Назад | Перейти на главную страницу

некоторые серверы не будут отвечать на SYN, если клиент подключен к VPN

У нас есть несколько серверов ubuntu 18.04 (как физических, так и виртуальных), которые игнорируют ping-запросы и TCP-соединения, поступающие от клиентов, подключенных к нашей интрасети через VPN.

Эту проблему проявляют только свежие установки 18.04 (с 16.04, обновленным до 18.04, все в порядке).

Я разработчик программного обеспечения, а не администратор сети / системы. Это тестовые серверы - наш ИТ-отдел не склонен разбираться в проблеме (да и без окон). У меня нет доступа к сетевой инфраструктуре или настройкам компании.

У меня два физических сервера:

serverA: 172.24.8.114 ubuntu 18.04 (обновлено с 16.04). Это работает.
serverB: 172.24.8.96 ubuntu 18.04 (свежая установка). Это не подходит для клиентов VPN.

Если я нахожусь в подсети 172.24.8.X (т. Е. В офисе), я могу пинговать и использовать curl / ssh как для serverA, так и для serverB. Если я работаю из дома (ноутбук с Windows, с виртуальными машинами WSL и linux), я Я использую подсеть 10.50.50.X, и я могу ping и curl / ssh только на serverA. VPN - это Sonicwall NetExtender (требуется по работе).

При попытке TCP-соединения с serverB serverB получает SYN, но никогда не отвечает SYN-ACK. Повторная передача TCP происходит через 3 секунды. Точно так же запросы ICMP ping принимаются, но никогда не отвечают. (подтверждено tshark / wirehark)

Но я не вижу разницы между serverA и serverB, которая могла бы вызвать это. Это не проблема с оборудованием - есть другие виртуальные машины сервера, демонстрирующие ту же проблему.

Ни одно из предложений в Сервер не отправляет пакет SYN / ACK в ответ на пакет SYN работал.

sysctl настройки по сути такие же.
ufw неактивен.
iptables -L по сути то же самое.

На что еще я должен обратить внимание, чтобы определить, почему serverA можно проверять и устанавливать TCP-соединения из любого места, но serverB будет отвечать только на ping-запросы и устанавливать TCP-подключения из своей локальной подсети?

Редактировать: ss -tan не показывает сокетов в состоянии SYN_RECV на serverB. И serverA, и serverB могут пинговать и устанавливать TCP-соединения с моим ноутбуком. tshark был использован для сбора пакетов на serverA и serverB, затем скопирован и проанализирован с помощью wirehark.

Я вижу точно такую же проблему. В нашем случае, видимо, виноваты «докерные» интерфейсы. Если эти интерфейсы будут отключены, мы сможем подключиться к службам.

На машине с несколькими сетевыми адаптерами в некоторых случаях SYN / ACK отправляется в другую сеть, а не в сеть, из которой пришел SYN.

Явный маршрут должен быть в файле netplan. Видеть https://askubuntu.com/questions/1030527/multiple-nics-under-ubuntu-18-04