Roteador recebe mas não envia [Resolvido]

[zekkerj]

Estou passando um perrengue aqui que eu nunca vi igual…

Estamos instalando um link novo da Embratel aqui. Tá beleza, roteador instalado, peguei o note, pluguei no roteador pra testar, configurei IP, gateway, DNS… pinguei o gateway OK, qdo fui pingar o DNS… nada.

Peguei o WireShark no note, abri, mandei capturar… vejo pacotes chegando adoidado do roteador. O link tem que estar funcionando, então.

Pinguei novamente o roteador. Vi o tráfego normalmente no wireshark.

Tentei um traceroute… só tenho resposta do primeiro hop.

Falei com o pessoal de rede da sede, eles me passaram o endereço da WAN do roteador e de uma loopback. Pois bem, eu consigo pingar todos dois.

Quando eu tentei pingar o endereço da outra ponta da WAN, nada. Não consigo mais nada daí pra frente.

Eu tenho acesso a outros dispositivos nessa rede, pelo link antigo. Qualquer ping que eu dispare no caminho inverso (de lá pra cá), consigo ver chegando no wireshark desse notebook. Mas a resposta não bate de volta.

Já falei com uns quatro ou cinco analistas da embratel, ninguém consegue descobrir o que é. Eu acho que é alguma regra de anti-spoofing que está bloqueando meu endereço, dentro do roteador, ou no primeiro hop (backbone). Eles juram por tudo que é sagrado que não há ACL nenhuma nem no roteador, nem no backbone. Também não tem PBR, segundo eles. Eu não tenho acesso à running-config do roteador, pra confirmar.

Eles acham que é o meu notebook. Só que eu já pluguei meu notebook pessoal (Linux) e o comportamento foi o mesmo. Pluguei também um desktop com linux, e também não mudou nada. Nenhuma das máquinas tem firewall ativado.

Ah, detalhe: todos os acessos funcionam dentro do roteador, mesmo usando o endereço da interface de rede local como origem do ping.

 

Enfim… vocês conseguem me dar uma luz sobre onde forçar o troubleshoot? Eu fiz algumas simulações, e a única resposta plausível foi uma ACL filtrando meus endereços na saída pra WAN (isso explicaria pq o roteador não fica bloqueado, já que ele não filtra a si mesmo). O que vcs acham?

-----------------------------------------------------------------------------
Receba Johrei e purifique seu Espírito.
http://www.messianica.org.br/o-johrei.jsp

[Fabrício ALDC]

@zekkerj

Achei meio confusa a sua explicação, se tiver como você mostrar uma topologia ajudaria bastante…
Mas pelo que eu entendi você chegou a pegar seu notebook e configurar diretamente nele o ip da Wan gw dns etc…. porém eu pergunto… que dns você configurou e tentou pingar?

Não sei se você chegou a fazer este teste mas pegue seu note configure o ip novamente e utilize o dns do google 8.8.8.8 e tente ver se resolve algum nome, se não resolver vê se você consegue pingar algum site externo apenas pelo ip como por exemplo uol 200.221.2.45
Sinceramente pode ser N coisas… mas para poder ajudar precisaria pelo menos da topologia e das configs…. mas eu partiria do básico testa no note do jeito que eu comentei, ele tem que funcionar se não funcionar a operadora tá fazendo merda

abs

[Fernando Avelino]

Se for na operadora, de praxe os técnicos vão negar até a morte que o problema la e vão condenar seu roteador ou rede interna, ai vc abre mil chamados, ameaça cancelar, o gerente de contas entra em contrato com um técnico do N3 que tem mil coisas pra fazer e vai parar pra resolve seu problema que na verdade era até algo simples mas q ng viu….. ja vivi esse filme 1.000 vezes e é sempre a msm conversa fiada, operadoras que contratam terceiros mal treinados, mal pagos, desmotivados pra te atender….

[zekkerj]

Fabrício, eu não tenho acesso às configurações do roteador.
A topologia por enquanto é muito simples: apenas minhas 2 estações ligadas num switch xing-ling, por sua vez ligado na porta gi0/1 do roteador da operadora. Daí pra frente é nuvem pra mim.

Não sei se eu deixei isso claro, mas meu problema não é de DNS. Eu tenho um servidor DNS designado, simplesmente não o alcanço, nem a qualquer rede que esteja além do segundo salto.

Um dos testes que eu fiz foi pedir a eles que configurassem um NAT no roteador. Se fosse uma ACL no Backbone me sacaneando, eu iria enganá-la. Mas segundo o analista, ele viu as traduções formando (deve ter feito um “debug ip nat translations”), mas nem assim consegui trafegar.

