Arch Linux

Kernel 3.6.x Netzwerk und Arp-Cache

GerBra

Hallo,

ich habe seit einiger Zeit Probleme, nach einer gewissen Inaktivität zB. mittels Webbrowser oder ping ohne Verzögerungen Pakete ins Internet zu transportieren. Beim FF dauert es zeitweise 10-15s (oder Fehlerseite), beim ping gehen mir die ersten Pakete verloren.
Ich bin dem ganzen nun mal etwas auf den Grund gegangen, v.a. da es mit einem FreeBSD auf dem gleichen PC und mit Kernel 3.5.x auf meinem Laptop nicht aufgetreten ist.

Ursache ist bei mir ein fehlerhaftes ARP-Caching, was aber nur mit 3.6.x auftritt. Ob der reale Grund, das dies nun zu einem Problem wird, in meinem Netzwerk liegt oder an Änderungen im IP-Stack des Kernels, daß weiß ich nun nicht.

Also, mitteles des ARP-Caches wird ja die Zuordnung IP<->Netzwerk-MAC-Adresse erledigt. Diese MAC-Adressen werden per ARP erfragt und sowohl in den Switches-Tabellen als auch (zeitweise) lokal im ARP-Cache zwischengespeichert.

Mir ist nun aufgefallen, daß sich mit Kernel 3.6.x zu einen:
a) der (lokale) ARP-Cache viel schneller leert, IP-MAC-Zuordnungen bei "Nichtgebrauch" also aufgrund Timeouts aus dem lokalen cache verschwinden. Was aber kein Problem an sich ist.
b) zumindest bei mir für meinen Router/Gateway zeitweise eine ganz falsche MAC-Adresse im Cache auftaucht. Und das ist bei mir die Ursache für die Nichtverbindung ins Internet.

Test:
Nach einer gewissen Zeit (teils < 1min, teils mehr) verliere ich bei einem:
ping -c10 google.de
regelmäßig und reproduzierbar die ersten 5 Pakete, d.h. erst das 6. Request-Paket wird beantwortet. (Bei Browsern und anderen Anwendungen ist der Zeitraum/Timeout aufgrund anderer Protokolle wesentlich höher, deshalb ist ping hier ein gutes Werkzeug)

Und zwar tritt dieser Verlust *nur* auf, wenn meine Router/Gateway MAC-Adresse nicht mehr im Arp-Cache ist. Was mit 3.6.x sehr schnell passieren kann.

Den Arp-cache kann man überprüfen z.B. mit:

root@ws01 ~ # watch -n1 arp -vna
(produziert momentan bei mir: )
? (192.168.166.249) at 00:a0:cc:c0:50:f0 [ether] on eth0
Entries: 1      Skipped: 0      Found: 1

Diese IP ist mein Gateway. Solange dieser Eintrag im Cache ist geht mein obiger Ping z.B. ohne Paketverlust durch.
Mit 3.6.x leert sich dieser Cache allerdings sehr schnell sobald nicht mehr auf das Gateway zugegriffen wird. Und das ist neu/anders im Gegensatz zu FreeBSD, Linux-Kernel 3.5.x und auch dem LTS-Kernel (3.0.x).

Und jetzt wird es spannend und mysteriös ;-)
Das die Gateway-IP nicht im Cache vorhanden ist, das ist kein Beinbruch. Dann wird diese über das ARP-Protokoll halt wieder "erfragt" (über Switch-MAC-Tabellen oder letztendlich vom Rechner mit den entsprechenden Device für die gewünschte IP).
Setze ich nun obigen Ping wieder ab, taucht die Gateway-IP auch sofort wieder im Cache auf. Allerdings (Obacht!) erstmal mit einer total falschen MAC-Adresse!!! Und zwar der MAC-Adresse, die auf meinem Router von eth1 kommt (das Device was zum DSL-Modem geht). eth0 (worauf eigentlich meine Gateway-IP zeigt, und die mittels Switch mit dem LAN verbunden ist) hat eine ganz andere MAC-Adresse.
So gehen erstmal die ersten 5 Pakete "ins Leere", und dann, schwupp! wechselt der Arp-Cache-Eintrag plötzlich zur richtigen MAC-Adresse. Sobald diese auftaucht funktioniert wieder jedwede Internet-Verbindung.

