Debian verliert Route trotz default Gateway

Hallo zusammen,

nachdem ich einige Tunnel auf IPSec umgestellt habe und die Verbindung Nachts, zwischen und 5 und 10 Minuten weg ist, verliert der Debian seine Route in das jeweilige Netz.

Wie man auf dem Screenshot sehen kann, ist die IP nicht pingbar. Trage ich die Route nun manuell ein, ist sie bis zur nächsten Trennung wieder erreichbar und dann hilft nur noch ein kompletter neustart.

Ist jemand dieses Phänomen bekannt und kann hier Hilfe leisten?

Als Router wird Mikrotik mit V.6.37.5 eingesetzt.

Vorab vielen Dank.
nagios_zensiert

Content-Key: 338327

Url: https://administrator.de/contentid/338327

Ausgedruckt am: 24.06.2021 um 23:06 Uhr

10 Kommentare
Mitglied: em-pie
Moin,

Variate 1:
du trägst die router zunächst mal dauerhaft ein:
http://www.prontosystems.org/tux/persistant_route

Variante 2: sind auf deinen Gateways die Routen- und Firewall-Settings (auf beiden Seiten) richtig gesetzt?

Gruß
em-pie
Mitglied: Pjordorf
Hallo,

Zitat von @Zigsen:
Ist jemand dieses Phänomen bekannt und kann hier Hilfe leisten?
Warum werden die Routen auf den Client gemacht und nicht auf den Router selbst. Dann brauchst du nicht dein gefrickel mit Route add (Persistent oder nicht). Ein Router ist zum Routen da, und deiner kann auch Statische Routen nachdem du ihm die beibringst.

Als Router wird Mikrotik mit V.6.37.5 eingesetzt.

Gruß,
Peter
Mitglied: Zigsen
Hallo zusammen,

Zu Variante 1, das könnte ich natürlich machen. Allerdings frage ich mich warum er überhaupt die Route für das Netz verliert, bzw. sie nicht an das GW schickt, da ja die Default Route 0.0.0.0/0 auf 192.168.3.250 zeigt.

Zwecks Variante 2 und @Pjordorf
Auf dem Router sind die Routen natürlich komplett hinterlegt und zugreifen dürfte der Host auch, was man ja merkt wenn man die Route auf dem Client wieder manuell setzt.

Die Pakete kommen auch gar nicht erst auf dem GW an, sonst würde beim ping ja die GW Adresse und nicht die des Debian Hosts selbst stehen?
Mitglied: aqui
Als Router wird Mikrotik mit V.6.37.5 eingesetzt.
Und dieser Router (oder 2) stellen dann das Site to Site VPN zur Verfügung ??
Die Infos zum VPN ist etwas mager, denn man weiss jetzt nicht ob der Debian VPN Client ist irgendwie oder es von den Mikrotiks erledigt wird.
Normal muss man auch keinerlei Routen eintragen dafür, denn IPsec injiziert diese Routen immer automatisch in die Routing Tabelle.
Gibt es also einen üblichen Peer Keepalive wird nach der Zwangstrennung der VPN Peer gleich wieder aufgebaut und die Routen automatisch injiziert.
Irgendwas scheinst du da also falsch konfiguriert zu haben.
Weitere Infos dazu findest du hier:
https://www.administrator.de/wissen/ipsec-vpn-praxis-standort-kopplung-c ...
https://www.administrator.de/wissen/ipsec-vpns-einrichten-cisco-mikrotik ...
https://www.administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-fi ...
Mitglied: fredmy
Hallo,
hatte mal ein ähnliches Problem ... wenn das Gateway (device) (192.168.3.250) "weg" ist, wurde die Route ungültig (bei mir war es ein VPN-Tunnel, wo das tun-device "verschwand" und mit dem Neuaufbau wieder da war, die Route hats nicht überlebt)
Meine Lösung war ein Script, welches etwa im Minutentakt 1 Ping gesendet hat, und bei fehlender Anwort versucht hat die Route(n) neu zu setzen. Das hat dann geklappt, wenn der Tunnel weider da war.
Ursache war hauptsächlich die VPN-Verbindung über eine "sehr wackelige" UMTS-Strecke.

Fred
Mitglied: Zigsen
Korrekt, die Site2Site Verbindung wird in diesem Fall zwischen dem 192.168.3.250 und dem 192.168.58.250 hergestellt.
Auf dem 192.168.3.250 sind auch deutlich mehr Tunnel angelegt, es betrifft nur diejenigen, die eine dynamische IP haben und damit Nacht max. 5 Minuten down sind. Warum aber nur dieser Debian die Routen verliert und kein anderer Host im gleichen Netz...

