Hallo zusammen,
gibt es hier jemanden in der Mailingliste, der eine Centos 6 Installation als virtuelle Maschine innerhalb von Hyper-V nutzt? Wir haben ein Netzwerk-Problem festgestellt das wir noch nicht lösen können, da wir die Ursache nicht finden. Es könnte genauso ein Problem mit dem Hyper-V switch sein, wie es ein Konfigurationsproblem sein kann.
Ich habe das Problem in diesem Forum-Beitrag detaillierter beschrieben: http://social.technet.microsoft.com/Forums/en-US/linuxintegrationservices/th...
Bei einer identischen Netzwerkkonfiguration mit der alten Centos Version hat alles einwandfrei geklappt. Das eigentliche Problem drückt sich dadurch aus, dass der neue Server unsere Firewall zwar über beide Schnittstellen (intern und DMZ) erreichen kann, die Firewall jedoch den Centos 6 Server nicht über die DMZ-Schnittstelle. Entweder läuft was im Hyper-V Switch falsch, oder der Centos 6 Server reagiert auf eingehende Pakete anders als in vorhergehenden Versionen. Die anderen Server im Netzwerk erreichen den neuen Centos 6 Server ohne jegliche Probleme. Außerdem konnte ich auch ein unterschiedliches Verhalten feststellen, wenn ich den Gateway des neuen Servers ändere. Darüber hinaus ist mir aufgefallen, dass der neue Centos 6 Server in der Routing-Tabelle einen Eintrag für seine link lokale ip4-Adresse hat, den die anderen nicht haben. Hat das vielleicht irgendwelche Auswirkungen?
Vielleicht ist es auch nur ein Konfigurationsfehler, der entstanden ist, weil sich irgendetwas im neuen Kernel geändert hat? Ich bin über jegliche Hilfestellung dankbar.
Viele Grüße Samir
Am Mon, 19 Sep 2011 11:41:28 +0200 schrieb "Samir Rachidi" samir.rachidi@plus-b.net:
Bei einer identischen Netzwerkkonfiguration mit der alten Centos Version hat alles einwandfrei geklappt. Das eigentliche Problem drückt sich dadurch aus, dass der neue Server unsere Firewall zwar über beide Schnittstellen (intern und DMZ) erreichen kann, die Firewall jedoch den Centos 6 Server nicht über die DMZ-Schnittstelle.
Es wurde einiges umgestaltet bei der Netzwerkkonfiguration von V5 zu V6. Insbesondere ist per Default der NetworkManager aktiv, Zero-Conf ist aktiv (besonders in MS-Netzen relevant), Firewall-Setup wurde aus dem system-config-network nach system-config-firewall bzw. system-config-firewall-tui ausgelagert.
Ansonsten kommt es auch öfters vor, dass SE-Scripte, die unter V5 funktionierten, unter V6 nicht mehr ausreichen. Zunächst würde ich aber immer erstmal die klassischen Netzwerk-Stationen abklappern: tcpdump auf den einzelnen Interfaces, routing-Tabellen, nmap, DNS-resolving, usw.
Zu Hyper-V kann ich nichts sagen. Wir arbeiten mit anderen Virtualisierern. Dort konnte ich bislang keine Unterschiede zwischen V5 und V6 feststellen.
Gruß, Tobias.
Danke für die Tipps!
Ich habe alles überprüft. Zero-Conf ausgeschaltet, Network-Manager deaktiviert, die Firewall ist sowieso aus --> Hat alles nichts gebracht
Die Routing Tabellen stimmen überein, selbst die ARP-Tabelle wird gleich aufgebaut (Centos 6- verglichen mit Centos 5-Server) usw. Die Konfigurationen sind identisch.
Ein unterschied ist noch, dass der Befehl dnsdomainname beim neuen Centos6 kein Ergebnis liefert, bei den anderen jedoch schon. Ich denke aber, dass das keinen großen Einfluss auf das "physikalische" Netzwerk hat.
