---

Hej

Jeg har et irriterende problem med min mailserver, eller rettere den
maskine den kører på.

Den vil ikke oprette netværksforbindelser til enkelte andre
mailservere, mens andre maskiner på mit lokalnet ingen problemer har.

Fx er MX for get2net.dk (mailgw.swip.net) en af de maskiner den ikke
vil snakke med. Her er et lille eksempel (problemmaskinen har
IP-adressen 212.242.94.26):

$ host -t mx get2net.dk
get2net.dk. mail is handled by 10 mailgw.swip.net.
$ telnet mailgw.swip.net 25
Trying 130.244.199.222...
telnet: connect to address 130.244.199.222: Connection timed out
$ ssh 212.242.94.27
jbn@212.242.94.27's password:
Last login: Tue Jan 8 17:19:11 2002 from abbeden.bunk.cc
$ telnet mailgw.swip.net 25
Trying 130.244.199.222...
Connected to mailgw.swip.net.
Escape character is '^]'.
220 MTA ESMTP server ready Tue, 8 Jan 2002 17:24:02 +0100
quit
221 fep08-svc.swip.net ESMTP server closing connection
Connection closed by foreign host.
$

Jeg har så kørt ngrep på serveren samtidig med at jeg prøvede
ovenstående, her er outputtet fra ngrep.

# ngrep -qe -d eth1 port 25

T 212.242.94.26:57567 -> 130.244.199.222:25 [S]

T 212.242.94.26:57567 -> 130.244.199.222:25 [S]

T 212.242.94.26:57567 -> 130.244.199.222:25 [S]

T 212.242.94.26:57567 -> 130.244.199.222:25 [S]

T 212.242.94.26:57567 -> 130.244.199.222:25 [S]

T 212.242.94.26:57567 -> 130.244.199.222:25 [S]

Den sender altså de TCP SYN pakker den skal, men det er som om den
aldrig får svar :-\

Maskinen kører lige nu en 2.4.16 kerne (har tidligere kørt andre
kerner, men med samme problem), og leverer fint mail til langt de
fleste andre servere samt modtager massevis af mail, også fra
alverdens servere.

Jeg kører med default policy til DROP med iptables, men har følgende
(relevante) regler i mit firewallscript (jeg har taget udgangspunkt i
<http://www.sslug.dk/sikkerhed/netfilter.html>):

iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A block -m state --protocol tcp --state NEW --destination-port smtp -j ACCEPT

Det dukker ikke noget op i min log, på trods af at jeg logger alt hvad
der ikke gives adgang for, så noget tyder på at maskinen slet ikke får
svar. Er der nogen der har en god idé til hvad der kan være galt?

--
Jacob - www.bunk.cc
Who will take care of the world after you're gone?

---

Jacob Bunk Nielsen <spam@bunk.cc> writes:

> Fx er MX for get2net.dk (mailgw.swip.net) en af de maskiner den ikke
> vil snakke med. [ ... ]

Det er måske værd lige at nævne at jeg godt kan pinge mailgw.swip.net
fra problemmaskinen:

$ ping -c 1 mailgw.swip.net
PING mailgw.swip.net (130.244.199.222) from 212.242.94.26 : 56(84) bytes of data.
64 bytes from smtp-ext.swip.net (130.244.199.222): icmp_seq=0 ttl=245 time=42.013 msec

--- mailgw.swip.net ping statistics ---
1 packets transmitted, 1 packets received, 0% packet loss
round-trip min/avg/max/mdev = 42.013/42.013/42.013/0.000 ms

--
Jacob - www.bunk.cc
Laugh at your problems; everybody else does.