Ich warte also bis mein Gateway aus dem Cache verschwunden ist (oder lösche diese per: arp -d 192.168.166.249)
Dann starte ich den obigen Ping, im Arp-cache taucht auf:

? (192.168.166.249) at 00:1b:11:59:bb:b6 [ether] on eth0
(Jetzt gehen die ersten 5 Ping-Pakete verloren... Und plötzlich taucht die korrekte MAC-Adresse für 192.168.166.249 auf!)
? (192.168.166.249) at 00:a0:cc:c0:50:f0 [ether] on eth0
(ab dann geht der Ping durch)

00:1b:11:59:bb:b6 gibt es. Und zwar ist das an meinem Router das Device eth1, welches die PPPoE-Verbindung mittels eines DSL-Modems zum Provider-PtP-Gateway hält:
(Hier ein ifconfig vom Router):

eth0      Link encap:Ethernet  HWaddr 00:A0:CC:C0:50:F0  
          inet addr:192.168.166.249  Bcast:192.168.166.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:16782056 errors:0 dropped:0 overruns:0 frame:0
          TX packets:23305947 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:1521293914 (1450.8 MB)  TX bytes:1795781251 (1712.5 MB)
          Interrupt:9 Base address:0xd000 

eth1      Link encap:Ethernet  HWaddr 00:1B:11:59:BB:B6  
          inet addr:1.1.1.1  Bcast:1.1.1.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:23494351 errors:0 dropped:0 overruns:0 frame:0
          TX packets:16718717 errors:0 dropped:0 overruns:1 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:1958294548 (1867.5 MB)  TX bytes:1637223142 (1561.3 MB)
          Interrupt:10 Base address:0xf000

Hier sieht man die MAC-Adresse die - fehelrhaft - zuerst im (LAN)-Arp-Cache auftaucht, obwohl die Verbindung ins LAN ausschließlich über eth0 erfolgt. eth1 ist (ohne IP) wie gesagt das Device, was ppp0 wird zum DSL-Modem.

Und das tritt reproduzierbar erst mit 3.6.x auf, genaue Revisionen kann ich momentan nicht sagen. Und es passiert *nicht* mit BSD oder älteren Kernel unter Linux.
Ich frage mich nun, woher bzw. wer speißt die zuerst falsche MAC-Adresse ins ARP ein? So daß es für irgendwelche Änderungen (Bugs?) im 3.6.x zum Problem wird?
Ich habe alle Switches resettet um evtl. MAC-tabellen-Fehler auszuschließen. ich habe meinen Router noch nicht neu gestartet (zum einen, weil ich meie schöne Uptime von 273 Tagen nicht ruinieren will, zum anderen weil es ja unter anderen Bedingungen funktioniert. Könnte ich aber machen, so als letzten Strohhalm).

@Greg, wenn er mitliest (hat mit 3.6.x auch ein Problem):
Beobachte wie oben mal deinen Arp-Cache. Warte, bis dein Gateway entweder verschwindet oder entferne es mittels arp -d -<IP>. Stelel sicher, daß erstmal nichts eine Internet-Verbindung aufrecht erhält (Musik,Video).
Nun setze mal obigen ping ab und schaue:
a) ob du auch die ersten Pakete verlierst
b) ob sich deine MAC-Adresse auch ändern würde bis letztendlich der Ping beantwortet werden würde.
Andere können diesen Test natürlich auch machen. (Nach dem händische Löschen der Gateway-IP aus dem Cache muß der ping ggf mehrmals "angeschoben" werden, zumindest hier, was auch eine Merkwürdigkeit ist).