Depois disso eu montei um lab no GNS3 simulando o ambiente, foi onde percebi que a hipótese da ACL errada na interface de saída é a única que explica esse comportamento. Meus pacotes entram no roteador, mas não conseguem entrar na nuvem da operadora. Quando eles testam do próprio roteador, não são afetados pq o roteador não bloqueia a si mesmo…

-----------------------------------------------------------------------------
Receba Johrei e purifique seu Espírito.
http://www.messianica.org.br/o-johrei.jsp

[zekkerj]

Fala galera,

Hoje tive acesso às configurações [não tenho autorização pra postá-las, sorry].

O que posso afirmar:

1. Não há ACL de entrada na LAN, nem de saída na WAN.

2. Não há PBR habilitado.

3. Um técnico veio hoje e plugou um note diretamente no link, antes do roteador. Tudo funcionou.

Só não funciona quando é o tráfego da minha rede, entrando pela interface LAN do roteador, e que deveria sair pela interface WAN dele [mas não sai].

-----------------------------------------------------------------------------
Receba Johrei e purifique seu Espírito.
http://www.messianica.org.br/o-johrei.jsp

[Cledir Justo]

tem Ip routing habilitado?

[zekkerj]

tem… acabei de testar, pinguei de uma máquina ligada na LAN1 pra outra ligada na LAN2.

 

Em tempo… durante o tempo em que tive acesso ao console do roteador, eu tentei ativar um "debug ip packet <acl>" pra ver o tráfego vindo do meu notebook "passando", mas acabei não tendo nenhuma saída. Isso pode ter sido alguma configuração desviando o log do console?

-----------------------------------------------------------------------------
Receba Johrei e purifique seu Espírito.
http://www.messianica.org.br/o-johrei.jsp

[leolima]

zekkerj,

Em relação ao debug, por padrão as mensagens do log são exibidas quando o acesso se dá via console, salvo o caso se você estiver conectado via VTY, neste último deve se usar o comando “monitor” para habilitar o output do debug nas conexões VTY. Pode ser que por algum motivo o comando esta desabilitado para o console, então é só habilitar:

SUPORTE(config)#line console 0
SUPORTE(config-line)#monitor

Se mesmo assim o Debug não funcionar, você pode obter o output do Debug pelo comando “sh logging”

Sabe me dizer o modelo da sua interface WAN e das suas LANs? E a versão do IOS utilizada por você? Se possível poste o sh running-config e o sh version (editando as informações confidências como IP etc..), para que possamos analisar.

Atenciosamente.

[zekkerj]

é um roteador 3925 com três interfaces gigabit (0/0, 0/1 e 0/2). Minha WAN chega na 0/0.

Como eu disse, não tenho autorização pra postar as configurações. Oficialmente eu não tenho acesso a elas.

-----------------------------------------------------------------------------
Receba Johrei e purifique seu Espírito.
http://www.messianica.org.br/o-johrei.jsp

[andre.osaki]

E se você habilitar o netflow nas interfaces e dar o comando show ip cache flow.

Dá pra ter uma noção do tráfego que está passando de onde pra onde…

[andre.osaki]

se não me engano esse roteador também vem com uma feature chamada Embedded Packet capture que faz a captura dos pacotes diretamente no router… esses recursos podem te ajudar no troubleshoot abs

[lbrambilla]

zekkerj, os ips que você está utilizando na LAN foi a operadora que te passou ou são ips próprios da sua empresa?

De fora da sua rede, você consegue pingar até o seu gateway? Não faltou alguma rota para a rede LAN talvez?

[renato.fernandes]

zekkerj,

– Como esta esta configurado? voces tem um AS proprio? estao usando BGP ou voce tem uma rota default do seu lado e a EBT configurou roteamento estatico apontando para a rede que voce esta usando no seu LAPTOP?
– O bloco que voce esta utilizando nas suas maquinas é IP frio ou quente? poderia explicar melhor.

[]’s

Renato Reis

[Fabrício ALDC]

@zekkerj
Se vc disse que o pessoal da operadora testou o link isolando a sua rede pra mim isto esta com kra de uma configuração errada de NAT !
Você verificou a configuração de NAT que o analista lah da outra ponta fez ?
Se o NAT esta correto e você esta saindo com o IP da Wan não tem o menor sentido e nexo falar que esta sendo bloqueado… alguém tá comendo bola…
Minha humilde opinião

[zekkerj]

É BGP.

Não posso passar as configurações.

Os IPs são todos de rede privada.

O link não está em produção. Depende justamente de funcionar pra gente migrar pra rede nova. Todo o resto do estado já está na rede nova.

 

Já expliquei a situação, explico de novo:

– Eu consigo pingar o gateway (lan do roteador);

– Eu consigo pingar a outra LAN do roteador;

– Eu consigo pingar a WAN do roteador (digamos que seja 192.168.1.2/30);

– Eu não consigo pingar o outro lado da WAN do roteador, que é o backbone (que seria a 192.168.1.1);

– Eu vejo o tráfego vindo do roteador chegando até o meu notebook, mas não consigo ver nenhum tráfego meu saindo do roteador.

