Gelöst Kernel Meldungen Martian RED 0 bei UM FB 6360 DS-Lite

sammydk
Posts: 757
Joined: July 8th, 2012, 2:50 pm
Location: NRW

Re: HILFE Kernel Meldungen Martian RED 0

Post by sammydk » September 7th, 2013, 4:52 pm

Hello All,
neuen HW läuft bis jetzt unter CORE 72 ganz gut.
Bis jetzt keine Marsianer Pakete, was aber alles nichts heißen mag.

Unterschied zur problemhaften IPFire, alles neu aufgespielt, kein Backup und der Proxy Cache ist abgeschaltet, ob das was damit zu tun hat, kann ich nicht sagen.

Vielleicht kann jemand mal was zum Proxycache sagen, ob das Fehlerbild was damit zu tun haben kann?
Aber warten wir erst mal die nächsten 24 Std. ab, ob was passiert.
Am Netzwerk wurde physikalisch nichts verändert nur den HP Switch auf Green habe ich mal neu gestartet.

Bei meiner Analyse der messages Log, ist mir auch aufgefallen,
1. Die Martians kommen von der MAC des Red interface der IPF.
2. Die IPfire spricht manchmal auch mit einem MARS Paket eine IP an, die es in dem RED Netz zwischen FB und IPF nicht gibt.

Vergeben habe ich alles in RED statisch, sowohl auf der IPF, der FB und dem SIP Telefon.
Adressen sind FB .1, IPF .254 und das SIP .200.
Die Martian Pakete, die die IPF schickt, werden auch an eine .20 verschickt, die es nicht in diesem Netz gibt.
Alles sehr suspekt.
Last edited by sammydk on September 7th, 2013, 5:04 pm, edited 1 time in total.
Gruß Dietmar
@ HOME 150 MBit Down/ 10 MBit Up by UM IPv4 ;-)
Image
Testsystem
Image

sammydk
Posts: 757
Joined: July 8th, 2012, 2:50 pm
Location: NRW

Re: HILFE Kernel Meldungen Martian RED 0

Post by sammydk » September 8th, 2013, 9:32 am

Neue Erkenntnisse:
Ich bin dem Fehler auf der Spur.
Gestern Abend wollt ich mir noch mal die message Log anschauen ob noch alles läuft.
Windows Rechner hochgefahren, message Log angeschaut, und da sind wieder meine Marsianer.
Laut LOG ist der Auslöser der DHCP Request des Windows Rechners direkt nach dem Hochfahren.
Kurzehand alle anderen System vom Switch genommen, um sicher zu sein und der Fehler bleibt.
Dann habe ich den Win7 Rechner von DHCP auf feste IP umgestellt, und so versorgt wie es der DHCP Server der IPFIRE machen sollte und siehe da, Marsianer weg.
Leider konnte ich noch keinen Trace ziehen, was dort für Pakete im Grünen Netz sind, die die IPFIE veranlassen, Marsianer auf RED zu generieren.
Jedenfalls ist es kein HW Fehler. Auch auf dem Windowsrechner ist keine Änderung erfolgt.(was nichts heißen soll).
Da ich noch die message Log von den vorherigen  Marsiener habe, werde ich das noch mal überprüfen ob zu Beginn des Auftretens nur immer diese Windows Rechner der Auslöser war oder auch andere.

Eine Änderung habe ich am DCHP Server vor Wochen durchgeführt, seit dem habe ich sporadisch Probleme, habe das aber immer dem Problemen meiner FB zugeordnet.
Ich habe deb DCHP bei mir auf der IPF laufen, damit er aber keine IP's aus einem freien Bereich vergibt, habe ich früher den Bereich eingegrenzt und mit einer Adresse versehen, die statisch schon vergeben ist, die des Green Interface der IPFire.
Plötzlich hatte ich mein Handy neu eingerichtet und was macht der DHCP Server, er vergibt die schon laufende IP der IPF vom Green Interfaces, also der gesamte Traffic ab auf mein Handy. :o
Da ich das umgehend bemerkt habe, habe ich einen anderen Weg gesucht keine IP's dyn. zu vergeben, indem ich den Bereich in der IPF einfach leer lasse. Ob das nun der Grund dafür ist, kann ich noch nicht sagen, aber warum vergibt der DHCP der IPF Adressen, die im Netz schon laufen, ich dachte ein DHCP überprüft das Vorhandensein einer IP. Dieser scheinbar nicht oder er schaut nur ob er selber diese IP schon vergeben hat, was fatal ist.
Ich werde jetzt mal den Windows Rechner wieder auf DHCP stellen und in der IPF einen DHCP Bereich freigeben, dann schauen wir mal weiter.
Gruß Dietmar
@ HOME 150 MBit Down/ 10 MBit Up by UM IPv4 ;-)
Image
Testsystem
Image

