Tareas #6181

Serios problemas de red entre CSIC y la RAU (o el mundo)

Added by Sebastián Sasías 9 months ago. Updated 9 months ago.

Status:ResueltaStart date:04/24/2019
Priority:InmediataDue date:
Assignee:Cielito - adminsys% Done:

80%

Category:-Spent time:-
Target version:-

Description

Desde el viernes 12/04 en la mañana se presenta extraños problemas de conexión en principio desde la CAP, CCI y el CUT en donde no pueden acceder a gran parte de los servicios alojados en CSIC.

Selección_053.png (16.5 KB) Sebastián Sasías, 04/24/2019 02:22 PM

4136

Related issues

Related to Correo electrónico - Tareas #6185: Usurpación de recursos en dirac Resuelta 04/26/2019

History

#1 Updated by Sebastián Sasías 9 months ago

Desde la RAU insisten que el problema debería ser en CSIC. El último gran cambio en nuestras reglas de firewall lo hice la tarde anterior en el mikrotik juntando por un lado las reglas 8 y 10 y por otro lado las reglas 9 y 11 mostradas en imágen adjunta (en la nota 4 ya que en esta se me pasó por alto). Consistió en unir las reglas "established" y "related" en una misma ya que estaban separadas.

El viernes a las 9 a.m. a raíz de los problemas estas reglas fueron deshechas pero los problemas persistieron. Lo siguiente fue restablecer las reglas de firewall a la última copia buena conocida y la situación siguió igual. Lo último con respecto al mikrotik fue cambiarlo por el viejo, que estuvo funcionando hasta una semana antes de que aparecieran los problemas y fue cambiado por aparentes problemas de hardware.

Otra cosa que se hizo fue saltar el firewall perimetral, si bien el equipo no se había tocado ni se toca habitualmente había que empezar a descartar. Se hizo la conexión directa entre el router SeCIU-CSIC y Planck pero no fue solución.

#3 Updated by Sebastián Sasías 9 months ago

luego de haber hecho varias pruebas y testeos de distinta índole con Daniel ayer, hoy hago pruebas con "tcpdump".

Si bien CSE no tiene servicios en CSIC, desde allí también se presentan los problemas y al yo mantener un servidor abierto al mundo, hago pruebas con él. El firewall perimetral entre CSE y SeCIU lo mantiene SeCIU y el equipo al que me refiero pedí expresamente que quedara completamente abierto, está protegido con un firewall local.

El otro equipo que utilizo es fermi, hasta el momento de hacer las pruebas daba por hecho que entre CSIC y el mundo los únicos firewall que hay son el de Planck y el de Fermi pero luego hablando con Mario en SeCIU me dijo que en el router de ellos en CSIC también hay reglas.

Las pruebas fueron las siguientes:

como no tenía claro si los firewall locales podrían afectar la recepción de los paquetes hago una prueba, en mi pc local de la LAN en CSIC (donde acepto todo por defecto y no tengo ninguna regla establecida), cambio las policy de INPUT, FORWARD y OUTPUT de ACCEPT a DROP y me pongo a capturar paquetes con tcpdump con el comando "tcpdump -i eth1 host 164.73.68.131". Luego desde mi celular conectado al wifi de CSIC (y que natea por la ip 68.131) abro un navegador e intento conectarme a la ip de mi pc (68.153). Como resultado veo los paquetes llegar, por lo tanto iptables no afecta a tcpdump (al menos cuando está en orígen o destino, en mitad es otra cosa).

root@galton:~# iptables -P INPUT DROP
root@galton:~# iptables -P FORWARD DROP
root@galton:~# iptables -P OUTPUT DROP
root@galton:~# tcpdump -i eth1 host 164.73.68.131
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 262144 bytes
13:43:10.175269 IP 164.73.68.131.46604 > galton.http: Flags [S], seq 1284295142, win 65535, options [mss 1460,sackOK,TS val 74273413 ecr 0,nop,wscale 8], length 0
13:43:10.175901 IP 164.73.68.131.46605 > galton.http: Flags [S], seq 4018014703, win 65535, options [mss 1460,sackOK,TS val 74273413 ecr 0,nop,wscale 8], length 0
13:43:10.426923 IP 164.73.68.131.46606 > galton.http: Flags [S], seq 303425094, win 65535, options [mss 1460,sackOK,TS val 74273438 ecr 0,nop,wscale 8], length 0

Mientras el navegador insiste en establecer conexión con el equipo se siguen generando logs.

