VLAN - Probleme

  • Ich habe wie der Kollege an dieser Stelle ein ähnliches Phänomen mit Ubuntu - Server (24 LTS).


    Hinter mehreren Servern steckt das 2,5 Gbit VLAN. Und ein einfaches Szenario funktioniert nicht: über Port 80 des Apache2 per CURL von Server zu Server über das VLAN eine Antwort zu erhalten. Egal wie, bei "Accept */*" bleibt jede Kiste untereinander stehen.


    Das Testszenario ist ganz simpel: über Netplan jeweils 192.168.10.10, 192.168.10.20, 192.168.10.30 je Server vergeben, Apache installieren, sonst nichts.


    Per curl http://192.168.10.10:80/ -v von Maschine 20 oder 30 ausführen - und es passiert nichts weiter nach dem "Accept". Das gleiche über die Public-IP ausgeführt, kommt sofort die Testseite des Apachen. Und es ist egal, wie herum man die Eingabe macht, der Effekt über das VLAN ist immer der Gleiche.


    Es gibt den Effekt auch mit MySQL-Datenbanken, die einfach keine Antwort über das VLAN senden, der Effekt ist mit dem Apachen aber am sipelsten zu reproduzieren.


    Einer ne Idee, weil Neuinstallation hier null bringt?

  • Funktioniert ein Ping? Ansonsten bitte mal diese Ausgaben posten:

    Code
    ip -4 a
    ip -4 r
    ip -4 n

    (Die Zeilen fürs öffentliche Interface kannst Du ruhig zensieren.)

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Like 1
  • Funktioniert ein Ping? Ansonsten bitte mal diese Ausgaben posten:

    Code
    ip -4 a
    ip -4 r
    ip -4 n

    (Die Zeilen fürs öffentliche Interface kannst Du ruhig zensieren.)

    Bitteschön - funktioniert alles bestens, was mich ja so verwirrt.

    ssh root@192.168.18.40 z.B. funktioniert auch nicht.


    VHost/s ist/sind angepasst, ändert auch nichts.


    Um das Phänomen ganz kurz zu beschreiben: alles was mit Daten zu tun hat wird gesendet und kommt im VLAN auch beim Empfänger an, allerdings kommen keine Daten wieder zurück zum Sender.

  • erhöhe beim Ping mal die Paketgröße, auch mal mit dem df Bit.

    Das kann man beliebig über alle Server hinweg machen und ändert nichts:


    Die MTU bei jedem Server auf der VLAN-Schnittstelle eth1 auf 9000 stellen hatte bislang auch nichts gändert.

  • Kannste mal deine netplan und nftables (falls verwendet) posten

    NFtables wird nicht verwendet.



    Der Netplan ist bei allen Servern identisch (d.h. natürlich unterscheiden sich die IP-Adressen, Mac-Adressen und die Adressen der Public-IPs).

  • iptables?

    Nein, die UFW ist auch aus. Wie geschrieben, die Server sind plan, also nur SSH und Apache und dann eben das VLAN eingebunden. Ich vermute einen defekten virtuellen Switch aber habe keine Idee, wie ich das irgendwie überprüfen könnte.

  • Nach den komischen MTU Versuchen vermute ich eher ein Konfigurationsproblem. Hast du die maximale MTU jetzt mal ausgetestet?

    Nein, die UFW ist auch aus. Wie geschrieben, die Server sind plan,

    Das ist natürlich eine Katastrophe und sollte schnellstmöglich geändert werden.

  • Das ist natürlich eine Katastrophe und sollte schnellstmöglich geändert werden.

    ping -s 1422 -M dont [vlanip] war der letzte Ping, der jeweils durchging. Ich habe die MTU der VLAN-Schnittstelle auf allen Servern auf 1450 gesenkt, damit scheint es tatsächlich zu funktionieren.

  • ja, das hatte ich im anderen Thread ja auch empfohlen, die MTU zu senken.


    Und denk an die Firewall!

    Ich habe in über 20 Jahren noch nie die MTU ändern müssen. Der Plan ist ja, die Server zu "verstecken". Also, jetzt, wo ich weiß, wo der Fehler ist - was ja mein Ziel war, kann ich auch meinen eigentlichen Plan umsetzen. Danke an euch.

  • Ich habe in über 20 Jahren noch nie die MTU ändern müssen. Der Plan ist ja, die Server zu "verstecken".

    Das VLAN sollte eigentlich eine MTU von 1500 Bytes unterstützen. Jumbo Frames (9000 Bytes) funktionieren hier nicht.

    PathMTU regelt eigentlich den Rest, aber nur, wenn die Interfaces sauber konfiguriert sind.

  • Gleiches Problem bei uns. Ping geht, alles andere (NFS, telnet, ssh) nicht. Alle 6 am letzten Donnerstag bestellten Server sind betroffen. MTUs stehen auf 1500. Server wie die alten auch mit Ansible aufgesetzt.



    Keine Reaktion vom Service.


    Andreas

  • * Firewalls sind aus

    * max ICMP 1450 sowohl ins Internet als auch ins vLAN


    Aber:

    Code
    time while ping -s $size -c1 -M do 172.16.1.1 >&/dev/null; do    ((size+=4)); done
    real    0m10,002s
    user    0m0,000s
    sys     0m0,003s
    
    
    time while ping -s $size -c1 -M do google.com >&/dev/null; do    ((size+=4)); done
    real    0m1,061s
    user    0m0,000s
    sys     0m0,003s