Problème: ping IPCOP impossible depuis un PC du réseau local

par **jpa28** » 06 Sep 2007 15:22

Bonjour à tous,

Je viens d'installer un IPCOP v1.4.15 sur le réseau de l'entreprise ou j'effectue un stage de technicien réseau.

Pour l'instant, l'IPCOP tourne avec la distrib de base avec les paramètres par défaut, sans aucun addon.
Il ne fait donc que du routage (aucun filtrage) de VERT vers ROUGE.
Aucun soucis pour les accès à internet depuis le réseau sauf pour UNE machine.
il s'agit d'un serveur win 2003 équipée d'une carte ethernet Broadcom netXtrem Gigabit.

Je n'arrive pas à pinger de manière continue l'IPCOP (message "délai de la demande dépassé" après quelques ping réussi).

@ip IPCOP = 192.168.132.2
@ip Win2003server = 192.168.132.20

A l'aide de Wireshark, j'ai scanné les trames arrivant sur l'interface verte de l'IPCOP et voici le résultat :

192.168.132.20 -> 192.168.132.2 : ICMP echo (ping) request (@mac source = 00-30-05-a8-f7-37)
192.168.132.2 -> 192.168.132.20 : ICMP echo (ping) reply (@mac dest = 00-30-05-a8-f7-37)
192.168.132.20 -> 192.168.132.2 : ICMP echo (ping) request (@mac source = 00-30-05-a8-f7-37)
192.168.132.2 -> 192.168.132.20 : ICMP echo (ping) reply (@mac dest = 00-30-05-a8-f7-37)
192.168.132.20 -> 192.168.132.2 : ICMP echo (ping) request (@mac source = 00-30-05-a8-f7-37)
192.168.132.2 -> 192.168.132.20 : ICMP echo (ping) reply (@mac dest = 00-30-05-a8-f7-37)

jusque la tout va bien, c'est après que ça se gate :

@mac IPCOP -> 00-30-05-a8-f7-37 : ARP Who has 192.168.132.20 ? Tell 192.168.132.2
00-30-05-b8-f7-37 -> @mac IPCOP : ARP 192.168.132.20 is at 00-30-05-b8-f7-37
00-30-05-a8-f7-37 -> @mac IPCOP : ARP 192.168.132.20 is at 00-30-05-a8-f7-37

le serveur Win2003 répond 2 fois à la requète ARP avec 2 adresses mac différentes :shock:

ensuite :

192.168.132.20 -> 192.168.132.2 : ICMP echo (ping) request (@mac source = 00-30-05-a8-f7-37)
192.168.132.2 -> 192.168.132.20 : ICMP echo (ping) reply (@mac dest = 00-30-05-b8-f7-37)

et la évidemment le serveur Win2003 ne reçoit pas la réponse du ping (adresse mac différente de celle de la requète)...

je constate que l'IPCOP à mis à jour sa table ARP avec l'@mac 00-30-05-b8-f7-37 pour l'@IP 192.168.132.20.

le problème de base vient sans doute de la carte ethernet qui renvoit 2 adresses mac (pourtant pas modifiée administrativement) à la requète ARP.

Ce qui est bizarre c'est que, parmis les 50 machines du réseau, ça ne perturbe QUE l'IPCOP.
j'ai mème un serveur debian ETCH qui, malgrés la réception de la double réponse ARP (j'ai vérifier avec Wireshark), garde toujours la bonne adresse mac dans son cache ARP (aucun problème de réponse au ping).

Ce fonctionnement de l'IPCOP est il normal, est-ce un bug ?
Y'a t'il un moyen de contourner le problème au niveau de l'IPCOP (sans changer la carte ethernet du serveur Win2003) ?

D'avance je vous remercie d'éclairer ma lanterne...

par **Franck78** » 06 Sep 2007 17:00

Salut,

C'est pas la carte 'qui répond' à une requète ARP reçue. C'est la pile de protocole installée au dessus, en l'occurence 'IP'.

IPCop n'utilise que l'information fournie. Si aucune carte réseau ne répond à la mac '00-30-05-b8-f7-37' que veut-tu qu'il y fasse? Rien!

Comme tu le remarques si bien, le problème se situe du coté de cette mac 'dansante'. Si tu observes bien, il n'y a qu'une opération +1.0000 passer de 'a8' à 'b8' sur un octect qui à coup sur donnera une adresse inutilisée sur ce lan. Dans quel but? Voila ton problème*.
A8=1010.1000
B8=1011.1000
On peut aussi imaginer que le bit 5 de la mémoire stockant à un moment la mac est foireux. Commence donc par lire sur le sticker collé sur la carte réseau sa véritable adresse!

