assimilator
Goto Top

OpenSuSE 10.3 keine Netzwerkverbindung mit mehreren NIC

OpenSuSE 10.3 mit 3 Netzwerkkarten in drei verschiedene Netze geht nicht. Der Rechner soll kein Router sein.

Hallo,

ich habe das Problem, das ich einen Rechner nicht in mehreren Netzwerken erreichen kann...:

Konfiguration:
- 1 aktueller Rechner (Mainboard: ASUS P5E-VM DO) mit 3 Netzwerkkarten (1x Onboard (ASUSTek 82566DM-2), 2x identische Karte via PCI (RTL-8169) ); als OS OpenSuSe 10.3
- eth0 --> Onboard NIC konfiguriert als 192.168.0.35 / 255.255.255.0, GW: 192.168.0.1 DNS-Server: 192.168.0.1
- eth1 --> 1. PCI-NIC konfiguriert als 192.168.1.210 / 255.255.255.0
- eth2 --> 2. PCI-NIC konfiguriert als 192.168.2.210 / 255.255.255.0

Ziel:
Der Rechner soll über alle drei Netzwerke erreichbar sein und bestimmte Dienste bereitstellen.
Der Rechner soll nicht als Router eingesetzt werden. IP-Forwarding, etc. von einem Netz zum anderen soll nicht erfolgen.

Sachstand:
- Die Netzwerkkommunikation über eth0 ins Netzwerk 192.168.0.xxx funktioniert problemlos.
- Die Netzwerkkommunikation über die beiden anderen Schnittstellen funktioniert gar nicht. Es ist nicht möglich, den Rechner in einem kleinen, gekapselten Versuchsaufbau (Rechner -- Hub -- Notebook (gleiche IP-Range)) anzupingen. Das Anpingen des Rechner funktioniert ebenfalls nicht.
- Sämtliche Netzwerkkarten wurden vom System problemlos erkannt und ließen sich über sämtliche Wege (YAST, manuell) problemlos wie o.g. konfigurieren.
- "ifconfig" und YAST sagen auch, dass alles so wie o.g. konfiguriert ist. Konflikte sind nicht erkennbar.
- Ich habe auch schon drei andere NIC (alles andere Modelle) getestet - mit dem gleichen Ergebnis.

Sonstiges
Der Rechner soll als HOST für eine Windows Server 2003 VM dienen. Die beiden Netze an eth1 und eth2 sollen auf die Netzwerkkarten der VM gebridged werden. Hier habe ich aber auch schon sämtliche Konfigurationen durch; leider ohne Erfolg.
Da der Recher aber auch nicht erreichbar ist, wenn der VMware-Server nicht läuft, scheint es an SuSE selbst zu liegen.

Mittlerweile arbeiten wir mit zwei Personen daran, den Rechner in den Netzwerken erreichbar zu machen und sind der Ansicht, dass es sich nicht um eine Fehlkonfiguration handelt (doch man weiß ja nie so ganz face-wink ).
Weiß Jemand etwas über ein evtl. SuSE Problem, auf das man das Fehlverhalten zurückführen kann - noch viel wichtiger: Kennt jemand eine Lösung?!?

Content-ID: 82792

Url: https://administrator.de/contentid/82792

Ausgedruckt am: 23.11.2024 um 01:11 Uhr

theton
theton 11.03.2008 um 11:29:09 Uhr
Goto Top
Der Output von 'ifconfig' und 'route' wäre brauchbar um genaueres sagen zu können. Ich vermute, dass einfach die Routen falsch gelegt wurden.
Assimilator
Assimilator 11.03.2008 um 12:09:49 Uhr
Goto Top
Ergebnis von "route":

Ziel Router Genmask ... Iface
192.168.2.0 * 255.255.255.0 eth2
192.168.1.0 * 255.255.255.0 eth1
192.168.0.0 * 255.255.255.0 eth0
link-local * 255.255.0.0 eth0
loopback * 255.0.0.0 lo
default 192.168.0.1 0.0.0.0 eth0