Mittels tcpdump konnte ich noch herausfinden, dass ARP-Anfragen von der Firewall zum Centos6-Server ankommen, aber nicht beantwortet werden, also die Antwort wird schon gar nicht rausgeschickt. Woran könnte das liegen? Hat vielleicht eine Idee? Fakt ist, dass der Fehler sich genau auf dieses Verhalten zurückführen lässt. Wie gesagt, bei den anderen funktioniert alles.
Was ist mit "SE-Scripte" gemeint?
Viele Grüße Samir
-----Ursprüngliche Nachricht----- Von: centos-de-bounces@centos.org [mailto:centos-de-bounces@centos.org] Im Auftrag von Tobias Crefeld Gesendet: Montag, 19. September 2011 13:54 An: centos-de@centos.org Betreff: Re: [CentOS-de] CentOS 6 + Hyper-V
Am Mon, 19 Sep 2011 11:41:28 +0200 schrieb "Samir Rachidi" samir.rachidi@plus-b.net:
Bei einer identischen Netzwerkkonfiguration mit der alten Centos Version hat alles einwandfrei geklappt. Das eigentliche Problem drückt sich dadurch aus, dass der neue Server unsere Firewall zwar über beide Schnittstellen (intern und DMZ) erreichen kann, die Firewall jedoch den Centos 6 Server nicht über die DMZ-Schnittstelle.
Es wurde einiges umgestaltet bei der Netzwerkkonfiguration von V5 zu V6. Insbesondere ist per Default der NetworkManager aktiv, Zero-Conf ist aktiv (besonders in MS-Netzen relevant), Firewall-Setup wurde aus dem system-config-network nach system-config-firewall bzw. system-config-firewall-tui ausgelagert.
Ansonsten kommt es auch öfters vor, dass SE-Scripte, die unter V5 funktionierten, unter V6 nicht mehr ausreichen. Zunächst würde ich aber immer erstmal die klassischen Netzwerk-Stationen abklappern: tcpdump auf den einzelnen Interfaces, routing-Tabellen, nmap, DNS-resolving, usw.
Zu Hyper-V kann ich nichts sagen. Wir arbeiten mit anderen Virtualisierern. Dort konnte ich bislang keine Unterschiede zwischen V5 und V6 feststellen.
Gruß, Tobias. -- _______________________________________________ CentOS-de mailing list CentOS-de@centos.org http://lists.centos.org/mailman/listinfo/centos-de
Am Mon, 19 Sep 2011 17:27:31 +0200 schrieb "Samir Rachidi" samir.rachidi@plus-b.net:
Mittels tcpdump konnte ich noch herausfinden, dass ARP-Anfragen von der Firewall zum Centos6-Server ankommen, aber nicht beantwortet werden, also die Antwort wird schon gar nicht rausgeschickt. Woran könnte das liegen? Hat vielleicht eine Idee? Fakt ist, dass der Fehler sich genau auf dieses Verhalten zurückführen lässt. Wie gesagt, bei den anderen funktioniert alles.
Vielleicht eine MAC-Kollision?
Was ist mit "SE-Scripte" gemeint?
Bezieht sich auf Security-Enhanced-Linux. Es kommt eigentlich jedes anständig gepackte RHEL-kompatible rpm mit passenden Änderungen für das SE-Subsystem daher. Andere (z.B. Oracle) schlagen stattdessen vor, dass man SE-Linux abschaltet... no comment.
Gruß, Tobias.
MAC-Kollisionen kann ich ausschließen.
Wenn ich einen arping von der Firewall auf den neuen Server sende, kann ich per tcpdump sehen, dass die Anfrage ankommt, es wird aber keine Antwort geschickt. Das passiert aber nur von der Firewall aus und nur mit einer speziellen IP. Wenn ich ein arping mit der Quell-IP 0.0.0.0 sende (von der firewall aus), antwortet sogar der neue Server.
Hat jemand eine Idee, welche Gründe es noch geben kann, kein ARP-Reply zu senden? Für mich scheint es gerade so, dass der Centos 6 Server keine ARP-Replys an das Gateway sendet.