Wenn irgendjemand eine Idee hat oder etwas, was die reale Ursache bei mir lokal festnageln könnte, imer ehr damit ;-)
Momentan rätsele ich etwas und würde eher auf einen TCP/IP-Bug in 3.6.x tippen. Zum Bi-Sekten habe ich momentan keine Zeit/Lust. Vielleicht ist in meinem LAN ja wirklich was unsauber und 3.6.x ist nun nicht mehr "tolerant" dem gegenüber. Aber das andere OSe kein Problem haben…

XarchUserX

Um das Problem zumindest zu umgehen, könntest Du ja mal alle ARP Einträge im Format

IP MAC
IP MAC
etc.

in eine Datei schreiben (z.B /etc/ethers) und dann beim start arp -f /etc/ethers ausführen. Damit hättest Du einen statischen ARP Table der sich eigentlich nicht mehr ändern sollte.

GerBra

Das statische würde aber das Problem auch nur kaschieren…
Aber ich habe es mittlerweile, nach einigem Nachdenken und Stöbern im TCP/IP-Wälzer, und muß mich schämen:

(Haupt-)Ursache bei mir liegt/lag in einer doch nicht richtigen physikalischen Trennung der Netze.
Ich habe die ganze Zeit gegrübelt, wie die MAC-Adresse von eth1 (Router) überhaupt auf dieser Seite des LANs auftauchen kann. Die dürfte eigentlich nur auf der Seite des Routers auftauchen, die über eth1 an Modem etc. anliegt.

Dann bin ich mal in die staubige Ecke gekrochen und: Ah, jetzt ja ;-)
Zur Anbindung des WLANs hatte der DSL-Modem-Switch(ein "kastrierter" Router, von dem ich nur den DSL-Modem-teil(Passtrough) und eben das WLAN nutze) ein Kabel in den Switch des LANs. War somit nicht korrekt physikalisch getrennt.
Um am Router (ein alter Laptop, in dem ich schon eine PCMCIA-NIC eingebaut hatte) eine dritte Netzkarte fürs WLAN zu "sparen" habe ich alles über den (unmanaged) Switch des LANs geführt. Sowohl Zugriff (eth1) auf das Modem als auch WLAN liefen also über die MAC-Tabelle des LAN-Switches. Nur so konnte die MAC von eth1 überhaupt auf der LAN-Seite auftauchen.
Ich habe das jetzt mal testweise korrekt umgeswitcht und siehe da: alles laüft wieder wie eh und je…

Warum das allerdings jetzt (nur) mit 3.6.x als Fehler auftritt (mit alten Linux-Kernels und BSD nicht), daß weiß ich nicht. Allerdings freut es mich immer, wenn Fehlertoleranzen eingeschränkt werden durch neue Versionen, und somit eigene Fehler "aufgedeckt" werden.
Da der alte Router-Laptop sowieso ausgedient hat (600er Celereon, 64MB RAM, kaputtes Display <g>) werde ich wohl nicht drumrumkommen eine dritte NIC aufzutreiben um auch physikalsich sauber das WLAN anbinde zu können.
Alles in allem hatte ich wohl dort eine abentuerliche Konstruktion.

Ich setze den Thread mal auf erledigt. Im Prinzip also ein reines "Backplane" Problem…
Oder besser: typisches OSI-Layer-8 Problem ;-)

Greg

GerBra schrieb@Greg, wenn er mitliest (hat mit 3.6.x auch ein Problem):
Beobachte wie oben mal deinen Arp-Cache. Warte, bis dein Gateway entweder verschwindet oder entferne es mittels arp -d -<IP>.