sammydk
Posts: 757
Joined: July 8th, 2012, 2:50 pm
Location: NRW

Re: HILFE Kernel Meldungen Martian RED 0

Post by sammydk » September 8th, 2013, 9:54 am

So noch mal alle Message Logs durchgeschaut,
Es lässt sich festhalten, dass das Auftreten des MARSIANER sporadisch immer direkt nach einem DCHP Request auftritt, egal von Welchem System, selbst von meinem AP, der mit DCHP läuft, und unserm TV (Philips), löst die MARSIANER nach einem DHCP Request oder die lease Time ist abgelaufen aus.
Mir scheint, als wenn das doch mit den leeren Einträgen im DHCP zu tun haben kann.
Ich habe jetzt mal einen Bereich eingerichtet und werde es weiter beobachten.
Gruß Dietmar
@ HOME 150 MBit Down/ 10 MBit Up by UM IPv4 ;-)
Image
Testsystem
Image

BeBiMa
Posts: 2694
Joined: July 30th, 2011, 12:55 pm
Location: Mannheim

Re: HILFE Kernel Meldungen Martian RED 0

Post by BeBiMa » September 8th, 2013, 9:59 am

Vielleicht ist es hilfreich, per tcpdump den gesamten Verkehr auf Grün in der Einschaltphase des PCs mit zu loggen.
Es könnte ja sein, dass der Windows-Rechner beim Hochfahren Pakete an das rote Interface bzw. das rote Netzwerk verschickt.
Wie sieht Deine dhcpd.conf konkret aus? Auch die dhcpd.conf.local ist relevant.

Am leeren Bereich liegt es wohl eher nicht. Dies ist, soweit ich gesehen habe, richtig realisiert.
Image
Unitymedia Cable Internet ( 32MBit )

sammydk
Posts: 757
Joined: July 8th, 2012, 2:50 pm
Location: NRW

Re: HILFE Kernel Meldungen Martian RED 0

Post by sammydk » September 8th, 2013, 10:29 am

Hallo BeBiMa,
ja TCPDUMP wäre jetzt auch mein nächster Schritt, aber ich kann das ganze ja nicht reproduzieren, da es ja sogar von dem DHCP Request des Fernsehers ausgelöst wird
und das nicht immer.
Ich habe jetzt erst mal alle anderen System auf meinem alten Provider umgestellt, somit kann ich jetzt mit der IPFIRE machen was ich will.
Angeschlossen ist jetzt nur noch der Win7 Rechner über einen Switch auf Green mit der IPFire. Win7 steht jetzt wieder auf DHCP, sobald wieder Marsianer auftauchen, werde ich TCPdump benutzen. Gut das ich noch zwei Provider habe.
Da ich eher der GUI User bin (Wireshark), hast Du eine Vorstellung wie ich TCPdump für Green starten muss, evtl. auch Green und Red zusammen, damit man auch mal sieht, was da in Red so abgeht?
Wäre schön wenn Du mir hier Parameter liefern könntest, sonst werde ich Google benutzen.
Last edited by sammydk on September 8th, 2013, 10:32 am, edited 1 time in total.
Gruß Dietmar
@ HOME 150 MBit Down/ 10 MBit Up by UM IPv4 ;-)
Image
Testsystem
Image

BeBiMa
Posts: 2694
Joined: July 30th, 2011, 12:55 pm
Location: Mannheim

Re: HILFE Kernel Meldungen Martian RED 0

Post by BeBiMa » September 8th, 2013, 10:53 am

Hallo Dietmar,

Aufzeichnung durch

Code: Select all

tcpdump -i green0 -s 0 -w /tmp/test.cap
mit
  • -i green0 ... Auswahl des Interface
  • -s 0 ... gesamte Paketlänge ( ob mit -w notwendig weiss ich nicht, aber hinreichend ;) )
  • -w /tmp/test.cap ... Log wird in File /tmp/test.cap geschrieben
Abbruch durch Ctrl-C.

Zur Analyse per Winscp auf die Fire zugreifen. Im Ordner /tmp das File test.cap öffnen ( wenn Wireshark als Standard für .cap-Files konfiguriert ist, wird das Programm gestartet.).


BTW: ich habe gerade mal die DHCP-Konfig ohne dyn. Leases ausprobiert. Funktioniert wunderbar.
Ein fixed lease deaktiviert --> Rechner bekommt keine IP.
Fixed lease reaktiviert --> Rechner wird die definierte IP zugeteilt.
Während dem Bootvorgang konnte ich keine Marsianer beobachten.