Viele Grüße Samir
-----Ursprüngliche Nachricht----- Von: centos-de-bounces@centos.org [mailto:centos-de-bounces@centos.org] Im Auftrag von Tobias Crefeld Gesendet: Montag, 19. September 2011 18:11 An: German mailing list for CentOS Betreff: Re: [CentOS-de] CentOS 6 + Hyper-V
Am Mon, 19 Sep 2011 17:27:31 +0200 schrieb "Samir Rachidi" samir.rachidi@plus-b.net:
Mittels tcpdump konnte ich noch herausfinden, dass ARP-Anfragen von der Firewall zum Centos6-Server ankommen, aber nicht beantwortet werden, also die Antwort wird schon gar nicht rausgeschickt. Woran könnte das liegen? Hat vielleicht eine Idee? Fakt ist, dass der Fehler sich genau auf dieses Verhalten zurückführen lässt. Wie gesagt, bei den anderen funktioniert alles.
Vielleicht eine MAC-Kollision?
Was ist mit "SE-Scripte" gemeint?
Bezieht sich auf Security-Enhanced-Linux. Es kommt eigentlich jedes anständig gepackte RHEL-kompatible rpm mit passenden Änderungen für das SE-Subsystem daher. Andere (z.B. Oracle) schlagen stattdessen vor, dass man SE-Linux abschaltet... no comment.
Gruß, Tobias. -- _______________________________________________ CentOS-de mailing list CentOS-de@centos.org http://lists.centos.org/mailman/listinfo/centos-de
Es ist ja so das die Firewall Konfiguration bei CentOS 6 etwas anders aussieht. Wenn man bei den ICMP Einstellungen ein "x" setzt dann wird das verboten und nicht erlaubt wie an anderer stelle im Firwallsetup wo dann mit "x" explizit etwas erlaubt wird.
[root@pcx]# setup -> Firewall-Konfiguration -> weiter hangeln bis zu ICMP "x" entfernen
Vielleicht liegt es ja an so etwas banalen.
Grüße Matthias
Am 20.09.2011 16:38, schrieb Samir Rachidi:
MAC-Kollisionen kann ich ausschließen.
Wenn ich einen arping von der Firewall auf den neuen Server sende, kann ich per tcpdump sehen, dass die Anfrage ankommt, es wird aber keine Antwort geschickt. Das passiert aber nur von der Firewall aus und nur mit einer speziellen IP. Wenn ich ein arping mit der Quell-IP 0.0.0.0 sende (von der firewall aus), antwortet sogar der neue Server.
Hat jemand eine Idee, welche Gründe es noch geben kann, kein ARP-Reply zu senden? Für mich scheint es gerade so, dass der Centos 6 Server keine ARP-Replys an das Gateway sendet.
Viele Grüße Samir
-----Ursprüngliche Nachricht----- Von: centos-de-bounces@centos.org [mailto:centos-de-bounces@centos.org] Im Auftrag von Tobias Crefeld Gesendet: Montag, 19. September 2011 18:11 An: German mailing list for CentOS Betreff: Re: [CentOS-de] CentOS 6 + Hyper-V
Am Mon, 19 Sep 2011 17:27:31 +0200 schrieb "Samir Rachidi"samir.rachidi@plus-b.net:
Mittels tcpdump konnte ich noch herausfinden, dass ARP-Anfragen von der Firewall zum Centos6-Server ankommen, aber nicht beantwortet werden, also die Antwort wird schon gar nicht rausgeschickt. Woran könnte das liegen? Hat vielleicht eine Idee? Fakt ist, dass der Fehler sich genau auf dieses Verhalten zurückführen lässt. Wie gesagt, bei den anderen funktioniert alles.
Vielleicht eine MAC-Kollision?
Was ist mit "SE-Scripte" gemeint?
