OpenVZ Forum: Russian » *SOLVED* Помогите разобраться с проблемкой

Home » International » Russian » *SOLVED* Помогите разобраться с проблемкой

Show: Today's Messages :: Show Polls :: Message Navigator
E-mail to friend

Switch to threaded view of this topic

Create a new topic

Submit Reply

*SOLVED* Помогите разобраться с проблемкой [message #1741]

Tue, 21 February 2006 21:08

kernelring is currently offline

kernelring
Messages: 7
Registered: February 2006

Junior Member

Здравствуйте.
Согласно "Quick installation":
установил ovzkernel-2.6.8-022stab064.1.i686.rpm на Fedora Core 4,
подправил /boot/grub/grub.conf,
подправил /etc/sysctl.conf,
перезагрузился.
Почему-то появились проблемы с сетью, причём только при использовании DNS-имён. Выглядит это примерно так:
ping ya.ru
ping: unknown host ya.ru
В tcpdump ответы от DNS-сервера видны.
Если указать IP-адрес, то всё в порядке.

Ещё какой-то странный глюк:
route очень долго (на 12-15 сек) замирает перед выводом последней строчки, которая показывает default gate.

При загрузке в ядро от Fedora таких проблем нет.

Абсолютно аналогичная картина наблюдается в CentOS 4.
И опять же при загрузке в её ядро таких проблем нет.

Таким образом, до установки OpenVZ user-level tools дело не дошло. Может быть без них таким и должно быть поведение систем?

Обе оси подняты под WMvare Workstation 5.0, настройка сети - NAT.
Подскажите, пожалуйста, где можно подкрутить?

[Updated on: Wed, 22 November 2006 10:03] by Moderator

Report message to a moderator

Send a private message to this user

Re: Помогите разобраться с проблемкой [message #1751 is a reply to message #1741]

Wed, 22 February 2006 10:52

dev is currently offline

dev
Messages: 1693
Registered: September 2005
Location: Moscow

Senior Member

1. есть ли у вас firewall на машине?
iptables -L

2. tcpdump вы запускали внутри OpenVZ host системы?

http://static.openvz.org/userbars/openvz-developer.png

Report message to a moderator

Send a private message to this user

Re: Помогите разобраться с проблемкой [message #1753 is a reply to message #1741]

Wed, 22 February 2006 12:14

coolvds is currently offline

coolvds
Messages: 12
Registered: February 2006

Junior Member

ваша проблема находиться в файле
/etc/resolv.conf
там должен быть прописано что то типа
nameserver IP
где IP, IP сервера на котором находиться ДНС сервер - резолвер.

route по умолчанию выводит вместо ИП их днс адреса, он пытаеться их отрезолвить - потому и выходит задержка.

C Уважением, whice
coolvds.com

Report message to a moderator

Send a private message to this user

Re: Помогите разобраться с проблемкой [message #1770 is a reply to message #1753]

Thu, 23 February 2006 12:58

kernelring is currently offline

kernelring
Messages: 7
Registered: February 2006

Junior Member

coolvds wrote on Wed, 22 February 2006 07:14

ваша проблема находиться в файле
/etc/resolv.conf
там должен быть прописано что то типа
nameserver IP
где IP, IP сервера на котором находиться ДНС сервер - резолвер.

route по умолчанию выводит вместо ИП их днс адреса, он пытаеться их отрезолвить - потому и выходит задержка.

C Уважением, whice
coolvds.com

Нет, похоже не в этом дело. Вот мой /etc/resolv.conf :
; generated by /sbin/dhclient-script
search localdomain
nameserver 192.168.68.2

И потом всё равно непонятно, почему "родное" ядро работает с теми же конфигами без проблем?

Report message to a moderator

Send a private message to this user

Re: Помогите разобраться с проблемкой [message #1774 is a reply to message #1770]

Thu, 23 February 2006 14:02

coolvds is currently offline

coolvds
Messages: 12
Registered: February 2006

Junior Member

мне в голову ничего другого не приходит, как то что у вас не работает доступ к резолверу, причины этого могут быть в настроеке файрвола, роутинга
попробуйте сделать так
dig @192.168.68.2 ya.ru
да и сам пинг на 192.168.68.2

вполне возможно что при загрузке в openvz по каким то причинам у вас пропадает доступ до 192.168.68.2

Report message to a moderator

Send a private message to this user

Re: Помогите разобраться с проблемкой [message #1776 is a reply to message #1774]

