[Ninux-Calabria] G in Ninux e 10.0.0.0/8 impiccione.

Giuseppe De Marco demarcog83 a gmail.com
Dom 16 Feb 2014 14:35:54 CET 

Il giorno 16 febbraio 2014 05:15, Stefano De Carlo
<stefanauss a gmail.com>ha scritto:
>
> Noto ancora l'IP sul bridge.
> O lo avevi configurato da prima o è diventata la tua signature ;)
>

Purtroppo è una signature pelosa.
Ho provato ad illustrare lo schema a G ma mi ha pregato di lasciargli un ip
WAN sulla CPE.
Infondo il nodo è suo, sono stato due giorni a spiegargli VLAN e il resto.


>
> >
> > queste reti annunciate
> >
> > 10.0.0.0/24 <http://10.0.0.0/24>172.17.87.2
> > 10.0.0.0/8 <http://10.0.0.0/8>172.17.87.2
> >
> > 10.0.0.0/8 <http://10.0.0.0/8>catturara le rotte verso 10.87.x, quando
> > un OLSR è più lento a rispondere o chissà per quale istante fatale.
> >
> > Che senso ha inoltre che 10.0.0.0/8 <http://10.0.0.0/8>e 10.0.0.0/24
> > <http://10.0.0.0/24>siano annunciate entrambe da 172.17.87.2 ?
> > non basta 10.0.0.0/24 <http://10.0.0.0/24>?
> >
> > questo 10.0.0.0 diventa causa di loop quando un OLSR faglia un pochino.
> >
>
> Per il senso: 10.0.0.0/8 è tutto l'indirizzamento Ninux, aggregato,
> destinato alle reti LAN. Annunciando questa annunciamo tutti i nodi
> disponibili nelle altre isole, attraverso VPN. 10.0.0.0/24 è la subnet
> HackLab: è inclusa nella /8 chiaramente, ma vince sempre per la
> specificità.
> Vanno annunciate entrambe, la /8 perché serve per comunicare ai nodi
> cosentini la disponibilità della VPN senza dover inondare OLSR di
> milioni di rotte specifiche; la /24 perché è la rete Hacklab, dove
> girano/gireranno servizi Ninux. Anche se la prima include la seconda,
> servono a scopi completamente diversi ed entrambe possono essere
> annunciate solo da 172.17.87.2.
> Si, abbiamo anche 10.87.1.0/24, ma passerà del tempo prima di migrare
> tutto a questa subnet.
>

Ricevuto, ok.



>
> Il problema di G è interessante perché comunque, anche a funzionamento
> corretto, si presenterà ogni volta che un nodo di un'altra Isola è giù,
> ma un nodo cosentino avrà comunque bisogno di arrivare fino al nodo di
> bordo per accorgersene. È il prezzo da pagare se vogliamo rotte
> aggregate. Magari ci sono soluzioni, ne possiamo discutere e valutare.
> Ad ogni modo, 10.0.0.0/8 e 24 sono comunque annunciate tramite OLSR,
> quindi se compaiono è in realtà indizio che le cose stanno funzionando e
> che è un problema specifico del nodo, come in questo caso.
>

Era il router, l' 841, che dopo il riavvio si è allineato. Forse RAM,
disco, o qualche bug ancora a noi sconosciuto.
Ma il problema spero sia archiviato.


>
> > Immagino inoltre che con la CI le rotte possano essere calcolate
> > secondo i vincoli delle connessioni fisiche e che, molto
> > probabilmente, questo genere di episodi possano essere debellati.
> >
> > Ad ogni modo mi viene da pensare, sarà forse questo il motivo di quei
> > momentanei ma misteriosi attimi di oscurità verso Ninux dalle
> > postazioni in HL ?
> >
>
> No, quelli c'erano anche ben prima che annunciassimo 10.0.0.0/8
> Apropò:
> In realtà, ormai i momenti di oscurità sono scomparsi quasi
> completamente. Tutta NinuCS è accessibile dall'HackLab, a parte 2 host
> - Le antenne di Capizzanux (172.17.87.10+11)
> - L'antenna di Verdebinario (172.17.87.12)
>

Particolare !
Io da verde e da capizzanux accedo ovunque. E immagino anche Spax da casa
sua.
Ci troveremo in HL armati di traceroute per sdradicare questo male, anzi,
inizia a stampare un pò di Debug in lista.
Non perdiamo tempo.


>
> L'unica differenza di comportamento è che Verdebinariux risponde ai
> ping, Capizzanux no. Per entrambi la WebUI è inaccessibile.
> Per entrambi, la causa è il firewall. Ho confermato tutto questo
> disabilitandolo per 30 secondi e verificando la possibilità di accedere.
> Non so se il resto di NinuCS è in grado di accedere a questi host, da
> indagare.
>

La risposta è sì, da ovunque, con o senza NAT.


>
> Non ho indagato ulteriormente anche perché è più interessante valutare
> assieme e comunque non ho familiarità con la rationale della tua config.
>

Parliamone, quale tassello ti manca ?


> A naso potrebbe essere qualche eccesso di masquerading e/o di clamping
> tra le zone del firewall.
>

il NAT è disabilitato a Capizzanux, andiamo ai fatti.


>
> Ma il post era su G,
> benvenuto G,
>
> Stefanauss.
>

G comunica al totale sia con Verde che con Capizzanux che col resto.
Ocio.
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://ml.ninux.org/pipermail/calabria/attachments/20140216/06a9a2a0/attachment-0001.html>

Maggiori informazioni sulla lista Calabria