Hallo

Ich hab grad ein ziemliches Routing-Problem. Wir haben einen dedicated Server bei Hetzner gemietet. Darauf ist u.a. syscp installiert, welches sich von debian.syscp.de bequem per apt installieren lässt. Allerdings ist debian.syscp.de unser Nachbar. Dies bedeutet laut Hetzner-Support-Wiki:


Wichtig: Durch die Verwendung von VLAN's sind auch die Rechner im gleichen Subnetz nur über den Router erreichbar, daher muss selbst für "Nachbarrechner" eine statische Route über das Default Gateway angelegt werden.

Nun ja, das sollte ja nicht unbedingt ein Ding der Unmöglichkeit sein. Die bisherige Routing-Table war:

# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
85.10.192.64 0.0.0.0 255.255.255.224 U 0 0 0 eth0
0.0.0.0 85.10.192.65 0.0.0.0 UG 0 0 0 eth0

Also hab ich das um folgenden Beitrag ergänzt:
route add 85.10.192.82 gw 85.10.192.65 dev eth0
(die IP von debian.syscp.de ist 85.10.192.82) was dann zu

# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
85.10.192.82 85.10.192.65 255.255.255.255 UGH 0 0 0 eth0
85.10.192.64 0.0.0.0 255.255.255.224 U 0 0 0 eth0
0.0.0.0 85.10.192.65 0.0.0.0 UG 0 0 0 eth0
führt.

Trotzdem ist der Server nicht ansprechbar, anscheinend werden die Pakete am Router verworfen:

# traceroute 85.10.192.82
traceroute to 85.10.192.82 (85.10.192.82), 30 hops max, 38 byte packets
1 85-10-192-65.clients.your-server.de (85.10.192.65) 0.353 ms 0.275 ms 0.182 ms
2 * * *
3 * * *

tjaaaa....

Bin ich einfach zu doof für Netzwerke oder muss ich den Hetzner-Support anschreiben und mich beschweren? ;) Falls ersteres zutreffen sollte: Was für eine Route müsste ich hinzufügen?

Wichtig: Durch die Verwendung von VLAN's sind auch die Rechner im gleichen Subnetz nur über den Router erreichbar, daher muss selbst für "Nachbarrechner" eine statische Route über das Default Gateway angelegt werden.
Vorab sorry für die Ausdrucksweise, aber so eine schwachsinnige Begründung für das Einrichten von statischen Routen habe ich noch nicht gesehen ...

Wie würdest du es denn machen mkahle?

Wurde die passende Route auch am Zielrechner eingetragen?

Wie würdest du es denn machen mkahle?
Ein richtig konfiguriertes VLAN ist genau dafür da, daß dies nicht erforderlich ist.

Wurde die passende Route auch am Zielrechner eingetragen?

hmmm stimmt... Kaum denkbar, dass die das gemacht haben. Na ja, ich kann sowohl die syscp-Maintainer anschreiben und sie darum bitten als mich auch beim Hetzner-Support mal beklagen :)

okay der Beitrag ist veraltet, aber da ich gerade mal so darauf gestossen bin moechte ich noch die Sonhaftigkeit der VLANs bei uns (Hetzner Online AG) erklaeren.

Die VLANs auf den Switchen sind fuer die eigene Sicherheit der Kunden gedacht. Beispielsweise befinden sich auf einen 24Port Switch 23 VLANs damit jeder Server NUR den Gateway erreichen kann. Anderenfalls koennen Ihre "Nachbarn" "mithoeren" (sniffen) was Sie denn so treiben.

Um die VLANs zu umgehen muessen auf beiden Servern eine statische Route eingetragen werden.

Wenn ein Kunde ein ganzes Rack fuer sich allein hat wird natuerlich von den VLANs abgesehen ;o)

In dem Fall mit SysCP sieht es dann aber leider so aus, dass SysCP nicht fuer die restlichen 20 Kunden eine statische Route anlegen wird. Allein die Wahrscheinlichkeit mit SysCP am selben Switch haengt ist ja schon gering.