---

On Tue, 08 Jan 2002 17:26:25 +0100, Jacob Bunk Nielsen wrote:
> Hej
>
> Jeg har et irriterende problem med min mailserver, eller rettere den
> maskine den kører på.
>
> Den vil ikke oprette netværksforbindelser til enkelte andre
> mailservere, mens andre maskiner på mit lokalnet ingen problemer har.
>
> Fx er MX for get2net.dk (mailgw.swip.net) en af de maskiner den ikke
> vil snakke med. Her er et lille eksempel (problemmaskinen har
> IP-adressen 212.242.94.26):
>
> $ host -t mx get2net.dk
> get2net.dk. mail is handled by 10 mailgw.swip.net.
> $ telnet mailgw.swip.net 25
> Trying 130.244.199.222...
> telnet: connect to address 130.244.199.222: Connection timed out
> $ ssh 212.242.94.27
> jbn@212.242.94.27's password:
> Last login: Tue Jan 8 17:19:11 2002 from abbeden.bunk.cc
> $ telnet mailgw.swip.net 25
> Trying 130.244.199.222...
> Connected to mailgw.swip.net.
> Escape character is '^]'.
> 220 MTA ESMTP server ready Tue, 8 Jan 2002 17:24:02 +0100
> quit
> 221 fep08-svc.swip.net ESMTP server closing connection
> Connection closed by foreign host.
> $
>
> Jeg har så kørt ngrep på serveren samtidig med at jeg prøvede
> ovenstående, her er outputtet fra ngrep.
>
> # ngrep -qe -d eth1 port 25
>
> T 212.242.94.26:57567 -> 130.244.199.222:25 [S]
>
> T 212.242.94.26:57567 -> 130.244.199.222:25 [S]
>
> T 212.242.94.26:57567 -> 130.244.199.222:25 [S]
>
> T 212.242.94.26:57567 -> 130.244.199.222:25 [S]
>
> T 212.242.94.26:57567 -> 130.244.199.222:25 [S]
>
> T 212.242.94.26:57567 -> 130.244.199.222:25 [S]
>
> Den sender altså de TCP SYN pakker den skal, men det er som om den
> aldrig får svar :-\
>
> Maskinen kører lige nu en 2.4.16 kerne (har tidligere kørt andre
> kerner, men med samme problem), og leverer fint mail til langt de
> fleste andre servere samt modtager massevis af mail, også fra
> alverdens servere.
>
> Jeg kører med default policy til DROP med iptables, men har følgende
> (relevante) regler i mit firewallscript (jeg har taget udgangspunkt i
><http://www.sslug.dk/sikkerhed/netfilter.html>):
>
> iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
> iptables -A block -m state --protocol tcp --state NEW --destination-port smtp -j ACCEPT
>
> Det dukker ikke noget op i min log, på trods af at jeg logger alt hvad
> der ikke gives adgang for, så noget tyder på at maskinen slet ikke får
> svar. Er der nogen der har en god idé til hvad der kan være galt?

Det ligner en fejl hvor en Cisco 12000 router et sted på vejen er ramt
af en fejl hvor den ikke forward'er TCP pakker hvis bestemte mønstre
findes i den, den er hos Cisco kendt som CSCdv25238

Men der er nok ikke meget du personligt kan gøre ...

--
Jesper Skriver, CCIE #5456
FreeBSD committer

---

Jesper Skriver <harvest@wheel.dk> writes:

[ Jeg har et mystisk problem med min mailserver (212.242.94.26), som
ikke kan oprette en SMTP-session til eksempelvis mailgw.swip.net (MX
for get2net.dk), men også andre servere, den afleverer dog generelt
mail til alle andre servere uden problemer ]

> Det ligner en fejl hvor en Cisco 12000 router et sted på vejen er ramt
> af en fejl hvor den ikke forward'er TCP pakker hvis bestemte mønstre
> findes i den, den er hos Cisco kendt som CSCdv25238

Det lyder da som en kedelig bug. Hvis jeg søger på
<http://www.cisco.com/> finder jeg
<http://www.cisco.com/univercd/cc/td/doc/product/software/ios120/relnote/7000fam/rn120s.htm>,
hvor der om denne fejl står:

On a Cisco 12000 series Internet router that is running Cisco IOS
Release 12.0(19)S, the router may not forward Multiprotocol Label
Switching (MPLS)- encapsulated TCP packets correctly when it has
to POP the outer label. This situation also affects User Datagram
Protocol (UDP)/Internet Control Message Protocol (ICMP)-based
traffic when the packet size equals 1500 bytes. A symptom of this
condition is giant frame counter increments on the
interface. There is no known workaround.

Er der nogen fornuftig måde at finde ud af hvor den dør undervejs?

Hvad er den letteste måde (under Linux) at konstruere en TCP pakke med
destination port 25, SYN-flaget sat og en TTL man selv bestemmer? Så
burde man jo kunne se hvilket hop den dør hos. På den måde burde jeg
jo kunne få en TTL Exceeded tilbage fra den router den dør hos (eller
i det mindste den før), men ikke fra den næste i rækken ... forudsat
at det er på udturen den dør.