Bezieht sich auf Security-Enhanced-Linux. Es kommt eigentlich jedes anständig gepackte RHEL-kompatible rpm mit passenden Änderungen für das SE-Subsystem daher. Andere (z.B. Oracle) schlagen stattdessen vor, dass man SE-Linux abschaltet... no comment.
Gruß, Tobias. -- _______________________________________________ CentOS-de mailing list CentOS-de@centos.org http://lists.centos.org/mailman/listinfo/centos-de
Am Tue, 20 Sep 2011 16:53:05 +0200 schrieb Matthias Schaefer matthias.schaefer@informatik.uni-erlangen.de:
Wenn man bei den ICMP Einstellungen ein "x" setzt dann wird das verboten und nicht erlaubt wie an anderer stelle im Firwallsetup wo dann mit "x" explizit etwas erlaubt wird.
Ja, allerdings hat ICMP nichts mit ARP zu tun. Im übrigen scheint mir die Default-Einstellung der "Firewall" hinsichtlich ICMP ganz brauchbar.
Gruß, Tobias.
Am Tue, 20 Sep 2011 16:38:45 +0200 schrieb "Samir Rachidi" samir.rachidi@plus-b.net:
Wenn ich einen arping von der Firewall auf den neuen Server sende, kann ich per tcpdump sehen, dass die Anfrage ankommt, es wird aber keine Antwort geschickt. Das passiert aber nur von der Firewall aus und nur mit einer speziellen IP. Wenn ich ein arping mit der Quell-IP 0.0.0.0 sende (von der firewall aus), antwortet sogar der neue Server.
Ist natürlich schwierig zu raten, aber das passiert z.B., wenn die Netmask nicht zusammenpasst.
Oder wenn der Server bei der Initialisierung des Interface vorm Binden festgestellt hat, dass bereits dieselbe IP-Adresse netzseitig erreichbar ist, also woanders verwendet wird. Was wiederum daher kommen kann, dass dieser virtuelle Switch nach außen verlängert ist, also z.B. mit einem externen Switch zusammenhängt. Dann taucht die Adresse allerdings bei "ip a" nicht auf.
Ist das Interface des Centos-Guest "up"? siehe "ip l"
Was zeigt "ip n show $IPADRESSE", wenn Du $IPADRESSE vorher angepingt hast?
Am Tue, 20 Sep 2011 17:56:53 +0200 schrieb Tobias Crefeld tc@cataneo.eu:
Ist natürlich schwierig zu raten, aber das passiert z.B., wenn die Netmask nicht zusammenpasst.
Oder wenn der Server bei der Initialisierung des Interface vorm Binden festgestellt hat, dass bereits dieselbe IP-Adresse netzseitig erreichbar ist, also woanders verwendet wird. Was wiederum daher kommen kann, dass dieser virtuelle Switch nach außen verlängert ist, also z.B. mit einem externen Switch zusammenhängt. Dann taucht die Adresse allerdings bei "ip a" nicht auf.
Ist das Interface des Centos-Guest "up"? siehe "ip l"
Was zeigt "ip n show $IPADRESSE", wenn Du $IPADRESSE vorher angepingt hast?
Einen habe ich noch: Was passiert, wenn Du den ARP-Eintrag der Firewall im CentOS-Guest manuell, also statisch setzt (so nicht vorhanden) ? Falls es dann geht, könnte die Nicht-Funktion von einer eingeschalteten ARP-suppression herrühren.
Hallo zusammen,
noch mal vielen Dank für die ganzen Hilfestellungen. Auch wenn ich dadurch das Problem noch nicht lösen konnte, so habe ich jede Menge neue Sachen gelernt ;-)
Wir haben jetzt die Netzwerkkonfiguration noch ein wenig geändert und nun erreicht die Firewall den neuen Centos 6 Server per Ping auf der externen und internen Schnittstelle. Nun kann der Server aber auf der externen IP-Adresse nicht von außen angepingt werden. Die Firewall lässt die Pakete durch und die kommen auch beim Centos 6 an, aber werden nicht beantwortet. Per tcpdump kann ich sogar sehen, dass ICMP-Requests von der Firewall durchgeleitet werden und beim Centos 6 Server ankommen, es gibt aber keine ausgehenden Replys.