Thu, 23 February 2006 16:13

kernelring is currently offline

kernelring
Messages: 7
Registered: February 2006

Junior Member

coolvds wrote on Thu, 23 February 2006 09:02

мне в голову ничего другого не приходит, как то что у вас не работает доступ к резолверу, причины этого могут быть в настроеке файрвола, роутинга
попробуйте сделать так
dig @192.168.68.2 ya.ru
да и сам пинг на 192.168.68.2

вполне возможно что при загрузке в openvz по каким то причинам у вас пропадает доступ до 192.168.68.2

Спасибо за совет, похоже отгадка где-то рядом.
Пинг на 192.168.68.2 проходит.
dig @192.168.68.2 ya.ru сообщает вот что :
;; connection timed out; no servers could be reached

При загрузке в оригинальное ядро всё в порядке.
Вижу все секции: QUESTION, ANSWER, AUTHORITY и ADDITIONAL

Как понять кто блокирует ответы при OpenVZ ядре ?
В файеволе ничего дополнительно после установки не настраивал.
А при разных ядрах iptables может вести себя по разному ?

Report message to a moderator

Send a private message to this user

Re: Помогите разобраться с проблемкой [message #1777 is a reply to message #1751]

Thu, 23 February 2006 16:28

kernelring is currently offline

kernelring
Messages: 7
Registered: February 2006

Junior Member

dev wrote on Wed, 22 February 2006 05:52

1. есть ли у вас firewall на машине?
iptables -L

2. tcpdump вы запускали внутри OpenVZ host системы?

1. firewall стоит с настройками по умолчанию после установки, ничего дополнительно не прописывал.

2. Я пока не силён в терминологии. Я правильно понимаю, что OpenVZ host - это собственно сама система (в моих случаях это FC и CentOS), внутри которой создаются vps ?
Если так, то tcpdump запускал внутри OpenVZ host.
А у меня другого варианта и не было, так как до создания vps дело не дошло.

Report message to a moderator

Send a private message to this user

Re: Помогите разобраться с проблемкой [message #1778 is a reply to message #1776]

Thu, 23 February 2006 16:29

dev is currently offline

dev
Messages: 1693
Registered: September 2005
Location: Moscow

Senior Member

я уже спрашивал используете ли вы conntracks?
дайте пожайлуста output команды iptables -L на fedora ядре.

http://static.openvz.org/userbars/openvz-developer.png

Report message to a moderator

Send a private message to this user

Re: Помогите разобраться с проблемкой [message #1779 is a reply to message #1777]

Thu, 23 February 2006 16:32

dev is currently offline

dev
Messages: 1693
Registered: September 2005
Location: Moscow

Senior Member

ok. в таком случае ответ похоже в conntrack firewall'е.
по умолчанию conntrack's выключены в openVZ ядре, т.к. ставить statefull firewall в хост системе излишество, которое ухудшает производительность и отъедает память.

попробуйте сделать
iptables -F
помогает?

http://static.openvz.org/userbars/openvz-developer.png

Report message to a moderator

Send a private message to this user

Re: Помогите разобраться с проблемкой [message #1784 is a reply to message #1778]

Thu, 23 February 2006 22:52

kernelring is currently offline

kernelring
Messages: 7
Registered: February 2006

Junior Member

dev wrote on Thu, 23 February 2006 11:29

я уже спрашивал используете ли вы conntracks?
дайте пожайлуста output команды iptables -L на fedora ядре.

[root@localhost ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
RH-Firewall-1-INPUT all -- anywhere anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination
RH-Firewall-1-INPUT all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain RH-Firewall-1-INPUT (2 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere icmp any
ACCEPT ipv6-crypt-- anywhere anywhere
ACCEPT ipv6-auth-- anywhere anywhere
ACCEPT udp -- anywhere 224.0.0.251 udp dpt:5353
ACCEPT udp -- anywhere anywhere udp dpt:ipp
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:http
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ftp
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:smtp
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited

Report message to a moderator

Send a private message to this user

Re: Помогите разобраться с проблемкой [message #1785 is a reply to message #1779]

Thu, 23 February 2006 23:09

kernelring is currently offline

kernelring
Messages: 7
Registered: February 2006

Junior Member

dev wrote on Thu, 23 February 2006 11:32

ok. в таком случае ответ похоже в conntrack firewall'е.
по умолчанию conntrack's выключены в openVZ ядре, т.к. ставить statefull firewall в хост системе излишество, которое ухудшает производительность и отъедает память.

попробуйте сделать
iptables -F
помогает?

Да, помогло, спасибо.
Я так понимаю, что, если я хочу всё таки оставить statefull firewall в хост системе, надо ставить openVZ из исходников?

