками сетевого интерфейса ничего не напутали в ESXi сервере?

[Impuls]

С настройками сетевого интерфейса ничего не напутали в ESXi сервере?

Да, вроде, нет. Все тривиально. Остальные виртуальные машины работают нормально. Не обращайте внимание на Kerio, я проверяю когда он выключен (да и со включенным kerio остальные виртуалки работают чудно)
___________________________
Попробовал сейчас выключить все виртуалки. Результат тот же.

[ihammers]

Неа, от выключения ничего не должно было произойти.  Да и kerio не должен влиять у него не так много настроек (интерфейсов).  Меня интересует настройки интерфейса в настройках виртуалки.  А также посмотрите какие в системе роуты (ip r).

PS: используете vSphere?

[Impuls]

Неа, от выключения ничего не должно было произойти.  Да и kerio не должен влиять у него не так много настроек (интерфейсов).  Меня интересует настройки интерфейса в настройках виртуалки.  А также посмотрите какие в системе роуты (ip r).

PS: используете vSphere?

Да использую vSphere. Настройки покажу уже в понедельник. Но настройки аналогичные как и на windows 2008. Да и на kerio (сборка на основе linux) точно такие же настройки, только там два интерфейса.
Сообщение объединено: 10 сентября 2012, 11:22:23

А также посмотрите какие в системе роуты (ip r).

Маршруты во вложении.

[Impuls]

Ну же ребята. Помогите плиз. Что еще может быть?

[ihammers]

Затрудняюсь ответить, но давайте попробуем разобраться.
Выложите ping, traceroute до DNS и DHCP ну и если можно какой-нибудь внешний адрес (google.ru).

Код Выделить Развернуть

cat /etc/resolv.conf
cat /etc/network/interfaces

[Impuls]

Затрудняюсь ответить, но давайте попробуем разобраться.
Выложите ping, traceroute до DNS и DHCP ну и если можно какой-нибудь внешний адрес (google.ru).

Код Выделить Развернуть

cat /etc/resolv.conf
cat /etc/network/interfaces

Значит так. Есть новости. Дело не в esxi, а, скорее всего, в kerio, ибо:
1. Подключил к сети физический ПК с debian - ситуация таже.
2. Теперь пинги не идут только к виртуалке с kerio и машинам с файерволом.
3. Поставил убунту на виртуалку, прописал ей ip. Сеть появилась, пинги к kerio прошли, интернет заработал. После повторной смены ip - пинги пропали, откат к предыдущему ip не помог.
Временно в Kerio поставил разрешенный доступ для всех - 0 реакции.
Какая-то плавающая проблема получается((

Может это из за того что в реальной сети стоит Win 2003 как контроллер домена, 2 DNS и DHCP. (домен pgvh.by)
На виртуалке стоит Win 2008 R2 как контроллер домена, 1 DNS без DHCP (домен ipgvh.local) - мы собираемся переходить на новый домен
Kerio введен в домен ipgvh.local

Трассировка до DHCP:

Код Выделить Развернуть

root@pgvh:/horne/pgvh# traceroute 192.168.2.2
traceroute to 192.168.2.2 (192.168.2.2), 30 hops max, 60 byte packets
1 192.168.2.2 (192.168.2.2) 0.514 ms 0.484 ms 0.469 ms
root@pgvh:/home/pgvhf#

Трассировка до DNS не прошла, но ping до DNS идет:

Код Выделить Развернуть

root@pgvh :/horne/pgvh# ping 182.168.2.15
PING 192.168.2.15 (192.168.2.15) 56(84) bytes of data.
64 bytes from 192.168.2.15: icmp_req=1 ttl=128 time=0.696 ms
64 bytes from 192.168.2.15: icmp_req=2 ttl=128 time=0.293 ms
64 bytes from 192.168.2.15: icmp_req=3 ttl=128 time=0.391 ms
64 bytes from 192.168.2.15: icmp_req=4 ttl=128 time=0.362 ms
^C
--- 192.168.2.15 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3000ms
rtt min/avg/max/mdev = 0.293/0.435/0.696/0.155 ms
rootGpgvh:/home/pgvh# traceroute 192.168.2.15
traceroute to 192.168.2.15 (192.168.2.15), 30 hops max, 60 byte packets
1 * * *
2 * * *
3 * * *
4 * * *
5 * * *
6 * * *
7 * * *
8 * * *
9 * * *
10 * * *
11 * * * ^C
root@pgvh:/home/pgvh#
Пинги на внешний адрес не идут, потому что не идут пинги до шлюза (Kerio)

cat /etc/resolv.conf

Код Выделить Развернуть

root@pgvh:/horne/pgvh# cat /etc/resolv.conf
domain ipgvh.local
search ipgvh.local
nameserver 192.168.2.15
root@pgvh:/horne/pgvh#

cat /etc/network/interfaces

Код Выделить Развернуть

root@pgvh:/horne/pgvh# cat /etc/network/interfaces
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).
# The loopback network interface
auto lo
iface lo inet loopback
# The primary network interface
allow-hotplug eth0
iface eth0 inet static
address 192.168.2.9
netmask 255.255.254.0
network 192.168.2.0
broadcast 192.168.3.255
gateway 192.168.2.19
dns-nameservers 192.168.2.15
dns-search ipgvh.local
root@pgvh:/home/pgvh#
Сообщение объединено: 14 сентября 2012, 15:43:26
Появилась новая информация.
На Kerio включен Анти спуфинг. А в логах (при пинге) появляются такие записи:

Код Выделить Развернуть

[14/Sep/2012 14:32:13] Anti-spoofing: Packet from Ethernet 2, proto:ICMP, len:84, 192.168.2.9 -> 192.168.2.19, type:8 code:0
[14/Sep/2012 14:32:14] Anti-spoofing: Packet from Ethernet 2, proto:ICMP, len:84, 192.168.2.9 -> 192.168.2.19, type:8 code:0
[14/Sep/2012 14:32:15] Anti-spoofing: Packet from Ethernet 2, proto:ICMP, len:84, 192.168.2.9 -> 192.168.2.19, type:8 code:0
[14/Sep/2012 14:32:16] Anti-spoofing: Packet from Ethernet 2, proto:ICMP, len:84, 192.168.2.9 -> 192.168.2.19, type:8 code:0
Ethernet 2 - интерфейс, через который интернет получает Kerio. Его ip: 192.168.0.1/24
Я так понимаю что на Debian неверно настроены маршруты, но как это исправить непонятно. Почему он так шлет пакеты?

[ihammers]

Значит так. Есть новости. Дело не в esxi, а, скорее всего, в kerio, ибо:
1. Подключил к сети физический ПК с debian - ситуация таже.
2. Теперь пинги не идут только к виртуалке с kerio и машинам с файерволом.
3. Поставил убунту на виртуалку, прописал ей ip. Сеть появилась, пинги к kerio прошли, интернет заработал. После повторной смены ip - пинги пропали, откат к предыдущему ip не помог.
Временно в Kerio поставил разрешенный доступ для всех - 0 реакции.
Какая-то плавающая проблема получается((

У вас в сети есть dhcp, а для машин вы используете статику.  Можете выложить конфиг с которым работало.
Если есть возможность попробовать сделать следующее:

• отключить dhpc (временно)
• задать настройки сети
• возможно стоит отключить kerio (временно)

Может это из за того что в реальной сети стоит Win 2003 как контроллер домена, 2 DNS и DHCP. (домен pgvh.by)
На виртуалке стоит Win 2008 R2 как контроллер домена, 1 DNS без DHCP (домен ipgvh.local) - мы собираемся переходить на новый домен
Kerio введен в домен ipgvh.local

Проблема не должна быть связанна с таким устройством сети.  Есть и более "сложные" сети в которых более 2-х контроллеров домена.  В kerio отключён dhcp?

Пинги на внешний адрес не идут, потому что не идут пинги до шлюза (Kerio)

Думаю, что проблема всё-таки в kerio, локальный трафик разрешен?  Просто недавно было время пробовал настраивать kerio, у нас требовалось, чтобы после аутентификации через AD пользователи получали доступ в глоб.  Без аутентификации машина остаётся изолированной даже для локальной сети.  В последствии мы сделаем так, чтобы машины имели возможность "общаться" в локальной сети без аутентификации.

Я так понимаю что на Debian неверно настроены маршруты, но как это исправить непонятно. Почему он так шлет пакеты?

Тогда бы это решалось очень просто, как с ubuntu.  Задать заново параметры сети и передёрнуть интерфейс/машину и роуты должны были бы "сброситься" (если ничего не усложнено).

Так как маршруты строятся по настройкам interfaces.

PS: не устоял и поставил в листинге хирагану:)

[Impuls]

У вас в сети есть dhcp, а для машин вы используете статику.  Можете выложить конфиг с которым работало.
Если есть возможность попробовать сделать следующее:

• отключить dhpc (временно)
• задать настройки сети
• возможно стоит отключить kerio (временно)

К сожалению DHCP отключить возможности нет, да и не понимаю зачем? На Kerio прописана статика, на виртуальных серверах (дебиан в частности) также прописана статика. Конфига уже нет (мой необдуманный поступок и на место старого конфига лег новый, не рабочий). И еще: убунта настраивалась через NetworkManager а не через /etc/network/interfaces

Проблема не должна быть связанна с таким устройством сети.  Есть и более "сложные" сети в которых более 2-х контроллеров домена.  В kerio отключён dhcp?

DHCP в Kerio отключен.

Думаю, что проблема всё-таки в kerio, локальный трафик разрешен?  Просто недавно было время пробовал настраивать kerio, у нас требовалось, чтобы после аутентификации через AD пользователи получали доступ в глоб.  Без аутентификации машина остаётся изолированной даже для локальной сети.  В последствии мы сделаем так, чтобы машины имели возможность "общаться" в локальной сети без аутентификации.

У нас локальный трафик разрешен всем. + Правило "Сервера" срабатывает для ip адресов из группы "Сервера". Скажу больше: когда убунта увидела Kerio - она ходила в нет по этому правилу.

Тогда бы это решалось очень просто, как с ubuntu.  Задать заново параметры сети и передёрнуть интерфейс/машину и роуты должны были бы "сброситься" (если ничего не усложнено).

Так как маршруты строятся по настройкам interfaces.

Однако факт остается фактом. Пакеты к Kerio приходят не через нужный интерфейс. Объясню как соединены машины:

Модем -> Маршрутизатор => Сервер с ESXi
Локалка -> ^^^^^^^^^^

Т.е. локалка и модем втыкнуты в один маршрутизатор. А от маршрутизатора идет два провода на сервер с esxi. Решение временное и будет существовать до тех пор, пока сеть не будет переведена в новый домен. Позже провод от модема будет подключен напрямую к серверу с ESXi.

Попутно модем юзает и TraficInspector установленный на Win2003, а в логах Kerio множатся записи о спуфинге со стороны других ip.