Ergebnis von "ifconfig":

eth0 inet Adresse:192.168.0.35 Bcast:192.168.0.255 Maske:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU: 1500 Metric:1

eth1 inet Adresse:192.168.1.210 Bcast:192.168.1.255 Maske:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU: 1500 Metric:1
Interrupt:10

eth2 inet Adresse:192.168.2.210 Bcast:192.168.2.255 Maske:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU: 1500 Metric:1
Interrupt:11

lo inet Adresse:127.0.0.1 Maske:255.0.0.0
UP LOOPBACK RUNNING MTU: 16436 Metric:1
theton
theton 11.03.2008 um 12:25:51 Uhr
Goto Top
Meine Vermutung war also richtig. Du hast nur eine Default-Route, die innerhalb des Netzwerks 192.168.0.0/24 greift. Die anderen beiden Netzwerk-Interfaces müssen aber erstmal in dieses Netzwerk geroutet werden und können nicht automatisch eine IP ausserhalb ihrer eigenen IP-Range als Gateway nutzen.
Assimilator
Assimilator 11.03.2008 um 12:45:54 Uhr
Goto Top
Ich möchte drei, voneinander getrennte" Netzwerke geschlossen in sich betreiben. 192.168.0.xxx, 192.168.1.xxx, 192.168.2.xxx.
Ich möchte das Standardgateway nur innerhalb 192.168.0.0/24 nutzen.
Aus den beiden anderen Netzen heraus soll es nicht erreichbar sein. Dort sollen nur Rechner innerhalb von 192.168.1.0/24 respektive 192.168.2.0/24 erreicht werden können.
theton
theton 11.03.2008 um 12:53:45 Uhr
Goto Top
Dann musst du eine Route zwischen diesen beiden Netzwerken legen, sofern diese beiden ineinander greifen sollen. Ansonsten klemme mal an die beiden anderen Interfaces jeweils einen Rechner mit einer zur Range passenden IP und versuche von diesen den Server zu pingen. Wenn der Ping nicht durchgeht, dann schau mit welcher Meldung (Timeout, Refused usw.) das begründet wird. Deaktiviere ausserdem mal die SuSE-Firewall um evtl. geblockte ICMP-Pakete als Fehlerquelle ausschliessen zu können.
Assimilator
Assimilator 11.03.2008 um 13:43:25 Uhr
Goto Top
Ich habe mit jeder der beiden Schnittstellen einen Rechner verbunden, der eine entsprechende IP hatte (also 192.168.1.104 bzw. 192.168.2.104). Sowohl auf diesen beiden Rechnern als auch auf dem Rechner mit den 3 NIC waren die Firewalls deaktiviert (extra geprüft).
Ich habe mehrere PING-Versuche durchgeführt. Bis auf einen Versuch kam jedesmal ein Timeout, egal von welchen Rechner aus ich gepingt habe. Das eine Mal (in unveränderter Konfiguration!!!) ging ab und zu ein PING durch (nicht jeder); jedoch dauerte ein PING um die 8-10 Sekunden!
Daraus schließe ich, dass die Konfig generell für meine Zwecke erstmal stimmt. Nur irgendwie funktioniert das net richtig??!!??
theton
theton 11.03.2008 um 13:55:50 Uhr
Goto Top
Klingt für mich auch so, als würde da irgendwo ein Hardwarefehler dazwischen funken.
aqui
aqui 11.03.2008 um 14:11:08 Uhr
Goto Top
Routen sind natürlich völlig unsinnig, wenn die Netze separat betrieben werden sollen ! Ein Ping aus den lokalen Segmenten auf das jeweilige NIC Bein des Servers sollte also immer klappen. Dafür sieht deine Konfig auch absolut sauber aus.

Wenn du sicher ein Firewall Problem (iptables) auf dem Server ausschliessen kannst, dann kann es vermutlich wirklich nur ein HW Problem sein... !
Was sagt denn ein Ping der eigenen IP Adressen auf dem Server ??? Bekommst du da was zurück ?
Das muss klappen, denn sonst funktioniert auch kein Ping auf dem Kabel !