Hvilket mønster skal IP-pakkerne passe ind i? Serveren har tidligere
haft IP-adressen 217.157.128.66, hvor den havde samme problem, i hvert
fald med mailgw.swip.net, og hvor jeg også kunne få hul igennem fra
217.157.128.67. Jeg bliver desværre ikke meget klogere af at læse
ovenstående.

Vil det hjælpe mig hvis jeg lader serveren få 212.242.94.27 i stedet
(det er der lidt besvær forbundet med)? Eller vil der så bare være
andre servere jeg ikke kan aflevere mail til, eller på anden måde ikke
kunne få hul igennem til?

> Men der er nok ikke meget du personligt kan gøre ...

Øv

Men rart at få identificeret at det ikke er min fejl.

Findes der i øvrigt en bugfix? For så kunne det jo måske være
interessant at gøre nogle opmærksomme på det. Der står på ovenstående
side at der ikke er nogen workaround, men dækker det bare over den
IOS-version, eller generelt?

Jeg XFUT'er lige til news:dk.edb.netvaerk, da det vist er der dette
hører hjemme.

--
Jacob - www.bunk.cc
Are you sure the back door is locked?

---

On Tue, 08 Jan 2002 21:43:09 +0100, Jacob Bunk Nielsen wrote:
> Jesper Skriver <harvest@wheel.dk> writes:
>
> [ Jeg har et mystisk problem med min mailserver (212.242.94.26), som
> ikke kan oprette en SMTP-session til eksempelvis mailgw.swip.net (MX
> for get2net.dk), men også andre servere, den afleverer dog generelt
> mail til alle andre servere uden problemer ]
>
>> Det ligner en fejl hvor en Cisco 12000 router et sted på vejen er ramt
>> af en fejl hvor den ikke forward'er TCP pakker hvis bestemte mønstre
>> findes i den, den er hos Cisco kendt som CSCdv25238
>
> Det lyder da som en kedelig bug. Hvis jeg søger på
><http://www.cisco.com/> finder jeg
><http://www.cisco.com/univercd/cc/td/doc/product/software/ios120/relnote/7000fam/rn120s.htm>,
> hvor der om denne fejl står:
>
> On a Cisco 12000 series Internet router that is running Cisco IOS
> Release 12.0(19)S, the router may not forward Multiprotocol Label
> Switching (MPLS)- encapsulated TCP packets correctly when it has
> to POP the outer label. This situation also affects User Datagram
> Protocol (UDP)/Internet Control Message Protocol (ICMP)-based
> traffic when the packet size equals 1500 bytes. A symptom of this
> condition is giant frame counter increments on the
> interface. There is no known workaround.

Denne beskrivelse er ikke voldsomt præcis, den påvirker mest TCP trafik,
og også små pakker ...

> Er der nogen fornuftig måde at finde ud af hvor den dør undervejs?
>
> Hvad er den letteste måde (under Linux) at konstruere en TCP pakke med
> destination port 25, SYN-flaget sat og en TTL man selv bestemmer? Så
> burde man jo kunne se hvilket hop den dør hos. På den måde burde jeg
> jo kunne få en TTL Exceeded tilbage fra den router den dør hos (eller
> i det mindste den før), men ikke fra den næste i rækken ... forudsat
> at det er på udturen den dør.

Du er nok nødt til at selv at skrive det program som gør det,
enten i C eller evt. i perl.

> Hvilket mønster skal IP-pakkerne passe ind i? Serveren har tidligere
> haft IP-adressen 217.157.128.66, hvor den havde samme problem, i hvert
> fald med mailgw.swip.net, og hvor jeg også kunne få hul igennem fra
> 217.157.128.67. Jeg bliver desværre ikke meget klogere af at læse
> ovenstående.

Der er ikke noget entydigt mønster, i al fald ikke som jeg kender, for
mig var det "tilfældige" ting som ikke virkede ..

> Vil det hjælpe mig hvis jeg lader serveren få 212.242.94.27 i stedet
> (det er der lidt besvær forbundet med)? Eller vil der så bare være
> andre servere jeg ikke kan aflevere mail til, eller på anden måde ikke
> kunne få hul igennem til?

Det er umuligt at sige.

>> Men der er nok ikke meget du personligt kan gøre ...
>
> Øv
>
> Men rart at få identificeret at det ikke er min fejl.
>
> Findes der i øvrigt en bugfix? For så kunne det jo måske være
> interessant at gøre nogle opmærksomme på det. Der står på ovenstående
> side at der ikke er nogen workaround, men dækker det bare over den
> IOS-version, eller generelt?