Wenn mal wieder einer von euch ein Problem damit haben sollte mit SysCP, oder in Zukunft vielleicht EasyCP an einem Switch zu haengen und ihr wollt trotzdem das Binary, dann einfach von Daheim runterladen und dann das *.deb auf den Server schieben und mit dpkg -i installieren.

Gruss, PickNic

Die VLANs auf den Switchen sind fuer die eigene Sicherheit der Kunden gedacht. Beispielsweise befinden sich auf einen 24Port Switch 23 VLANs damit jeder Server NUR den Gateway erreichen kann. Anderenfalls koennen Ihre "Nachbarn" "mithoeren" (sniffen) was Sie denn so treiben.

Falsch. Ist ja ein Switch, kein Hub. Die VLANs haben andere Gründe, damit damit recht leicht auf dem Switch Server totlegen kann, bzw. das Routing an zentraler Stelle anpassen kann.

Falsch. Ist ja ein Switch, kein Hub. Die VLANs haben andere Gründe, damit damit recht leicht auf dem Switch Server totlegen kann, bzw. das Routing an zentraler Stelle anpassen kann.

Nein, wirklich falsch ist das nicht. Durch die VLANs ist ausgeschlossen, dass eine "Nachbar" MITM spielt, also mitsnifft.

Um einen Kunden tod zu legen kann man genau so gut den Port deaktivieren...


MfG,
ho

Dafür müsste der Angreifer die MAC-Tables flooden. Klar ist das möglich, aber die eingesetzten Switches sind dafür nicht anfällig, bzw. entsprechende Maßnahmen wurden ergriffen. So ist es zumindest bei Strato und 1&1.

hm, also bei strato kann ein entfernter bekannter von mir mitlesen. die haben wohl probleme
mit vrrpd.

Achso, und koennte man nicht die syscp Leute mit den anderen in ein und dasselbe VLAN legen?

Nicht wenn er ein wenig ARP spooft... Dann muss er nicht flooden...


MfG

Nicht wenn er ein wenig ARP spooft... Dann muss er nicht flooden...

Stimmt, hatte ich völlig vergessen. Viele Wege führen nach Rom. :rolleyes:



hm, also bei strato kann ein entfernter bekannter von mir mitlesen. die haben wohl probleme
mit vrrpd.

Mal an den Support eskaliert?

Stimmt, hatte ich völlig vergessen. Viele Wege führen nach Rom. :rolleyes:



Mal an den Support eskaliert?

Also entweder hat der Support keine Zeit/Ahnung oder die wissen bereits das von __seinem__
Server immer diese ganzen lahmen IP-Address-Bereich Nachseh-Versuche kommen. Solche
Ki^Wunden mag wohl keiner :ugly:

Aber was ist mit den VLANS? Kann man nicht ein logisches Teil abspalten in denen dann die
syscp Freunde sich quasi alle wiederfinden?

Über welches Protokoll läuft das? Wenn es Broad- oder Multicasts sind, ja. Dafür müsste der RZ-Betreiber aber seine VLANs ändern und ihr müsstet evtl. mit VLAN Tagging arbeitet.

vielleicht haben sie mal gehoert das VLAN Tagging boese ist ;)
so von wegen doppelter Verpackung und so.

Oder sie waren froh das ihre VLAN's ueberhaupt laufen

Aso. :) Paket taggen und im Datenteil des Frames noch mal ein getaggtes Paket. *gg* Sorry, aber die meisten Switches sind heute nicht mehr anfällig für sowas. Sicherheitslücken gibt es immer, aber es ist nun mal Aufgabe des Betreibers das entsprechend abzusichern. Und die meisten Leute, die sich mit dem Thema Security in solchen Umgebungen beschäftigen, kennen noch viel gemeinere Dinge. Hatte das Glück mich mal mit Leuten von größeren RZ Betreibern unterhalten zur dürfen (Security unter ITIL Gesichtspunkten) - schon krank von was die so ausgehen.

na das behalt mal besser fuer dich oder erzaehl es beim Bier auf ner LUUG oder so ;)

( Ha, meine Infos ueber Tagging sind wohl schon bissl angestaubt :D)