-----------------------------------------------------------------------------
Receba Johrei e purifique seu Espírito.
http://www.messianica.org.br/o-johrei.jsp

[zekkerj]

Fiz um teste agora… desconectei a WAN [é metro ethernet], pluguei um note no lugar, usando o IP do backbone da operadora.

Testei o ping aos endereços da minha rede local… e funcionou.

A gente está há duas semanas brigando com o roteador, mas parece que o problema está no backbone da operadora. Vou tentar gerar algum tráfego nesse backbone e ver o que eu recebo de volta. :-

-----------------------------------------------------------------------------
Receba Johrei e purifique seu Espírito.
http://www.messianica.org.br/o-johrei.jsp

[leolima]

Alguma novidade zekkerj? Tentou testar com outro router para descartar o problema no equipamento/interface.

[zekkerj]

Ainda não, nenhuma novidade… pensei sim em usar outro roteador, até tenho um 2600 encostado q serviria pro teste. Mas eu precisaria conseguir a configuração do BGP pra poder parear com o resto da rede — lembrem-se, eu não estou nessa história como analista de rede, e sim como “cliente”.

-----------------------------------------------------------------------------
Receba Johrei e purifique seu Espírito.
http://www.messianica.org.br/o-johrei.jsp

[Edson Siqueira]

Cara, faz o seguinte..

Já passei por uma situação parecida com uma operadora (vou chamar aqui de operadora X), onde o link era Metro e o link tinha uma vlan, ou seja, pra configurar isso, você tem que configurar uma sub-interface ethernet com encapsulamento dot1q com o número da vlan passada pela operadora e não funcionava de jeito nenhum, as configurações estavam todas certas, com as vlans, etc…. porém não funcionava, por fim, fiz um teste, removi as informações de vlan e configurei o ip diretamente na interface e funcionou certinho, ou seja, a operadora dizia que tinha que ter uma vlan e passava o número e tudo, porém o carinha que configurou lá do outro lado se esqueceu deste detalhe e não tinha nada taggeado. Faz isso, tenta isso aí, como você coloca seu note e funciona, é muito provável que não esteja configurado certo com o mapeamento da vlan, se funcionar depois você liga pra lá e pede pros caras acertarem as configs.

Abs.

[zekkerj]

E a mariola de prêmio vai para o Edson… ao que parece foi isso mesmo que resolveu o problema: o técnico que veio aqui hoje [nota: o terceiro técnico] configurou uma sub-interface na interface wan, usando encapsulamento DOT1Q, e a partir daí começou a funcionar.

O que eu não consegui entender, nem o técnico, nem o operador no backbone: como esse mesmo link permitia um notebook, que não reconhece nem entende tags de VLAN, consegue trafegar normalmente nesse link, e um roteador não consegue?

-----------------------------------------------------------------------------
Receba Johrei e purifique seu Espírito.
http://www.messianica.org.br/o-johrei.jsp

[Moonspell]

Já vi isso tbm…link metro com subinterface criada, dot1q e IP /30 direto nela. Nunca entendi o motivo disso.

[zekkerj]

Estou procurando na documentação, por conta de um comando que vi na configuração; no modo de configuração de interface, havia um comando "vlan-id xxxx". Mas não havia originalmente nenhuma sub-interface, nem o clássico "encapsulation dot1q".

-----------------------------------------------------------------------------
Receba Johrei e purifique seu Espírito.
http://www.messianica.org.br/o-johrei.jsp

[leolima]

Um observação para seu comentário Zekkerj:

“lembrem-se, eu não estou nessa história como analista de rede, e sim como “cliente”

Cara essas operadoras são terríveis, já me aconteceu casos que virei literalmente um analista deles, fazendo contato entre as ramificações internas da operadora, com os prestadores de serviços deles. Marcando horário para conciliar o atendimento dos técnicos da operadora entre as pontas do enlace e por aí vai.

Realmente este caso é muito curioso. Já “salvei” no meu banco de dados do conhecimento, nunca se sabe quando podemos passar por uma dessas.

Então, o comando “vlan-id dot1q” aplicado na interface principal permite ativar o encapsulamento IEEE dot1q para uma VLAN especifica sem a necessidade de associar essa VLAN a uma sub-interface, ou seja, provavelmente “tagearam” a VLAN diretamente na interface principal, sem criar sub-interfaces para tal.

[zekkerj]

E a pergunta de U$1M: como funcionou quando ligamos um notebook diretamente ao acesso? Isso é sinal de que os quadros chegavam e saiam normalmente sem marcação de VLAN.

-----------------------------------------------------------------------------
Receba Johrei e purifique seu Espírito.
http://www.messianica.org.br/o-johrei.jsp

[Edson Siqueira]

@zekkerj
Depois mando o endereço pra vc postar meu prêmio!!! kkkkk

Cara a solução exata disso (caso exista!) está “escondida” no tumultuado backbone da operadora!!!

[Autor]

Posts