Wir vermuten, dass der Centos 6 Server Ping-Anfragen, die über die externe Schnittstelle ankommen und von außerhalb unseres Netzes stammen, aus irgendeinem Grund nicht über das Default-Gateway zurück schickt.
Er verschluckt die einfach nur, obwohl seine eigene IP als Ziel eingetragen ist und das Gateway innerhalb des Netzwerks in beide Richtungen erreichbar ist.
Kann sich jemand dieses Phänomen erklären? (keine Firewall, SELinux deaktiviert, kein Policy-Routing selber eingerichtet)
Ich bin mir relativ sicher, dass irgendeine Einstellung innerhalb von Centos 6 anders sein muss als z.B. bei Centos 5.6, da ich nämlich genau das gleiche Setup noch mal mit einem neuen Centos 5.6 getestet habe und alles hat funktioniert. Wir vermuten eine Änderung im Netzwerk-Protokoll im neuen Centos.
Viele Grüße Samir
-----Ursprüngliche Nachricht----- Von: centos-de-bounces@centos.org [mailto:centos-de-bounces@centos.org] Im Auftrag von Tobias Crefeld Gesendet: Dienstag, 20. September 2011 18:03 An: centos-de@centos.org Betreff: Re: [CentOS-de] CentOS 6 + Hyper-V
Am Tue, 20 Sep 2011 17:56:53 +0200 schrieb Tobias Crefeld tc@cataneo.eu:
Ist natürlich schwierig zu raten, aber das passiert z.B., wenn die Netmask nicht zusammenpasst.
Oder wenn der Server bei der Initialisierung des Interface vorm Binden festgestellt hat, dass bereits dieselbe IP-Adresse netzseitig erreichbar ist, also woanders verwendet wird. Was wiederum daher kommen kann, dass dieser virtuelle Switch nach außen verlängert ist, also z.B. mit einem externen Switch zusammenhängt. Dann taucht die Adresse allerdings bei "ip a" nicht auf.
Ist das Interface des Centos-Guest "up"? siehe "ip l"
Was zeigt "ip n show $IPADRESSE", wenn Du $IPADRESSE vorher angepingt hast?
Einen habe ich noch: Was passiert, wenn Du den ARP-Eintrag der Firewall im CentOS-Guest manuell, also statisch setzt (so nicht vorhanden) ? Falls es dann geht, könnte die Nicht-Funktion von einer eingeschalteten ARP-suppression herrühren.
-- Mit freundlichen Grüßen, Tobias Crefeld.
Tel: +49 - 89 - 2190 964-15, xmpp: crefeld@xabber.de
Cataneo GmbH Lilienstrasse 8, D-81669 Muenchen Tel: +49 (0) 89-2190 964-0, Fax: -48 Web: www.cataneo.de
Geschäftsführer: Michael Wölfle, Martin Gerull HR: München HRB 144834
Phonetischer Auffahrunfall: http://bit.ly/bVtnsY -- _______________________________________________ CentOS-de mailing list CentOS-de@centos.org http://lists.centos.org/mailman/listinfo/centos-de
...und es ist genau anders herum wenn wir das Gateway des Rechners auf die externe IP der Firewall setzen, dann lässt sich nämlich der Server extern erreichen, aber nicht mehr intern (innerhalb des VPN-Netzwerkes).