Ja, fejlen er rettet, er i 12.0(20.2)S og senere.

--
Jesper Skriver, CCIE #5456
FreeBSD committer

---

Jesper Skriver <harvest@wheel.dk> writes:

>> Hvad er den letteste måde (under Linux) at konstruere en TCP pakke med
>> destination port 25, SYN-flaget sat og en TTL man selv bestemmer?
>
> Du er nok nødt til at selv at skrive det program som gør det,
> enten i C eller evt. i perl.

Uha, jeg er ikke så stærk i Perl, så jeg vil forsøge at strikke noget
sammen i C en af dagene når jeg får tid.

> Der er ikke noget entydigt mønster, i al fald ikke som jeg kender, for
> mig var det "tilfældige" ting som ikke virkede ..

Øv, jeg hader den slags fejl :-\

>> Findes der i øvrigt en bugfix?
>
> Ja, fejlen er rettet, er i 12.0(20.2)S og senere.

OK, tak for svaret.

Jeg vil se om jeg kan få skrevet et eller andet for at finde ud af
hvilken router det dør hos, og så evt. se om jeg kan finde nogle at
sende en mail om at de jo kunne overveje at opgradere, det er jo ikke
sikkert jeg er den eneste der oplever mystiske problemer.

--
Jacob - www.bunk.cc
Real Users know your home telephone number.

---

It seems Jesper Skriver wrote:
>Det ligner en fejl hvor en Cisco 12000 router et sted på vejen er ramt
>af en fejl hvor den ikke forward'er TCP pakker hvis bestemte mønstre
>findes i den, den er hos Cisco kendt som CSCdv25238

Ved du, om oplysningerne i BugID'en stemmer overens med
virkeligheden?

Ud fra BugID'ens info at dømme er det ikke den fejl, der gør sig
gældende her.

--
Simon Skals <spam@gid.dk>
"Never attribute to competence what can adequately be explained by luck."

---

Jacob Bunk Nielsen <spam@bunk.cc> writes:

>> Det ligner en fejl hvor en Cisco 12000 router et sted på vejen er ramt
>> af en fejl hvor den ikke forward'er TCP pakker hvis bestemte mønstre
>> findes i den, den er hos Cisco kendt som CSCdv25238

Fejlen var en hel anden, som jeg havde meget mere med at gøre
Svaret kom i <news:a1fver$ntn$1@carlsberg.amagerkollegiet.dk>.

Jeg havde slået ECN (Explicit Congestion Notification) til i min
Linux-kerne, og det var der åbenbart en router hos Swipnet der ikke
havde det godt med. Jeg har oversat en ny kerne uden ECN, og nu virker
det.

--
Jacob - www.bunk.cc
I'll pretend to trust you if you'll pretend to trust me.

---

Jacob Bunk Nielsen wrote:

> Jeg har et irriterende problem med min mailserver, eller rettere den
> maskine den kører på.
>
> Den vil ikke oprette netværksforbindelser til enkelte andre
> mailservere, mens andre maskiner på mit lokalnet ingen problemer har.
>
> Fx er MX for get2net.dk (mailgw.swip.net) en af de maskiner den ikke
> vil snakke med. Her er et lille eksempel (problemmaskinen har
> IP-adressen 212.242.94.26):

> $ telnet mailgw.swip.net 25
> Trying 130.244.199.222...
> telnet: connect to address 130.244.199.222: Connection timed out

Er det Linux? Har du ECN slået til?

swipnet har en router stående et sted, der ikke har opdaget, at ECN er
ophævet til standard. Slå ECN fra og det virker...

Rasmus

--
-- [ Rasmus 'Møffe' Bøg Hansen ] ---------------------------------------
Vampires are not visible in mirrors, which explains why they are often
backed over in parking lots.
--------------------------------- [ moffe at amagerkollegiet dot dk ] --

---

Rasmus Bøg Hansen <moffespam@amagerkollegiet.dk> writes:

>> $ telnet mailgw.swip.net 25
>> Trying 130.244.199.222...
>> telnet: connect to address 130.244.199.222: Connection timed out
>
> Er det Linux? Har du ECN slået til?

Ja, det er Linux. Ja, det lader det til når jeg grep'er i min
..config. Jeg kan i øvrigt godt huske at have læst om at det kunne give
problemer engang.

> swipnet har en router stående et sted, der ikke har opdaget, at ECN er
> ophævet til standard. Slå ECN fra og det virker...

