Aanpassen firewall voor dubbeldekker ileiden gateway (Lvrouted routeert niet over wlan0 link (voorbeeld HybridStBavo2 - HybridStBavo1)

[huub]

StBavo2 routeert via Watertoren2 en Kaag2 naar StBavo1, ipv rechtstreeks (!)

My traceroute [v0.82]

HybridStBavo2.wleiden.net. (0.0.0.0) Mon Mar 3 09:18:03 2014
Resolver: Received error response 2. (server failure)er of fields quit

Packets Pings

Host Loss% Snt Last Avg Best Wrst StDev

1. 2hybridstbavo2.hybridwatertoren2 0.0% 14 1.3 2.4 1.3 4.0 0.8
2. 2hybridwatertoren2.hybridkaag2.w 0.0% 14 3.8 3.7 2.3 5.3 1.0
3. hybridstbavo1.wleiden.net 0.0% 14 6.3 6.1 4.8 8.6 1.0

[huub]

De wifi-link tussen stbavo1 en stbavo2 is (nu) OK. Ik heb het ap op stbavo1 gezet (in overeenstemming met de naam in ssid), stbavo2 is station.
HybridStBavo2# ifconfig wlan0
wlan0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500

ether 90:a4:de:8b:e3:1b
inet 172.16.3.94 netmask 0xfffffffc broadcast 172.16.3.95
nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
media: IEEE 802.11 Wireless Ethernet OFDM/36Mbps mode 11g
status: associated
ssid il-intern.stbavo1.wleiden.net channel 11 (2462 MHz 11g) bssid 90:a4:de:8b:e3:0f
regdomain ETSI country NL ecm authmode OPEN privacy OFF txpower 30
bmiss 7 scanvalid 60 bgscan bgscanintvl 300 bgscanidle 250 roam:rssi 7
roam:rate 5 protmode CTS wme burst

StBavo2 routeert nu rechtstreeks naar StBavo1:
HybridStBavo2# traceroute stbavo1
traceroute to hybridstbavo1.wleiden.net (172.17.119.1), 64 hops max, 40 byte packets

1 hybridstbavo1.wleiden.net (172.17.119.1) 0.580 ms 0.967 ms 0.472 ms

omgekeerd:
HybridStBavo1# ifconfig wlan0
wlan0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500

ether 90:a4:de:8b:e3:0f
inet 172.16.3.93 netmask 0xfffffffc broadcast 172.16.3.95
nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
media: IEEE 802.11 Wireless Ethernet autoselect mode 11g <hostap>
status: running
ssid il-intern.stbavo1.wleiden.net channel 11 (2462 MHz 11g) bssid 90:a4:de:8b:e3:0f
regdomain ETSI country NL ecm authmode OPEN privacy OFF txpower 30
scanvalid 60 protmode CTS wme burst dtimperiod 1 -dfs

StBavo1 routeert naar StBavo2 via Kaag2 en Watertoren2:

HybridStBavo1# traceroute stbavo2
traceroute to hybridstbavo2.wleiden.net (172.17.121.1), 64 hops max, 40 byte packets

1 2hybridstbavo1.hybridkaag2.wleiden.net (172.16.7.252) 1.801 ms 1.892 ms 2.058 ms
2 2hybridkaag2.hybridwatertoren2.wleiden.net (172.16.3.244) 3.037 ms 5.185 ms 2.792 ms
3 hybridstbavo2.wleiden.net (172.17.121.1) 4.818 ms 4.567 ms 4.517 ms

StBavo1 heeft wel packet en boompje van StBavo2 gekregen:
HybridStBavo1# ls /tmp
.ICE-unix .snap lvrouted.packet-172.16.7.252 network.status
.X11-unix lvrouted.mytree lvrouted.tree-172.16.3.94 ssh-EFmYFIPaO8
.XIM-unix lvrouted.packet-172.16.3.94 lvrouted.tree-172.16.7.244
.font-unix lvrouted.packet-172.16.7.244 lvrouted.tree-172.16.7.252

en
HybridStBavo1# less /tmp/lvrouted.tree-172.16.3.94
172.16.3.94 (eth)

172.16.3.93

172.16.7.244 (eth)

172.16.18.1
172.16.18.4
172.16.4.20

.... etc .....