Ich lese mit.
Was ist denn ein Arp-Cache? Nie was von gehört.
Übrigens, ob das was damit zu tun hat?
Ich mußte iputils neu installieren. Obwohl es aktuell drin war also nochmal drüber installiert. Sonst ging kein ping. Das mußte ich auch machen als ich den älteren kernel installiert habe. Irgendwo habe ich das gelesen. Wahrscheinlich im archlinux.org Forum. Da habe ich es einfach mal probiert. Sehr seltsam.
Jetzt habe ich noch die Möglichkeit zu vergleichen. Es sind hier 2 Arch auf einer Kiste installiert. Einer mit alten und einer mit neuen Kernel. Vielleicht hat man da einige Vergleichsmöglichkeiten. Mit meiner 6000er Leitung macht sich der Fehler des neuen Kernels kaum bemerkbar.
Bis denn..
Greg

GerBra

Greg schrieb
GerBra schrieb@Greg, wenn er mitliest (hat mit 3.6.x auch ein Problem):
Beobachte wie oben mal deinen Arp-Cache. Warte, bis dein Gateway entweder verschwindet oder entferne es mittels arp -d -<IP>.
Ich lese mit.
Was ist denn ein Arp-Cache? Nie was von gehört.

Du nutzt es minütlich, wärest geradezu aufgeschmissen ohne ;-) Zur Erhellung.
http://de.wikipedia.org/wiki/Address_Resolution_Protocol

Greg schrieb Übrigens, ob das was damit zu tun hat?
Ich mußte iputils neu installieren. Obwohl es aktuell drin war also nochmal drüber installiert. Sonst ging kein ping. Das mußte ich auch machen als ich den älteren kernel installiert habe. Irgendwo habe ich das gelesen.

Das hängt sicher damit nicht zusammen. /usr/bin/ping war in älteren iputils-Versionen setuid gesetzt. Ohne setuid hätte kein Normaluser ping ausführen können da es dazu (netzprotokollmäßig) nämlich Rechte auf das Netzdevice braucht, die nur root hat. Ein ping wurde also immer so ausgeführt als hätte root diesen Prozeß gestartet.
Neuere Versionen von iputils machen sich dafür nun eine andere Methode, die sog. capabilities des Kernels zu nutze.
//Edit: siehe u.a.: https://wiki.archlinux.org/index.php/Using_File_Capabilities_Instead_Of_Setuid
Durch setcap können nun bestimmte Files mit bestimmten "Eintrittskarten" zu Kernelfunktionen versehen werden. Anstatt das Binary nun setuid zu setzen (setuid-Programme will man immer möglichst vermeiden) werden nun (das gescheht im install-Skript von iputils) dem Programm ping Rechte auf Netzdevices eingeräumt:

post_install() {
  setcap cap_net_raw=ep usr/bin/ping  2>/dev/null || chmod +s usr/bin/ping
  setcap cap_net_raw=ep usr/bin/ping6 2>/dev/null || chmod +s usr/bin/ping6
}

Und ping selbst ist nun nicht mehr setuid:

 % ll /usr/bin/ping
-rwxr-xr-x 1 root root 35792 17. Okt 16:07 /usr/bin/ping*

Warum du iputils erneut installieren mußtest weiß ich nicht. Was sein könnte wäre wenn /usr/bin/ping mal kopiert oder aus einer Sicherung zurückgespielt worden wäre. Dann wären evtl. die Capatibilities (welche glaube ich in den erweiterten Dateiattributen abgelegt werden) nicht mitgesichert worden. Aber irgendwie scheinen bei dir diese Attribute halt abhanden gekommen zu sein, ein erneutes Installieren des Paketes hat dann ach die setcap-Aufrufe wieder ausgeführt.

Netzwerk Ich glaube nicht, das dein Problem mit meinem was zu tun hat außer du hättest eine ähnlich abenteuerliche Netzstruktur wie meine <g>).
Zum Testen wie gesagt: Stelle sicher das nicht gerade dauerhaft auf das Iternet/gateway zugreift, lösche per
arp -d deine_gateway_IP
und setze eine ping ins Internet ab. Du dürftest keine Paketverluste haben - ergo kein ARP-Cache-Problem.
3.6.x hat sicherlich irgendwelche Änderungen im TCP/IP Stack, bei mir werden so lokale Unsauberkeiten plötzlich zu einem Ärgerniss/Problem. Ob das seitens der Kernelentwickler nun so gewollt war, daß weiß ich nicht. Evtl. läßt irgendeie Änderung im Kernel nun auch dein Problem zu einem Problem werden.

