Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 2 subscribers
  • Views 3990 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[8.102] static routing failed.

vince66671
Hi,

I`m using the Astaro home edition for some testing and protect my network at home.
Now i will try to create an static route to the second subnet on eth2 but i get the following message.

2011:02:22-15:30:36 alice middleware[4907]: >================================================================
2011:02:22-15:30:36 alice middleware[4907]: E Failed: /sbin/ip -f inet route add proto static 172.23.0.0/29 dev eth2
2011:02:22-15:30:36 alice middleware[4907]:
2011:02:22-15:30:36 alice middleware[4907]: 1. utils::IPRoute::ip_route_cmd:776() /utils/IPRoute.pm
2011:02:22-15:30:36 alice middleware[4907]: 2. utils::IPRoute::ip_route_add:740() /utils/IPRoute.pm
2011:02:22-15:30:36 alice middleware[4907]: 3. modules::routes::setAll:116() /modules/routes.pm
2011:02:22-15:30:36 alice middleware[4907]: 4. core::Config::load:276() /core/Config.pm
2011:02:22-15:30:36 alice middleware[4907]: 5. main::top-level:179() mdw.pl
2011:02:22-15:30:36 alice middleware[4907]: 


This thread was automatically locked due to age.
  • 0
    Can you SSH to your ASG and issue the stated ip command and post the output here?
    /sbin/ip -f inet route add proto static 172.23.0.0/29 dev eth2

    Cheers
     Ulrich
  • 0 in reply to da_merlin
    Hi,

    I get the following message,

    /sbin/ip -f inet route add proto static 172.23.0.0/29 dev eth2
    RTNETLINK answers: File exists
  • 0
    So there is already a route for 172.23.0.0/29 ?
    Whats the output of "ip route" ?
  • 0 in reply to da_merlin
    Hi,

    the ip route says, 

    94.215.xx.xx/23 dev eth1  proto kernel  scope link  src 94.215.xx.xx

    127.0.0.0/8 dev lo  scope link

    172.23.0.0/29 dev eth0  proto kernel  scope link  src 172.23.0.1

    172.23.123.0/27 dev eth2  proto kernel  scope link  src 172.23.123.1


    the route is present but i cant ping the 172.23.123.x range and from the 172.23.123.x rang its unable to ping the 172.23.0.x range.

    it says 
    Desination host unreacable
  • 0
    172.23.0.0/29 is already configured on interface eth0,
    why do you want to set a static route for that network on eth2?

    172.23.0.0/29 hosts are reachable via eth0 and 172.23.123.0/27 via eth2, right?
    Please disable that static route and setup your clients to use the ASG as default gateway.
    Also ensure there is a packetfilter rule which allows communication between these two networks.

    BTW: /29 and /27 netmask are pretty small, you are sure thats the right netmask?

    Cheers
     Ulrich
  • 0 in reply to da_merlin
    hi ulrich,

    BTW: /29 and /27 netmask are pretty small, you are sure thats the right netmask?

    That must be 126 hosts /25 not 29 or 27 [;)]

    172.23.0.0/29 is already configured on interface eth0,
    why do you want to set a static route for that network on eth2?


    i tried that begaus the ping says 172.23.0.1 (ASG): Desination host unreacable.


    172.23.0.0/29 hosts are reachable via eth0 and 172.23.123.0/27 via eth2, right?
    Please disable that static route and setup your clients to use the ASG as default gateway.


    The thinking is that there ar 2 networks a DMZ ( ETH2 ) network and my own Home network (LAN, ETH1) and ofcourse the WAN ( ETH0). 
    And it is now imposible to reach the DMZ systems.

    And with Cisco you need to create some routes to see the other network, how works that with ASG?
  • 0
    These are private addresses, so there is no need for limiting the netmask to the minimum. Use 24 which is the default value, but 25,27 or 29 should work too. Just ensure the netmask is on all hosts the same.

    You wrote WAN is eth0, but according to the above routing table WAN is eth1 ?!

    You dont need an extra route on Cisco systems either, the interface route is enough as long as there is no gateway between the ASG and your LAN or DMZ.

    Whats exactly the problem, which hosts can reach which hosts?
  • 0 in reply to da_merlin

    You wrote WAN is eth0, but according to the above routing table WAN is eth1 ?!


    Sorry about that ETH0 is Lan ETH1 is WAN and ETH2 is DMZ.

    The problem is that with /25 subnet mask on DMZ and LAN the network can`t see the other pc on DMZ or the DMZ systems can`t find the Lan systems.

    It works for 5 min afther a ASG reboot afther that 5 minutes the network failed and says:
    From 172.23.0.1 icmp_seq=3 Destination Host Unreachable.
  • 0
    "Destination Host Unreachable" means the ASG can get an ARP address of that host.

    Can you ping the LAN and DMZ hosts from the ASG?
    Are the arp entries correct? Execute "arp -an" on the console
  • 0 in reply to da_merlin
    "Destination Host Unreachable" means the ASG can get an ARP address of that host.

    Can you ping the LAN and DMZ hosts from the ASG?
    Are the arp entries correct? Execute "arp -an" on the console


    ping what posible for less then 3 minutes then if failes.

    the arp -an is :

    ? (172.23.0.2) at b4:82:fe:53:39:13 [ether] on eth0
    ? (94.215.xx.xx) at 00:21:55:cb:01[:D]9 [ether] on eth1
    ? (172.23.0.3) at 00:1a:92:51:90:5a [ether] on eth0
    ? (172.23.0.4) at  on eth0


    The gateways of the both networks ar 172.23.0.1 or moust the DMZ be connected to 172.23.123.1 ? I`m always a little confused about that gateway thing.


    [EDIT]

    Afther a network reboot on an DMZ host the arp -an says

    ? (172.23.0.2) at b4:82:fe:53:39:13 [ether] on eth0
    ? (94.215.xx.xx) at 00:21:55:cb:01[:D]9 [ether] on eth1
    ? (172.23.123.2) at 00:23:69:0b:c1:3a [ether] on eth2
    ? (172.23.0.3) at 00:1a:92:51:90:5a [ether] on eth0

    i will check afther 5 minutes what it says then.

    {EDIT 2 }

    Afther 5 minutes i get the arp -an  back with the following data

    ? (172.23.0.2) at b4:82:fe:53:39:13 [ether] on eth0
    ? (94.215.xx.xx) at 00:21:55:cb:01[:D]9 [ether] on eth1
    ? (172.23.123.2) at  on eth2
    ? (172.23.0.3) at 00:1a:92:51:90:5a [ether] on eth0

    and the network is unreacable again.