(sans changer la carte ethernet du serveur Win2003)

C'est pas assez élégant comme solution si elle est le problème ?

bye

*ce qui t'ouvre le large champ d'exploration que constituent tout les virus et autres malwares windowsiens ;-)

par **jpa28** » 06 Sep 2007 18:53

merci franck,

pour le changement de carte c'est pas un problème d'élégance, c'est plutot un problème de disponibilité, le serveur doit être opérationnel 24h/24 (centre hospitalier), donc toute intervention et surtout les éventuelles conséquences imprévues pausent problème.

mais comme dit henri, quand faut y aller, faut y aller...

J'aimerais bien quand même pouvoir répondre au responsable du service informatique qui me demande :
"Pourquoi n'y a t'il QUE IPCOP à qui ça pause problème ?"
En effet, comme je le disais dans mon post initial, il y a un 50 machines sur le réseau dont 1 serveur Linux Debian Etch sur le réseau, a qui la double réponse ARP ne pose aucun problème.

par **Franck78** » 06 Sep 2007 19:05

Etch, c'est un kernel 2.6
IPCop, un kernel 2.4

Une possibilité pourrait être une gestion différente de la suite donnée à la reception d'un paquet ARP non sollicité.
Une autre, un patch spécifique à IPCop pour le protéger d'attaque style empoisenement de cache

Il y a des milliers de raisons pour que chacun réagisse différenment au même evènement. Analyse le source, tu l'as à ta disposition!

Mais tu ne sera pas plus avancé après :roll:

par **Gesp** » 07 Sep 2007 13:44

Une autre, un patch spécifique à IPCop pour le protéger d'attaque style empoisenement de cache

Non pas de patch à ma connaissance
Je n'ai pas d'idée pourquoi le comportement serait différent.

Quelle adresse MAC est affichée par
ipconfig /all

Est-ce que la carte est prévue pour gérer plusieurs interfaces?

par **Gesp** » 07 Sep 2007 14:35

Plutôt que de changer de carte sur le win2003 (sauf si elle est defectueuse), pourquoi ne pas rajouter une entrée permanente dans la table arp d'IPCop?

Cela dépannera au moins en temporaire. Probablement mettre cela dans /etc/rc.d/rc.local

arp -s 192.168.132.20 00-30-05-a8-f7-37

par **Gesp** » 07 Sep 2007 14:36

Je n'ai pas d'idée pourquoi le comportement serait différent.

Peut-être est-ce lié à IPv6 sur la debian etch?

par **jpa28** » 10 Sep 2007 15:01

Merci Gesp pour l'astuce "rajouter une entrée permanente dans la table arp d'IPCop", je vais tester de suite.

Renseignements pris au près du fournisseur du serveur, le comportement de la carte réseau (Broadcom NetXtrem Gigabit Ethernet BCM5721 C1) serait tout à fait normal car elle peut gérer 2 sorties (bien qu'il n'y ait qu'une prise RJ45 a l'arrière du PC). Le problème rencontré par l'IPCOP serait récurent sur la plupart des firewalls !!

Pour ma part je n'ai trouvé aucune info pour corroborer ces affirmations...mais bon, je ne suis pas un spécialiste.

par **jpa28** » 10 Sep 2007 16:04

Mille mercis Gesp, plus de problème

Pour info, la syntaxe pour rendre l' entrée ARP permanente c'est :
ARP -s 192.168.132.20 003005a8f737

par **Franck78** » 10 Sep 2007 19:37

jpa28 a écrit:Renseignements pris au près du fournisseur du serveur, le comportement de la carte réseau (Broadcom NetXtrem Gigabit Ethernet BCM5721 C1) serait tout à fait normal car elle peut gérer 2 sorties (bien qu'il n'y ait qu'une prise RJ45 a l'arrière du PC).

Pour ma part je n'ai trouvé aucune info pour corroborer ces affirmations...mais bon, je ne suis pas un spécialiste.

Même dans les options avancées concernant les réglages du driver???

par **jpa28** » 10 Sep 2007 22:01

ipconfig /all ne m'affiche que l'adresse mac 00-30-05-a8-f7-37

Dans les paramètres avancés de la carte réseau je n'ai trouvé aucune info concernant le paramètrage d'une 2ème interface.
Je peux changer administrativement l'adresse mac de la carte réseau. J'ai essayé, ça change l'adresse affichée par ipconfig mais l'adresse 00-30-05-b8-f7-37 revient toujours dans le réponse arp.

par **Gesp** » 10 Sep 2007 22:55

Peux-tu peux indiquer le PID/VID de cette carte avec lspci -n

par **Franck78** » 11 Sep 2007 00:19

Gesp a écrit:Peux-tu peux indiquer le PID/VID de cette carte avec lspci -n

il est sous windows ;-)

par **Gesp** » 11 Sep 2007 10:30

autant pour moi

regedit
HKEY_CURRENT_CONFIG
CurrentControlSet
Enum
PCI

par **jpa28** » 11 Sep 2007 11:41

Problème: ping IPCOP impossible depuis un PC du réseau local

Problème: ping IPCOP impossible depuis un PC du réseau local

Qui est en ligne ?