Sorry fürs zuspammen ;-)
Viele Grüße Samir
-----Ursprüngliche Nachricht----- Von: centos-de-bounces@centos.org [mailto:centos-de-bounces@centos.org] Im Auftrag von Samir Rachidi Gesendet: Donnerstag, 22. September 2011 14:54 An: German mailing list for CentOS Betreff: Re: [CentOS-de] CentOS 6 + Hyper-V
Hallo zusammen,
noch mal vielen Dank für die ganzen Hilfestellungen. Auch wenn ich dadurch das Problem noch nicht lösen konnte, so habe ich jede Menge neue Sachen gelernt ;-)
Wir haben jetzt die Netzwerkkonfiguration noch ein wenig geändert und nun erreicht die Firewall den neuen Centos 6 Server per Ping auf der externen und internen Schnittstelle. Nun kann der Server aber auf der externen IP-Adresse nicht von außen angepingt werden. Die Firewall lässt die Pakete durch und die kommen auch beim Centos 6 an, aber werden nicht beantwortet. Per tcpdump kann ich sogar sehen, dass ICMP-Requests von der Firewall durchgeleitet werden und beim Centos 6 Server ankommen, es gibt aber keine ausgehenden Replys.
Wir vermuten, dass der Centos 6 Server Ping-Anfragen, die über die externe Schnittstelle ankommen und von außerhalb unseres Netzes stammen, aus irgendeinem Grund nicht über das Default-Gateway zurück schickt.
Er verschluckt die einfach nur, obwohl seine eigene IP als Ziel eingetragen ist und das Gateway innerhalb des Netzwerks in beide Richtungen erreichbar ist.
Kann sich jemand dieses Phänomen erklären? (keine Firewall, SELinux deaktiviert, kein Policy-Routing selber eingerichtet)
Ich bin mir relativ sicher, dass irgendeine Einstellung innerhalb von Centos 6 anders sein muss als z.B. bei Centos 5.6, da ich nämlich genau das gleiche Setup noch mal mit einem neuen Centos 5.6 getestet habe und alles hat funktioniert. Wir vermuten eine Änderung im Netzwerk-Protokoll im neuen Centos.
Viele Grüße Samir
-----Ursprüngliche Nachricht----- Von: centos-de-bounces@centos.org [mailto:centos-de-bounces@centos.org] Im Auftrag von Tobias Crefeld Gesendet: Dienstag, 20. September 2011 18:03 An: centos-de@centos.org Betreff: Re: [CentOS-de] CentOS 6 + Hyper-V
Am Tue, 20 Sep 2011 17:56:53 +0200 schrieb Tobias Crefeld tc@cataneo.eu:
Ist natürlich schwierig zu raten, aber das passiert z.B., wenn die Netmask nicht zusammenpasst.
Oder wenn der Server bei der Initialisierung des Interface vorm Binden festgestellt hat, dass bereits dieselbe IP-Adresse netzseitig erreichbar ist, also woanders verwendet wird. Was wiederum daher kommen kann, dass dieser virtuelle Switch nach außen verlängert ist, also z.B. mit einem externen Switch zusammenhängt. Dann taucht die Adresse allerdings bei "ip a" nicht auf.
Ist das Interface des Centos-Guest "up"? siehe "ip l"
Was zeigt "ip n show $IPADRESSE", wenn Du $IPADRESSE vorher angepingt hast?
Einen habe ich noch: Was passiert, wenn Du den ARP-Eintrag der Firewall im CentOS-Guest manuell, also statisch setzt (so nicht vorhanden) ? Falls es dann geht, könnte die Nicht-Funktion von einer eingeschalteten ARP-suppression herrühren.
-- Mit freundlichen Grüßen, Tobias Crefeld.
Tel: +49 - 89 - 2190 964-15, xmpp: crefeld@xabber.de
Cataneo GmbH Lilienstrasse 8, D-81669 Muenchen Tel: +49 (0) 89-2190 964-0, Fax: -48 Web: www.cataneo.de
Geschäftsführer: Michael Wölfle, Martin Gerull HR: München HRB 144834
Phonetischer Auffahrunfall: http://bit.ly/bVtnsY -- _______________________________________________ CentOS-de mailing list CentOS-de@centos.org http://lists.centos.org/mailman/listinfo/centos-de -- _______________________________________________ CentOS-de mailing list CentOS-de@centos.org http://lists.centos.org/mailman/listinfo/centos-de
-
Matthias Schaefer -
Samir Rachidi -
Tobias Crefeld