Die Tunnel werden mit Netwatch überwacht und sobald der ping nicht mehr durchgeht, wird per Script der DDNS frisch aufgelöst und die aktuelle WAN IP ins Peer auf dem 192.168.3.250 eingetragen. D.h. der Tunnel steht und die Route auch, aber diese eine Host scheint das nicht zu registrieren.
Mitglied: fredmy
Hallo,
genau geht es um diese kurze Zeit, die Route ist weg, weil es die Ziel-IP nicht gibt.
(zumindest für 1..2..3 Minuten)
Fred
Mitglied: Zigsen
Leider nicht, die Route ist nach der kurzen Trennung auf dem Mikrotik wieder aktiv, d.h. das komplette Netz ist für andere Hosts auch wieder erreichbar, nur dieser eine Debian macht Probleme.

Bei anderen Tunneln, die auch mal wegen anderer Störungen down sind, tritt dieser Fehler nicht auf. Wäre auch relativ schnell aufgefallen, da auf der Kiste Nagios läuft.
Mitglied: em-pie
Dann fällt mir spontan nur eines ein:
Ist auf der Debian-Büchse ein Default-Gateway hinterlegt?

Was steht in der /etc/network/interfaces?
Mitglied: Zigsen
Sorry, durch meinen Urlaub ist das leider liegen geblieben.

Hier die Ausgabe der /etc/network/interfaces


  1. The primary network interface
allow-hotplug eth0
iface eth0 inet static
address 192.168.x.235
netmask 255.255.255.0
network 192.168.x.0
broadcast 192.168.x.255
gateway 192.168.x.250
his file describes the network interfaces available on your system
  1. and how to activate them. For more information, see interfaces(5).

  1. The loopback network interface
auto lo
iface lo inet loopback

  1. The primary network interface
allow-hotplug eth0
iface eth0 inet static
address 192.168.x.235
netmask 255.255.255.0
network 192.168.x.0
broadcast 192.168.x.255
gateway 192.168.x.250
Heiß diskutierte Beiträge
info
Microsoft hat Windows 11 offiziell vorgestelltFrankVor 8 StundenInformationWindows 1137 Kommentare

Heute, am 24.06.2021 hat Microsoft das neue Windows 11 vorgestellt. Per Online-Event zeigte Microsoft, was die Zukunft von Windows 11 bringt. Durch die geleakte Version ...

question
Betriebsauflösung - VorgehensonderbarerVor 1 TagFrageOff Topic8 Kommentare

Hallo Zusammen, ich hoffe ich bin hier jetzt im richtigen Bereich. Ich habe eine Betriebsauflösung vor mir. Hier wäre mir wichtig wie ihr hier so ...

info
Kostenloses E-Book: OPNsense - Mehr als eine FirewallFrankVor 1 TagInformationFirewall2 Kommentare

In Zusammenarbeit mit unserem Partner IT-Administrator und Thomas Krenn kommt diesen Monat ein kostenloses E-Book zum Thema "OPNsense - Mehr als eine Firewall". Erhaltet detaillierte ...

question
10 gb Netzwerk deutlich zu langsamWern2000Vor 13 StundenFrageWindows Netzwerk17 Kommentare

Hallo, hab hier einen Server umgebaut und ihm ein Supermicro X10dri-t verpasst. Soweit so gut. Allerdings ist das 10 gb/sek Netzwerk deutlich zu langsamm. laut ...

question
Namensfindung für neue IT-AbteilungdeMerlVor 10 StundenFrageOff Topic11 Kommentare

Hallo zusammen, wir werden in nächster Zeit im Unternehmen einige Umstrukturierungen in der IT vornehmen und auch neue Abteilungen schaffen. Ich bin nun auf der ...

question
Datei(en) aus tibx-Datei extrahieren gelöst achkleinVor 1 TagFrageBackup11 Kommentare

Hallo, ich muss ein System wegen Überspannung neu aufsetzen. Leider ist auch die Festplatte betroffen, an die Dateien komme ich nicht mehr ran. Es gibt ...

question
WireShark alternative für die Festplattelord-iconVor 1 TagFrageMicrosoft5 Kommentare

Hi, kennt einer ein Programm, der mit Detailierte Informationen liefern kann, was/wer/wo auf der Festplatte macht. Also Programmseitig. Wer ließt welche Datei was wurde angefragt ...

question
Windows Server 2016 Update Unterbrechen?ElbdracheVor 1 TagFrageWindows Server9 Kommentare

Moin Moin, wir haben hier bei uns im Büro einen Windows Server 2016 stehen der in der Regel von unserem Systemhaus betreut wird. Heute wurde ...