Ahora probamos algo similar pero desde fermi y el servidor en CSE, me pongo a escuchar en CSE a cualquier puerto y lanzo conexiones desde Fermi a ese puerto, en este caso vamos a usar el puerto 546: root@ServidorEnCSE:~# tcpdump -i eth0:0 tcp port 546 and src 164.73.250.51

desde el lado de fermi lanzo: root@fermi:~# telnet 164.73.15.111 546

el resultado es que los paquetes llegan:

root@ServidorEnCSE:~# tcpdump -i eth0:0 tcp port 546 and src 164.73.250.51
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0:0, link-type EN10MB (Ethernet), capture size 262144 bytes
14:00:40.989508 IP 164.73.250.51.33416 > 164.73.15.111.dhcpv6-client: Flags [S], seq 398391930, win 29200, options [mss 1460,sackOK,TS val 21329566 ecr 0,nop,wscale 7], length 0
14:00:42.019004 IP 164.73.250.51.33416 > 164.73.15.111.dhcpv6-client: Flags [S], seq 398391930, win 29200, options [mss 1460,sackOK,TS val 21329824 ecr 0,nop,wscale 7], length 0

Para cualquier otro puerto que se pruebe sucede lo mismo, ahora vamos a probar en el sentido inverso:

Me pongo a escuchar desde fermi con el comando: root@fermi:~# tcpdump -i br0 tcp port 546 and src 164.73.15.111

y desde el servidor en CSE lanzo: root@ServidorEnCSE:~# telnet 164.73.250.51 546

el resultado es que no veo paquetes llegar:

root@fermi:~# tcpdump -i br0 tcp port 546 and src 164.73.15.111
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on br0, link-type EN10MB (Ethernet), capture size 262144 bytes

Para cualquier puerto que pruebe es lo mismo, menos para el 22 donde sí veo tráfico llegar:

root@fermi:~# tcpdump -i br0 tcp port 22 and src 164.73.15.111
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on br0, link-type EN10MB (Ethernet), capture size 262144 bytes
14:14:19.586945 IP 164.73.15.111.ssh > galton.csic.edu.uy.55616: Flags [P.], seq 550755222:550755258, ack 1085281601, win 317, options [nop,nop,TS val 621549982 ecr 25246364], length 36
14:14:19.588498 IP 164.73.15.111.56024 > fermi.csic.edu.uy.ssh: Flags [S], seq 4100557433, win 29200, options [mss 1460,sackOK,TS val 621549982 ecr 0,nop,wscale 7], length 0
14:14:19.588553 IP 164.73.15.111.ssh > galton.csic.edu.uy.55616: Flags [P.], seq 36:96, ack 1, win 317, options [nop,nop,TS val 621549982 ecr 25246364], length 60
14:14:19.589638 IP 164.73.15.111.56024 > fermi.csic.edu.uy.ssh: Flags [.], ack 4148999685, win 229, options [nop,nop,TS val 621549983 ecr 21534216], length 0
14:14:19.589680 IP 164.73.15.111.ssh > galton.csic.edu.uy.55616: Flags [P.], seq 96:188, ack 1, win 317, options [nop,nop,TS val 621549983 ecr 25246364], length 92
14:14:19.614929 IP 164.73.15.111.56024 > fermi.csic.edu.uy.ssh: Flags [.], ack 40, win 229, options [nop,nop,TS val 621549989 ecr 21534222], length 0
14:14:19.615050 IP 164.73.15.111.ssh > galton.csic.edu.uy.55616: Flags [P.], seq 188:264, ack 1, win 317, options [nop,nop,TS val 621549989 ecr 25246365], length 76

Si bien en este caso también loguea acciones como "flecha arriba", "flecha abajo", presionar "enter", claramente muestra que ha llegado una petición al puerto 22 desde el servidor en CSE. Como dato extra la acción "flecha arriba" y "flecha abajo" generan un solo log mientras que "enter" genera dos.

Con esto interpreto en principio que el problema viene desde fuera de la red de CSIC.

#4 Updated by Sebastián Sasías 9 months ago

#5 Updated by Sebastián Sasías 9 months ago

Creo que sigo malinterpretando el ultimo log del puerto 22, ya que la conexión ssh pasa a través de Fermi y ensucia el resultado. Voy a probar conectarme al servidor de CSE por antel y desde allí va a ser clara la prueba.

#6 Updated by Sebastián Sasías 9 months ago

Efectivamente, haciendo la conexión a través de ANTEL para no general logs en fermi por la acción del teclado repito el proceso y el resultado es este:

root@fermi:~# tcpdump -i br0 tcp port 22 and src 164.73.15.111
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on br0, link-type EN10MB (Ethernet), capture size 262144 bytes
14:45:11.721636 IP 164.73.15.111.56026 > fermi.csic.edu.uy.ssh: Flags [S], seq 1776140790, win 29200, options [mss 1460,sackOK,TS val 622013016 ecr 0,nop,wscale 7], length 0
14:45:11.725201 IP 164.73.15.111.56026 > fermi.csic.edu.uy.ssh: Flags [.], ack 344319002, win 229, options [nop,nop,TS val 622013017 ecr 21997249], length 0
14:45:11.751379 IP 164.73.15.111.56026 > fermi.csic.edu.uy.ssh: Flags [.], ack 40, win 229, options [nop,nop,TS val 622013023 ecr 21997256], length 0

Por lo cual sí llegan paquetes al 22 pero a los otros puertos probados no.

#7 Updated by Daniel Viñar Ulriksen 9 months ago

  • Status changed from En curso to Resuelta
  • % Done changed from 10 to 80

El problema se resolvió tan misteriosamente como había llegado. Ahora en CCI funciona. hay que probar desde otros lugares, pero de CCI anda.

#8 Updated by Daniel Viñar Ulriksen 9 months ago

  • Related to Tareas #6185: Usurpación de recursos en dirac added

Also available in: Atom PDF