Да, ещё вопрос. Существуют ли ещё какие-нибудь отличия openVZ ядра от "родных" ядер, наподобие этой "засады" с iptables? Я, естественно, не беру в расчёт те изменения ядра, необходимые openVZ для обеспечения собственной функциональности. Может кто-то делал уже такой список?

[Updated on: Thu, 23 February 2006 23:39]

Report message to a moderator

Send a private message to this user

Re: Помогите разобраться с проблемкой [message #1789 is a reply to message #1785]

Fri, 24 February 2006 07:02

dev is currently offline

dev
Messages: 1693
Registered: September 2005
Location: Moscow

Senior Member

это не засада. это сделано из соображений производительности.
conntracks довольно сильно ухудшают производительность сети.
а если они еще и включены и на host системе и внутри VPS... тем более что такое двойное firewall'енье бесмысленно...

чтобы включчить их в host системе надо просто загрузить модуль с параметром (http://openvz.org/documentation/faq):
"ip_conntrack_enable_ve0=1".
можно прописать в /etc/modules.conf:
options ip_conntrack ip_conntrack_enable_ve0=1

http://static.openvz.org/userbars/openvz-developer.png

Report message to a moderator

Send a private message to this user

Re: Помогите разобраться с проблемкой [message #1801 is a reply to message #1789]

Fri, 24 February 2006 22:38

kernelring is currently offline

kernelring
Messages: 7
Registered: February 2006

Junior Member

dev wrote on Fri, 24 February 2006 02:02

это не засада. это сделано из соображений производительности.
conntracks довольно сильно ухудшают производительность сети.
а если они еще и включены и на host системе и внутри VPS... тем более что такое двойное firewall'енье бесмысленно...

чтобы включчить их в host системе надо просто загрузить модуль с параметром (http://openvz.org/documentation/faq):
"ip_conntrack_enable_ve0=1".
можно прописать в /etc/modules.conf:
options ip_conntrack ip_conntrack_enable_ve0=1

Да, про производительность я уже понял.
Читать FAQ мне надо было в первую очередь Embarassed

Embarassed

.
Спасибо за совет, теперь работает как я хотел, только прописать параметр надо в /etc/modprobe.conf Cool

Cool

Report message to a moderator

Send a private message to this user

Re: Помогите разобраться с проблемкой [message #1829 is a reply to message #1784]

Mon, 27 February 2006 15:47

dim is currently offline

dim
Messages: 344
Registered: August 2005

Senior Member

dev прав, у Вас проблема с ipt_conntrack. Модуль ipt_state подгружает его и использует поставляемую им информацию. В OpenVZ он по умолчанию не работает в основной системе, смотрите здесь что нужно сделать.

http://static.openvz.org/openvz_userbar_en.gif

Report message to a moderator

Send a private message to this user

Re: Помогите разобраться с проблемкой [message #8392 is a reply to message #1741]

Sat, 18 November 2006 17:43

vitaly is currently offline

vitaly
Messages: 4
Registered: November 2006
Location: Tiraspol

Junior Member

Здравствуйте.
Подобная проблема но только внутри созданного VDS
ни ping ya.ru
ни например wget http://domain.tld/file.rar
не работают
Как решить?
Заранее благодарю

Report message to a moderator

Send a private message to this user

Re: Помогите разобраться с проблемкой [message #8426 is a reply to message #8392]

Mon, 20 November 2006 08:12

dim is currently offline

dim
Messages: 344
Registered: August 2005

Senior Member

Нужна следующая информация:
1) какое ядро?
2) работает ли пинг внешнего IP?
3) `ip a l` и `ip r l` в ВЕ и на HN
4) `sysctl -a | grep forward` на HN
5) `iptables -L` на HN

http://static.openvz.org/openvz_userbar_en.gif

Report message to a moderator

Send a private message to this user

Re: Помогите разобраться с проблемкой [message #8430 is a reply to message #8426]

Mon, 20 November 2006 08:33

vitaly is currently offline

vitaly
Messages: 4
Registered: November 2006
Location: Tiraspol

Junior Member

Здравствуйте.
Спасибо большое, разобрался - не работал DNS Smile

Smile

Report message to a moderator

Send a private message to this user

Switch to threaded view of this topic

Create a new topic

Submit Reply

Previous Topic:	SOLVED Slackware in VE
Next Topic:	SSL ускоритель BCM95820 и VZ

Goto Forum:

-=] Back to Top [=-

[ Syndicate this forum (XML) ] [

] [

PDF

]

Current Time: Wed Apr 24 16:51:28 GMT 2024

Total time taken to generate the page: 0.01418 seconds