Gruss
Bernhard
Image
Unitymedia Cable Internet ( 32MBit )

sammydk
Posts: 757
Joined: July 8th, 2012, 2:50 pm
Location: NRW

Re: HILFE Kernel Meldungen Martian RED 0

Post by sammydk » September 8th, 2013, 10:56 am

Hallo BeBiMa,
also die /var/ipfire/dhcpd.conf ist identisch mit allen Einträgen aus der GUI der IPF.
/var/ipfire/dhcpd.conf.local ist leer.
Ich möchte eigentlich die dhcpd.conf nicht im Forum posten, wenn Du willst schick ich sie per PN. aber es ist nichts in der Liste, was auch nicht in der GUI steht.

Sorry jetzt hat sich der Post überschnitten, ja ich kann das ganze ja auch nicht reproduzieren, es Funktioniert ja auch 18 Stunden lang gut und dann plötzlich ist die I-Netverbindung weg, und nur noch Marsianer.

Ich werde beim Auftreten mal TCPdump mitschneiden lassen. ich kann in diesem Zustand ja auch eine zweite Console öffnen und Zeitgleich auch mal RED mitschneiden.
Last edited by sammydk on September 8th, 2013, 11:00 am, edited 1 time in total.
Gruß Dietmar
@ HOME 150 MBit Down/ 10 MBit Up by UM IPv4 ;-)
Image
Testsystem
Image

BeBiMa
Posts: 2694
Joined: July 30th, 2011, 12:55 pm
Location: Mannheim

Re: HILFE Kernel Meldungen Martian RED 0

Post by BeBiMa » September 8th, 2013, 11:01 am

Ich denke mal, Du hast keine besonderen Tricks angewandt. ;)
Aber Du kannst mir gerne die .conf - Datei per Email zukommen lassen. ( Per PN scheinen keine Dateianhänge zulässig zu sein :( )
Image
Unitymedia Cable Internet ( 32MBit )

sammydk
Posts: 757
Joined: July 8th, 2012, 2:50 pm
Location: NRW

Re: HILFE Kernel Meldungen Martian RED 0

Post by sammydk » September 8th, 2013, 11:08 am

So Mail ist unterwegs.
Ich muss jetzt mal mit der Regierung an die frische Luft.
Bis jetzt ist ja auch noch nichts weiter aufgetaucht.
TCPDUMP steht in den Startlöchern, danke vorab.
Gruß Dietmar
@ HOME 150 MBit Down/ 10 MBit Up by UM IPv4 ;-)
Image
Testsystem
Image

sammydk
Posts: 757
Joined: July 8th, 2012, 2:50 pm
Location: NRW

Re: HILFE Kernel Meldungen Martian RED 0

Post by sammydk » September 8th, 2013, 4:49 pm

Jetzt hat man alles Eingekreist und die Tools stehen in den Startlöchern, dann tritt der Fehler nicht auf. Vorführeffekt.
Ich melde mich umgehend wenn ich Trace habe.
Gruß Dietmar
@ HOME 150 MBit Down/ 10 MBit Up by UM IPv4 ;-)
Image
Testsystem
Image

sammydk
Posts: 757
Joined: July 8th, 2012, 2:50 pm
Location: NRW

Re: HILFE Kernel Meldungen Martian RED 0

Post by sammydk » September 8th, 2013, 5:18 pm

BeBiMa wrote:BTW: ich habe gerade mal die DHCP-Konfig ohne dyn. Leases ausprobiert. Funktioniert wunderbar.
Ein fixed lease deaktiviert --> Rechner bekommt keine IP.
Fixed lease reaktiviert --> Rechner wird die definierte IP zugeteilt.
Während dem Bootvorgang konnte ich keine Marsianer beobachten.

Gruss
Bernhard


Hallo Bernhard,
so einfach ist das nicht, wie ich schon sagte, konnte ich das nicht reproduzieren, es trat plötzlich auf, und vor jedem Marssturm ging direkt ein DHCP Request voraus.

wenn ich jetzt per Hand ein ipconfig -release und danch ein -renew mache, funktioniert das auch bis jetzt.Ich muss abwarten bis die Marsianer wieder auftauchen dann TCPDUMP und dann hoffe ich sehen wir mehr.
Z.Zt. läuft der DHCP zuzüglich mit dyn. IP Bereich, und ich habe den Windowsrechner alleine mit der IPFIRE am laufen. Das sind die einzige Änderung seit gestern.
Ich möchte im Moment nicht mehr machen, um dass Ganze eingrenzen zu können.

