Пропадающий трафик, редиректы и странная работа брэндмауэра

[disintegrat0r]

Коллеги. Назрела следующая проблема. Куда копать - уже не знаю.
В общем есть две сети 10.0.111.0/24 и 10.0.120.0/24. Сетки между собой связаны через IPSEC. При этом пинги и другой трафик ходят просто замечательно. Однако если взять хост с убунтой и попробовать пингануть что-то в другую сеть, то картинка выходит следующая:

Код: [Выделить]


root@im:~# ping 10.0.120.1
PING 10.0.120.1 (10.0.120.1) 56(84) bytes of data.
From 10.0.111.253: icmp_seq=1 Redirect Host(New nexthop: 10.0.111.253)
64 bytes from 10.0.111.253: icmp_seq=1 ttl=126 time=4.78 ms
From 10.0.111.253 icmp_seq=2 Destination Host Unreachable
From 10.0.111.253 icmp_seq=3 Destination Host Unreachable
From 10.0.111.253 icmp_seq=4 Destination Host Unreachable
From 10.0.111.253 icmp_seq=5 Destination Host Unreachable
From 10.0.111.253 icmp_seq=6 Destination Host Unreachable
From 10.0.111.253 icmp_seq=7 Destination Host Unreachable

Ошущение, что что-то в убунте реагирует на изменившиеся заголовки пакета прошедшего через туннель и блочит трафик на этот узел. Если последовательно пинговать 120.2 120.3 - картинка такая же. Пролетает 1 пакет.
Если посмотреть дампом в канале - пакеты не улетают в канал после первого. Проблема специфичная именно для убунты. Дебиан нетинст такой проблемы не имеет и пинги ходят так как надо.

Настройки хоста следующие:

Код: [Выделить]

root@im:~# cat /etc/network/interfaces
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo iface lo inet loopback

# The primary network interface
auto eth0
iface eth0 inet static
address 10.0.111.7
netmask 255.255.252.0
broadcast 10.0.111.255
gateway 10.0.111.253
dns-nameservers 10.0.111.2

Вывод iptables

Код: [Выделить]

root@im:~# iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination               


Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination               


Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination               



Код: [Выделить]

root@im:~# iptables -nvL
Chain INPUT (policy ACCEPT 395 packets, 1821K bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 298 packets, 1811K bytes)
 pkts bytes target     prot opt in     out     source               destination


Если пингать с удаленного узла Linuxы, то картинка такая же. Повторюсь на другие узлы трафик идет нормально. Подозревать в каких-то косяках туннель, пограничники и железо на пути пакета - нет.
Банально если стоит Ubuntu 14.04 - пинги не ходят. Если дебиан - ходят. Самое веселое, что в сети есть один старый-старый служебный веб-сервер на котором стоит Ubuntu аж 10.04.4 и там таких проблем нет.
Sysctl настройки ковырял, с дебианом сличал, accept_redirects и send_redirects мучал. UFW дергал. Куда копать уже реально не знаю, а менять убунты на дебианы не вариант - это около 20 хостов О_о
Что это может быть такое?!

[AnrDaemon]

Лечите маршрутизацию на стыке сетей.

[disintegrat0r]

в общем все оказалось банальнее чем можно было представить. Это была одна недопиленная строчка в конфиге sysctl.conf Таки это было запрещенные редиректы. Стоило еще раз их аккуратно разрешить и все случилосью