Du solltest mal einen www.WIRESHARK.org oder den Windows-Netmonitor auf einem der PC in den nicht funktionierenden Segmenten installieren und die Ping Packete mitsniffern.
Dort kannst du dann sehen ob der Server überhaupt Packete aufs Netz schickt oder eben nicht.
Assimilator
Assimilator 11.03.2008 um 14:37:21 Uhr
Goto Top
Danke für die Sniffer-Idee. Das probiere ich mal aus. Mal sehen, was der Rechner da so raus schickt...
Zur Info:
Sämtliche Firewalls sind nachweislich deaktiviert.
Den Rechner von sich aus anpingen geht in allen Netzwerken problemlos.
Ich glaube aber das der Rechner Pakete in alle Netze versendet beim PING, da am Hub die Lampen flakern.
aqui
aqui 11.03.2008 um 14:41:18 Uhr
Goto Top
OK, dann ist einer der Sniffer ggf. dein Schlüssel zum Lösen des Problems !
Assimilator
Assimilator 11.03.2008 um 17:38:30 Uhr
Goto Top
Da hast Du wohl recht! Zur Prüfung habe ich einen Hub, an dem nur der Server und ein Notebook dranhängt. Auf dem Notebook läuft der WireShark mit und protokolliert alles was an der Netzwerkkarte ankommt. Ich habe den gesamten Aufbau gerade einaml komplett "durchsniffert" und folgendes festgestellt:
- Beide Computer senden Pakete (Ping-Requests) auf die Leitung --> Damit scheint es kein HW-Problem zu sein.
- Die Adressauflösung scheint aber nicht zu funktionieren. Am Ende der Versuche befinden sich nur noch folgende Pakete auf der Leitung:
...Who has 192.168.1.104? Tell 192.168.1.210
...Who has 192.168.1.210? Tell 192.168.1.104
Das läuft dann über das ARP-Protokoll.
Kann es sein, dass die Zuordnung IP- zu MAC-Adresse irgendwie nicht klappt?
Assimilator
Assimilator 11.03.2008 um 23:01:08 Uhr
Goto Top
Nach unendlichen, weiteren Versuchen kann ich genau sagen, woran es liegt:
Die Netzwerkkarten in dem Server senden zwar Pakete raus, lassen aber kein Einziges (egal welcher Art) rein! Und das habe ich getestet mit vier verschiedenen NIC.
Das Notebook antwortet brav auf die Abfrage welche MAC-Adresse sich hinter seiner IP verbirgt, diese Information kommt aber nie im Server an. Daher sind die Einträge im ARP-Cache auch "incomplete" und nutzlos. Händische Zuweisung der MAC-Adessen funktioniert zwar, doch dann kommen die "Ping-Reply"-Pakete auch nicht in den Server, so dass es jedesmal aussieht, als wäre es ein Timeout.

Hatte schon einmal Jemand dieses Phänomen? Ich bin mit meinem Latein jetzt ziemlich am Ende face-sad
aqui
aqui 12.03.2008 um 09:49:16 Uhr
Goto Top
Ooops, das ist in der Tat mehr als ungewöhnlich. Sieht dann nach einem verkorksten Treiber aus, denn ein Hardware Defekt kann man ja wohl ausschliessen wenn du 4 NICs probiert hast...
Was für Karten bzw. Chipsätze sind das denn ??
Kann es ggf. ein Problem mit dem Interrupt Handling der Karten sein. Bei 3 Karten im Rechner ist das nicht ohne...
Wenn du einen VLAN fähigen Switch hast kannst du das Splitting in 3 LAN Segmente auch über einen tagged Trunk und nur einer einzigen Karte abwickeln wie hier beschrieben:


Die Einrichtung unter Linux mit .q Trunks beschreibt dieser Artikel u.a.:

http://www.heise.de/netze/artikel/77832/4

Hast du mal einen anderen Kartentyp bzw. Chipsatz probiert. Z.B. mal eine Karte mit Realtek Chipsatz. Nicht gut (Performance) aber zum testen absolut OK.
Alternativ mal eine Karte mit Intel Chipsatz ???
27688
27688 12.03.2008 um 13:11:20 Uhr
Goto Top
Hallo,

ich habe das Problem, das ich einen Rechner
nicht in mehreren Netzwerken erreichen
kann...:

klingt für mich stark nach FIREWALL!
Suse kommt von Hause aus mit einem vorkonfigurierten Firewallscript daher. bin keine suse spezialist. is aber gut möglich das suse "by default" alle anderen Interfaces bis auf ETH0 erst mal abdichtet.

daher empfehle ich mal auf die Suche nach deiner suse-firewall zu gehen und diese vorerst mal ganz abzuschalten. wenns dann geht weist du wo du weiter suchen und woran du noch arbeiten musst.

und btw...
Dem geschwafel vonwegen falscher default route würde ich mal nicht zu viel bedeutung zumessen!! die is nämlich ok! die anderen subnetze brauchen kein default-gw eintrag da du ja eh nicht routen willst und auch sonst in diesen netzen "vermutlich" keine router mehr existieren über die du kommunizieren willst.

also schau erst mal susefirewall z.b. über yast.

MfG
Axel


PS: ggf mal auf der console eingeben: iptables -nvL
sind alle Queues leer ?
aqui
aqui 14.03.2008, aktualisiert am 18.10.2012 um 18:35:30 Uhr
Goto Top