Proxy-arp

[morfey]

Здравствуйте. Использую схему accel'a QinQ
На bond0 висит 10.10.0.1/24

При старте юзера QinQ , создается интерфейс напр. bond0.237.1017 - 10.10.0.5/24 (Соответственно создается с адресом 10.10.0.1/32)
И этот юзер не видит остальных, не QinQ клиентов с bond0.
На bond0 proxy-arp отключен.

Как подружить юзеров с "accel'овских" интерфейсов и bond0 ?

Code: Select all

[ipoe]
ipv6=deny
verbose=1
username=ifname
lease-time=600
max-lease-time=660
vlan-timeout=900
attr-dhcp-client-ip=DHCP-Client-IP-Address
attr-dhcp-router-ip=DHCP-Router-IP-Address
attr-dhcp-mask=DHCP-Mask
shared=0
proxy-arp=1
ip-unnumbered=1
proto=100
ifcfg=1
mode=L2
start=dhcpv4
interface=re:bond0\.2[0-9][0-9]\.[1-2][0-9][0-9][0-9]$
vlan-mon=re:bond0\.2[0-9][0-9],1000-2999

[Dmitry]

посмотри tcpdump'ос есть ли ответы на arp запросы для клиентов с других интерфейсов

[morfey]

Code: Select all

s# tcpdump -nni bond0.242.1000 arp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on bond0.242.1000, link-type EN10MB (Ethernet), capture size 65535 bytes
18:34:10.465489 ARP, Request who-has 91.xxx.0.129 tell 91.xxx.0.1, length 28
18:34:10.466543 ARP, Reply 91.xxx.0.129 is-at 00:0d:60:80:37:51, length 46
18:35:42.737482 ARP, Request who-has 91.xxx.0.129 tell 91.xxx.0.1, length 28
18:35:42.738420 ARP, Reply 91.xxx.0.129 is-at 00:0d:60:80:37:51, length 46
18:35:46.956273 ARP, Request who-has 91.xxx.0.14 tell 91.xxx.0.129, length 46
18:35:46.956318 ARP, Reply 91.xxx.0.14 is-at 00:26:55:51:15:9a, length 28

91.xxx.0.129 is-at 00:0d:60:80:37:51 - Ноут в аццеловском интерфейсе
91.xxx.0.14 is-at 00:26:55:51:15:9a - юзер на bond0, но мак не юзера, а шлюза 91.xxx.0.1

[Dmitry]

так и должно быть
может быть роутинга между интерфейсами нет ?

[morfey]

Роутинг есть. Проблема в пределах одной подсети.
Если например дать юзеру ип из подсети 91.xxx.1.0/24, то он видит подсеть 91.xxx.0.0/24, а свою нет, только шлюз.

[Dmitry]

тогда дай пинг до соседнего юзера и смотри приходят ли пакеты и уходят ли в другой интерфейс

[morfey]

Пинг не идет, нет ответа

Code: Select all

y# tcpdump -nni bond0.242.1000 icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on bond0.242.1000, link-type EN10MB (Ethernet), capture size 65535 bytes
10:02:34.756337 IP 91.xxx.0.129 > 91.xxx.0.1: ICMP 91.xxx.0.129 udp port 20658 unreachable, length 139
10:03:00.786371 IP 91.xxx.0.129 > 8.8.8.8: ICMP 91.xxx.0.129 udp port 13933 unreachable, length 139
10:03:22.228786 IP 91.xxx.0.129 > 8.8.8.8: ICMP 91.xxx.0.129 udp port 46861 unreachable, length 113
10:03:35.634593 IP 91.xxx.0.129 > 91.xxx.0.14: ICMP echo request, id 20295, seq 1, length 64
10:03:36.643079 IP 91.xxx.0.129 > 91.xxx.0.14: ICMP echo request, id 20295, seq 2, length 64
10:03:37.651088 IP 91.xxx.0.129 > 91.xxx.0.14: ICMP echo request, id 20295, seq 3, length 64
10:03:38.659100 IP 91.xxx.0.129 > 91.xxx.0.14: ICMP echo request, id 20295, seq 4, length 64
10:03:39.667110 IP 91.xxx.0.129 > 91.xxx.0.14: ICMP echo request, id 20295, seq 5, length 64
10:03:40.675132 IP 91.xxx.0.129 > 91.xxx.0.14: ICMP echo request, id 20295, seq 6, length 64
10:03:41.683074 IP 91.xxx.0.129 > 91.xxx.0.14: ICMP echo request, id 20295, seq 7, length 64
10:03:42.691183 IP 91.xxx.0.129 > 91.xxx.0.14: ICMP echo request, id 20295, seq 8, length 64
10:03:43.699118 IP 91.xxx.0.129 > 91.xxx.0.14: ICMP echo request, id 20295, seq 9, length 64
10:03:44.707218 IP 91.xxx.0.129 > 91.xxx.0.14: ICMP echo request, id 20295, seq 10, length 64

Code: Select all

# ip r
91.xxx.0.0/24 dev bond0  proto kernel  scope link  src 91.xxx.0.1 
91.xxx.0.129 dev bond0.242.1000  proto accel/ipoe  scope link  src 91.xxx.0.1 

[Dmitry]

91.xxx.0.0/24 dev bond0 proto kernel scope link src 91.xxx.0.1

это зачем ?

[morfey]

В общем есть несколько блоков (алиасами) на bond0, есть задача перевести всех на vlan-per-user, плавно).
Эта подсеть висит на bond0, т.к. есть юзеры которые находятся в одной подсети в этом блоке. Так же есть юзеры, которые уже в аццеловских интерфейсах, в этой же подсети. И хотелось бы, чтобы они видели друг друга)

[Dmitry]

так скорее наоборот юзеры с bond0 не видят юзеров с bond0.x.y
надо включить на bond0 ядерный proxy-arp, но тогда может возникнуть проблема с gratuitous ARP
вобщем дай пинг и смотри на bond0 пакеты