OK, det prøver jeg lige. Så kan den også lige få en ny kerne ved samme
lejlighed

--
Jacob - www.bunk.cc
Life's too short to dance with ugly women.

---

Jacob Bunk Nielsen wrote:

> Rasmus Bøg Hansen <moffespam@amagerkollegiet.dk> writes:
>
>>> $ telnet mailgw.swip.net 25
>>> Trying 130.244.199.222...
>>> telnet: connect to address 130.244.199.222: Connection timed out
>>
>> Er det Linux? Har du ECN slået til?
>
> Ja, det er Linux. Ja, det lader det til når jeg grep'er i min
> .config. Jeg kan i øvrigt godt huske at have læst om at det kunne give
> problemer engang.
>
>> swipnet har en router stående et sted, der ikke har opdaget, at ECN
>> er ophævet til standard. Slå ECN fra og det virker...
>
> OK, det prøver jeg lige. Så kan den også lige få en ny kerne ved samme
> lejlighed

Det kan nu sagtens klares uden en ny kerne med 'sysctl -p
net.ipv4.tcp_ecn=0' eller 'echo 0 > /proc/sys/net/ipv4/tcp_ecn'.

Rasmus

--
-- [ Rasmus 'Møffe' Bøg Hansen ] ---------------------------------------
I haven't lost my mind;
I have backed it up on tape somewhere........
--------------------------------- [ moffe at amagerkollegiet dot dk ] --

---

Den Wed, 09 Jan 2002 00:59:31 +0100 skrev Jacob Bunk Nielsen:
>Rasmus Bøg Hansen <moffespam@amagerkollegiet.dk> writes:
>
>>> $ telnet mailgw.swip.net 25
>>> Trying 130.244.199.222...
>>> telnet: connect to address 130.244.199.222: Connection timed out
>>
>> Er det Linux? Har du ECN slået til?
>
>Ja, det er Linux. Ja, det lader det til når jeg grep'er i min
>.config. Jeg kan i øvrigt godt huske at have læst om at det kunne give
>problemer engang.
>
>> swipnet har en router stående et sted, der ikke har opdaget, at ECN er
>> ophævet til standard. Slå ECN fra og det virker...
>
>OK, det prøver jeg lige. Så kan den også lige få en ny kerne ved samme
>lejlighed

Øh, hvorfor det?

Er det nemmere at opgradere kernen i forbindelse med
"echo 0 >/proc/sys/ipv4/tcp_ecn" end i forbindelse med
"netscape &"?

Mvh
Kent
--
Nu har jeg arbejdet i 40 år på at opnå den sublime "mærklighed" og så
har jeg da ikke tænkt mig at lave om på det.
- Asbjørn Christensen i dk.snak 3/1-2002.

---

Jacob Bunk Nielsen <spam@bunk.cc> writes:

>> swipnet har en router stående et sted, der ikke har opdaget, at ECN er
>> ophævet til standard. Slå ECN fra og det virker...
>
> OK, det prøver jeg lige.

Sørme om du ikke havde ret. Jeg siger mange tak for tippet.

--
Jacob - www.bunk.cc
You never learn anything by doing it right.

---

Rasmus Bøg Hansen <moffespam@amagerkollegiet.dk> writes:

> Det kan nu sagtens klares uden en ny kerne med 'sysctl -p
> net.ipv4.tcp_ecn=0' eller 'echo 0 > /proc/sys/net/ipv4/tcp_ecn'.

Endnu engang tak for tippet, men nu har jeg allerede oversat en ny
kerne, det tog ikke mere end 10 minutter, så det er heldigvis til at
overse.

--
Jacob - www.bunk.cc
Computer programmers do it byte by byte.

---

kfr@fleggaard.dk (Kent Friis) writes:

>>OK, det prøver jeg lige. Så kan den også lige få en ny kerne ved samme
>>lejlighed
>
> Øh, hvorfor det?

Fordi jeg (tilsyneladende naivt) troede at man skulle oversætte en ny
kerne når man ændrede noget i konfigurationen af den.

> Er det nemmere at opgradere kernen i forbindelse med
> "echo 0 >/proc/sys/ipv4/tcp_ecn" end i forbindelse med
> "netscape &"?

Nej, det er sikkert ca. samme besvær

I øvrigt var det jo ikke nogen stor katastrofe, da jeg så fik
opgraderet til den nyeste kerne.

--
Jacob - www.bunk.cc
People who make no mistakes do not usually make anything.