ICMP Redirect und SSH

Markus Wigge markus at cultcom.de
Tue Nov 19 19:44:03 CET 2002 

Tag,


ich habe hier ein etwas größeres Ethernetsegment auf dem bisher immer 
alle Maschinen im gleichen IP-Netz liefen. Für alle ist der Router zum 
Außennetz die default-route. (192.168.2.0/24).

Da die IP-Adressen in diesem Netz aber leider knapp werden habe ich für 
Testinstallationen und sonstige Spielereien ein zweites IP-Netz erkoren 
(192.168.3.0/24).
Dazu habe ich auf dem default-gw der Bürorechner eine neue virtuelle IP 
hinzugefügt und dem Ding befohlen statisch alles zwischen diesen beiden 
Netzen zu routen und keine Filterregeln anzuwenden.

Nun muß ich aber immer wieder kleinere Probleme feststellen wenn ich in 
diesem 2. Netz auf Rechner im 1. Netz zugreifen will.

Das fängt an mit einem Testsystem das einzelne Verzeichnisse vie NFS aus 
dem Büronetz mounten soll:
Beim booten schlägt das mounten fehl und ein händisches "mount /home" 
funktioniert danach tadellos.

Bei SSH wird das ganze noch schlimmer:
Versuche ich eine Büromaschine zu erreichen bekomme ich einen "Read from 
socket failed" oder SSH bleibt einfach nur stehen bis ich ihn abschieße.
Beim 2. Versuch geht es dann schon etwas besser und ich kann schonmal 
ein Passwort eingeben, danach steht der ssh-Client dann sporadisch auch 
wieder und ist zum Abschuß freigegeben.
Der 3. Versuch kommt immerhin bis zum bash-Prompt des Zielrechners, 
danach fliege ich aber sofort wieder raus "Connection reset by peer".
Letztendlich komme ich dann erst beim 4.-5. Versuch überhaupt an die 
Shell um Befehle eingeben zu können.

Nach langem rumstöbern bin ich dann auf die ICMP Redirects gestoßen die 
der Router an die beteiligten Clients sendet und habe versucht diese 
abzuschalten, mit dem Ergebnis das es scheinbar etwas besser funktioniert.

Nun meine Frage: Gibt es bekannte Probleme wenn man mehrere IP-Netze in 
einem physikalischen Ethernet-Segment betreibt? Sind die ICMP-Redirect 
Nachrichten fehlerhaft (Evtl. nur im benutzten Kernel 2.2.19)?

Die Pakete direkt zuzustellen würde mit Sicherheit den Router ein wenig 
entlasten, daher fände ich es schön wenn es mit den Redirects auch 
irgendwie funktionieren würde.

Ich hoffe ich schreibe nicht zu wirr und jemand kann nachvollziehen wo 
es bei mir Spukt ;-)

bye
   Markus

More information about the Linux mailing list