Du könntest z.B. einfach mal den/die Nameserver wechseln. Trage in die resolv.conf einfach mal 8.8.8.8 (den Google Nameserver) ein. Evtl. bessert sich bei dir dann schon was.

Greg

Etwas heller ist mir geworden,
allerdings bin ich halt doch kein großer Netzwerker.
Für was brauch ich ping?
Dafür:

#Mit Netzwerktest, es wird geprüft ob ein DNS Server ansprechbar ist.
#IP eines DNS Servers
IP=192.168.1.1
ping -q -c 1 $IP
if [ $? == 0 ]
        then
                echo "Netzwerk ist verfuegbar (Ping OK)"
                # mailsholen..
                mailfilter -r || claws-mail
        else
                echo "Netzwerk ist aus"
fi

Das Script wird im xfce4-mail-plugin alle 30min aufgerufen.
Wenn ein Netz da ist soll nach Mails geguckt, gefiltert und clawsmail aufgerufen werden.
192.168.1.1 ist der DNS Server den mir der Router liefert.

Noch was Anderes, Paketverluste habe ich bei den Übertragungen nie gehabt.
Erst morgen befaß ich mich mit dem Thema arp usw.

Nameserver habe ich bisher standardmäßig den von arcor drin. Könnte ich im Router auch ändern.
Allerdings am schnellen Netz bei der Arbeit haben wir einen eigenen DNS Server. Den hatte ich damals verglichen mit anderen DNS Servern außerhalb. Auch Google DNS. Da war der Intranet DNS Server immer am schnellsten. Zumindest kann man bei diesen Einstellungen gut vergleichen mit Kernel alt und kernel neu.

GerBra

Ping braucht man immer ;-) Schon Sean Connery sagte in "Roter Oktober":
"Wassili, gib mir ein Ping - aber bitte nur ein Ping" um einen ganzen Krieg (hollywoodmäßig) zu vermeiden ;-))

Spaß beiseite, du nutzt ping um die Verfügbarkeit eines Rechners festzustellen. ping kann aber wesentlich mehr und gibt über das Netzwerk bzw. den Weg zum Ziel auch sehr gute Auskünfte. Daraus läßt sich einiges (Paketlaufzeit, DUPs, Paketverluste, usw.) ablesen.
Die meisten Windowsuser die ich kenne starte auf die Frage: hast du Internetverbindung reflexartig ihren Webbrowser. Aber ein ping sagt mehr als eine Google-Seite ;-)

Evtl. ist bei dir einfach der Provider-Nameserver überlastet (gerade bei Telekom-Anschlüssen sind die zugeteilten oftmals nicht sehr reaktionsschnell). Ein Wechsel zu einem anderen (öffentlichen) Nameserver hilft da oftmals schon viel.

Greg

GerBra schriebPing braucht man immer ;-) Schon Sean Connery sagte in "Roter Oktober":
"Wassili, gib mir ein Ping - aber bitte nur ein Ping" um einen ganzen Krieg (hollywoodmäßig) zu vermeiden ;-)).

hähä, heute eher nasser Oktober.
ping Zeiten messen kenn ich sogar.
ping -c3 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_seq=1 ttl=48 time=11.9 ms
64 bytes from 8.8.8.8: icmp_seq=2 ttl=48 time=10.5 ms
64 bytes from 8.8.8.8: icmp_seq=3 ttl=48 time=10.6 ms

--- 8.8.8.8 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2002ms
rtt min/avg/max/mdev = 10.569/11.076/11.963/0.634 ms

Roter Oktober is schon klasse.