Schönen Sonntag noch
Last edited by sammydk on September 8th, 2013, 5:20 pm, edited 1 time in total.
Gruß Dietmar
@ HOME 150 MBit Down/ 10 MBit Up by UM IPv4 ;-)
Image
Testsystem
Image

sammydk
Posts: 757
Joined: July 8th, 2012, 2:50 pm
Location: NRW

Re: HILFE Kernel Meldungen Martian RED 0

Post by sammydk » September 9th, 2013, 5:50 am

Hallo Bernhard,
man man, jetzt wo man drauf wartet, nichts.
Ich werde mal alle Teilnehmer wieder auf die IPFIRE schalten.
Die ganze Nacht ist nichts passiert.
Kann man eigentlich das Loging in die message Datei verringern.
Ich bekomme von der FB Multicast Pakete die auf RED gedropt werden, kann man das unterdrücken oder ist nur der gesamte Input Drop über die Firewall Optionen
"Verworfene Input-Pakete loggen  on / off abzuschalten?

Sep  8 00:14:21 ipfire kernel: DROP_INPUT IN=red0 OUT= MAC=01:00:5e:00:00:01:9c:c7:a6:25:d1:64:08:00 SRC=192.168.178.1 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0xC0 TTL=1 ID=0 DF PROTO=2
Last edited by sammydk on September 9th, 2013, 6:18 am, edited 1 time in total.
Gruß Dietmar
@ HOME 150 MBit Down/ 10 MBit Up by UM IPv4 ;-)
Image
Testsystem
Image

BeBiMa
Posts: 2694
Joined: July 30th, 2011, 12:55 pm
Location: Mannheim

Re: HILFE Kernel Meldungen Martian RED 0

Post by BeBiMa » September 9th, 2013, 8:25 am

Wenn Du die Beobachtung startest, wäre es u.U. auch hilfreich das rote Interface zu überwachen. Die Marsianer sind laut Log offensichtlich ARP-Pakete auf der roten Schnittstelle.

Ausführlicheres später. War gestern etwas beschäftigt und muss erst mal wieder meine Beobachtungen "sortieren". ;)
Image
Unitymedia Cable Internet ( 32MBit )

sammydk
Posts: 757
Joined: July 8th, 2012, 2:50 pm
Location: NRW

Re: HILFE Kernel Meldungen Martian RED 0

Post by sammydk » September 9th, 2013, 8:36 am

Hallo Bernhard,
macht nichts, ich habe gestern nach dem Spaziergang auch noch unerwartet Besuch gehabt, so das ich hier auch nicht weiter vorangekommen bin.

Zwischenzeitlich habe ich mir den WINDOWS Client noch mal was genauer angeschaut, hier habe ich eine Network Monitor (Minianwendung) laufen, der eine IP aus dem RED Netz abklopft, habe ich mit TCPDUMP gesehen und wurde so auf die IP aufmerksam.
Ich habe diesen Zustand aber noch nicht korrigiert, da ich gerne den TCPDUMP von den Marsianern haben möchte um hier sicher zu gehen.
Fakt ist auf jeden Fall, das der Client hier eine IP abklopft, die es nicht mehr gibt. Ob das dann ein PingPong zwischen FB und IPFIRE gibt, kann ich noch nicht sagen. Leider ist bis jetzt aber nichts mehr aufgetreten, vielleicht nehme ich ja auch noch mal den dyn. DHCP Bereich mal wieder raus.
Z.Zt. ist schweigen im Wald, alles läuft.
Last edited by sammydk on September 9th, 2013, 9:44 am, edited 1 time in total.
Gruß Dietmar
@ HOME 150 MBit Down/ 10 MBit Up by UM IPv4 ;-)
Image
Testsystem
Image

BeBiMa
Posts: 2694
Joined: July 30th, 2011, 12:55 pm
Location: Mannheim

Re: HILFE Kernel Meldungen Martian RED 0

Post by BeBiMa » September 9th, 2013, 11:28 am

Hallo Dietmar,

dies könnte durchaus die Ursache sein. Ist auf Deiner FB eine Konfiguration vorhanden, die evtl. Anfragen aus dem Netz FB <--> IPFire zurück an IPFire leitet, z.B. "exposed host"?

Idee zur Erklärung:
  • Client in Green macht Abfrage auf nicht vorhandenen Client in Red
  • IPFire leitet Paket von Green nach Red (ok.)
  • ZielIP ist aus dem roten Netz --> direktes Senden; dafür ist die MAC nötig --> ARP Request (ok.)
  • ARP-Request trifft an der FB ein, Ziel != FB-IP --> Paket wird zurück geroutet
  • Paket trifft wieder bei der IPFire ein --> Marsianer!
Leider konnte ich dies nicht verifizieren. Die Endpunkte meines WAN sind nicht unter meiner Kontrolle und damit nicht "verbiegbar". KabelBW setzt immer noch, Gottseidank, sauberes DHCP ein mit echten public IPs. ;)
Image
Unitymedia Cable Internet ( 32MBit )

Post Reply