(linux-br) Rotas loucas (resposta louca a ping e tracepath)

Filipe Fedalto Tue, 27 Nov 2007 12:01:37 -0800

Prezados, bom dia!

Temos uma VPN (vpnc, padrão CISCO) estabelecida entre a LAN de nossa 
empresa (192.168.0.xxx) e a LAN da Brasil Telecom (10.xxx.xxx.xxx), a 
quem prestamos serviço. Utilizamos, para tal, um servidor local como 
gateway. Todos os pacotes endereçados para 10.xxx.xxx.xxx são roteados 
para este gateway, que, por sua vez, os redireciona para o tunel VPN.


Tudo sempre funcionou bem, mas hoje, "do nada" a VPN parou de funcionar, 
não mais conseguindo se conectar.

Ainda estamos avaliando se foi alguma desconfiguração do nosso gateway 
ou alguma inoperância da própria rede LAN da Brasil Telecom. Contudo, 
nossos usuários locais têm conseguido se conectar individualmente a esta 
VPN através do Cisco VPN Client do Windows.

Para verificar se o servidor de VPN do nosso cliente é que estava com 
problema, tentei pingá-lo e traçar a rota até ele. Os resultados foram 
esdrúxulos:

[EMAIL PROTECTED]:~# ping vpnbrtnet.brasiltelecom.com.br
PING vpnbrtnet.brasiltelecom.com.br (200.181.14.66) 56(84) bytes of data.
 From 10.160.101.115 icmp_seq=1 Time to live exceeded
 From 10.160.101.115 icmp_seq=2 Time to live exceeded
 From 10.160.101.115 icmp_seq=3 Time to live exceeded
 From 10.160.101.115 icmp_seq=4 Time to live exceeded
 From 10.160.101.115 icmp_seq=5 Time to live exceeded
 From 10.160.101.115 icmp_seq=6 Time to live exceeded
 From 10.160.101.115 icmp_seq=7 Time to live exceeded

e

[EMAIL PROTECTED]:~# tracepath vpnbrtnet.brasiltelecom.com.br
  1:  200.181.65.172 (200.181.65.172)                        0.413ms 
pmtu 1500
  1:  200.181.65.169 (200.181.65.169)                        2.891ms
  2:  BrT-A12-0-0-897-bsace301.brasiltelecom.net.br (200.199.249.1) 
11.627ms
  3:  BrT-G7-2-302-bsace306.brasiltelecom.net.br (201.10.206.142)  11.926ms
  4:  BrT-G2-0-2-bsace-core02.brasiltelecom.net.br (201.10.249.21)  12.945ms
  5:  BrTC-G7-0-1-bsace-core02.brasiltelecom.net.br (200.199.193.110) 
12.007ms
  6:  10.160.101.115 (10.160.101.115)                      asymm  5 
11.869ms
  7:  10.160.101.115 (10.160.101.115)                      asymm  5 
11.851ms
  8:  10.160.101.117 (10.160.101.117)                      asymm  5 
12.177ms
  9:  10.160.101.115 (10.160.101.115)                      asymm  5 
11.966ms
10:  10.160.101.115 (10.160.101.115)                      asymm  5  11.972ms
11:  10.160.101.117 (10.160.101.117)                      asymm  5  12.856ms
12:  10.160.101.115 (10.160.101.115)                      asymm  5  31.636ms
13:  10.160.101.115 (10.160.101.115)                      asymm  5  12.550ms
14:  10.160.101.117 (10.160.101.117)                      asymm  5  12.253ms
15:  10.160.101.115 (10.160.101.115)                      asymm  5  13.384ms
16:  10.160.101.115 (10.160.101.115)                      asymm  5  12.408ms
17:  10.160.101.117 (10.160.101.117)                      asymm  5  12.176ms
18:  10.160.101.115 (10.160.101.115)                      asymm  5  12.546ms
19:  10.160.101.115 (10.160.101.115)                      asymm  5  12.689ms
20:  10.160.101.117 (10.160.101.117)                      asymm  5  12.809ms
21:  10.160.101.115 (10.160.101.115)                      asymm  5  12.761ms
22:  10.160.101.115 (10.160.101.115)                      asymm  5  12.679ms
23:  10.160.101.117 (10.160.101.117)                      asymm  5  12.334ms
24:  10.160.101.115 (10.160.101.115)                      asymm  5  13.076ms
25:  10.160.101.115 (10.160.101.115)                      asymm  5  13.220ms
26:  10.160.101.117 (10.160.101.117)                      asymm  5  12.696ms
27:  10.160.101.115 (10.160.101.115)                      asymm  5  12.760ms
28:  10.160.101.115 (10.160.101.115)                      asymm  5  12.645ms
29:  10.160.101.117 (10.160.101.117)                      asymm  5  13.771ms
30:  10.160.101.115 (10.160.101.115)                      asymm  5  12.961ms
31:  10.160.101.115 (10.160.101.115)                      asymm  5  13.021ms
      Too many hops: pmtu 1500
      Resume: pmtu 1500

Estranhamos tanto o ping quanto o tracepath. Notem que o IP do servidor 
da VPN do cliente foi resolvido corretamente, para 200.181.14.66. 
Contudo, em ambos comandos recebemos resposta de um IP desconhecido, 
10.160.101.115. Não temos nenhum IP 10.xxx.xxx.xxx em nossa empresa e, 
neste momento, a resposta não poderia ser esta, visto a VPN estar fora 
do ar.

Pior: como que, ao pingar um IP da internet recebemos como resposta um 
IP de uma rede 10.160.xxx.xxx, que desconhecemos???

Igualmente, percebo que o ping retorna a mensagem "Time to live exceeded
". Esta mensagem ocorre por causa do aparente loop que aparece entre o 
10.160.101.115 e o 10.160.101.117?

Ressalto, novamente, que não temos nenhuma rota para estes IPs e, ao 
menos no momento que dei os comandos, a VPN estava desconectada. 
Igualmente, para garantir que não houvesse resíduos do nosso servidor de 
DNS local (que é filiado ao DNS interno do cliente quando a VPN é 
estabelecida), limpei todo o cache antes de dar estes comandos.

Solicito a ajuda dos senhores para compreender as respostas destes dois 
comandos acima.

Abraços,

Filipe Fedalto
---------------------------------------------------------------------------
Esta lista é patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br

Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br
Regras de utilização da lista: http://linux-br.conectiva.com.br
FAQ: http://www.zago.eti.br/menu.html

(linux-br) Rotas loucas (resposta louca a ping e tracepath)

Responder a