Maar dit boompje wordt niet overgenomen door StBavo1:

HybridStBavo1# cat /tmp/lvrouted.mytree
172.16.3.94
172.16.7.244 (eth)

172.16.17.252
172.17.23.1
172.16.17.249

172.16.3.108

.... etc ....

[lodewijk]

vreemd, ik kijk er naar

[huub]

Inmiddels is Leeuwenhorst ook een dubbeldekker node geworden, met wifi link tussen Leeuwenhorst1 en Leeuwenhorst2. Deze nodes hebben geen lokale link naar internet maar zijn wel vergelijkbaar met StBavo1/2 configuratie. Na uitzetten van de firewall (captive portal) op Leeuwenhorst1 werkt de routering naar behoren. Leeuwenhorst1 heeft geen publiek ap (maar het statement in wleiden.yaml resulteert niet in een aangepaste pf configuratie). Dit moet dus handmatig op de node doorgevoerd worden.

[huub]

Ook bij Meelfabriek1,2 werkt routering goed na het aanpassen van de firewall (uitzetten captive portal regels). Alleen bij StBavo1 blijft het probleem. Dit is een ileiden-gateway setup (dus andere firewall dan bij Leeuwenhorst en Meelfabriek).
Geen routeringsprobleem dus.

[rick]

Een gokje; Het lijkt erop dat hij het pad kiest omdat hij denkt dat er allemaal '(eth)' devices tussen zitten welke hij hoger classificeerd als de locale WiFi link (welke voorheen altijd 11b links waren).

[huub]

Dit gokje verklaart niet

• waarom het wel werkt bij Leeuwenhorst en Meelfabriek na het aanpassen (uitzetten) van de firewall
• waarom route van StBavo2 naar StBavo1 wel rechtstreeks gaat en omgekeerd niet:

HybridStBavo1# traceroute stbavo2
traceroute to hybridstbavo2.wleiden.net (172.17.121.1), 64 hops max, 40 byte packets

1 2hybridstbavo1.hybridkaag2.wleiden.net (172.16.7.252) 1.418 ms 1.983 ms 1.301 ms
2 2hybridkaag2.hybridwatertoren2.wleiden.net (172.16.9.169) 4.676 ms 3.944 ms 3.027 ms
3 hybridstbavo2.wleiden.net (172.17.121.1) 5.993 ms 4.081 ms 4.558 ms

en omgekeerd:

HybridStBavo2# traceroute stbavo1
traceroute to hybridstbavo1.wleiden.net (172.17.119.1), 64 hops max, 40 byte packets

1 hybridstbavo1.wleiden.net (172.17.119.1) 0.594 ms 0.497 ms 0.418 ms

[rick]

@Huub: Ik had gisteren de firewall uitgezet op beiden en lvrouted herstart en toen was de route nog steeds een lange omweg. Had jij toen wel een goed resultaat?

[ronald]

Laat ik ook eens een gokje wagen: kan het er iets mee te maken hebben dat bij StBavo1 het master IP adres op lo0 staat (met /32 netmask), terwijl bij StBavo2 het master IP adres is toegekend aan vr2 (/24)? Een goede verklaring heb ik ook niet. Ik zou dan eerder verwachten dat het van bavo1 naar bavo2 wel zou werken en van bavo2 naar bavo1 niet.

Overigens is de huidige configuratie van de ap0/wlan0 interfaces nu niet meer in overeenstemming met genesis. Volgens genesis staat namelijk zowel op bavo1 als op bavo2 deze interface in STA mode (!) en is de SSID il-intern.stbavo1.wleiden.net