Hallo,
ich habe hier ein eth0, dort kommen 802.1Q Pakete vorbei, kann ich mit tcpdump auch sehen
tcpdump -i eth0 -n -e -c 1 15:26:04.403349 00:11:85:13:54:31 > 00:24:d7:6b:3f:24, ethertype 802.1Q (0x8100), length 166: vlan 10, p 0, ethertype IPv4, 192.168.0.1.22 > 192.168.0.188.36633: Flags [P.], seq 2789745381:2789745477, ack 1057026949, win 195, options [nop,nop,TS val 2445758817 ecr 87402709], length 96
Nun dachte ich, ich kann mit
tcpdump -i eth0 -n -e -c 1 vlan
ausschliesslich die Pakete sehen, die 802.1Q sind. Wird aber nix. (Eigentlich wollte ich die von vlan 10 sehen, aber ich denke, das wird nichts mit der Sache zu tun haben, das wäre als Filter dann „vlan 10“.)
Der Debug-Output vom tcpdump sieht auch plausibel aus. Aber es geht trotzdem nicht. Warum?
tcpdump -d -i eth0 -n -e -c 1 vlan (000) ldh [12] (001) jeq #0x8100 jt 3 jf 2 (002) jeq #0x9100 jt 3 jf 4 (003) ret #65535 (004) ret #0
Am Byteoffset 12 das Halbword prüfen auf 0x8100. Passt auffallend auch zum Dump der Pakete, wenn ich nicht ausdrücklich das vlan filter setze:
15:34:21.135879 00:11:85:13:54:31 > 00:24:d7:6b:3f:24, ethertype 802.1Q (0x8100), length 150: vlan 10, p 0, ethertype IPv4, 192.168.0.1.22 > 192.168.0.188.36633: Flags [P.], seq 2789750341:2789750421, ack 1057029989, win 195, options [nop,nop,TS val 2445883000 ecr 87526893], length 80
#[offset] 0 2 4 6 8 10 12 14 # habe ich hier eingetragen, am Offset 12 ist der Ethertype # # den tcpdump oben ja prüfen müsste 0x0000: 0024 d76b 3f24 0011 8513 5431 8100 000a 0x0010: 0800 4510 0084 3ccf 4000 4006 7b87 c0a8 0x0020: 0001 c0a8 00bc 0016 8f19 a648 3645 3f00 0x0030: ff65 8018 00c3 8284 0000 0101 080a 91c9 0x0040: 3678 0537 8ded c476 7c1e a7ef 5f01 366a 0x0050: c52d b636 a993 119b fb6e e3fb 48db da5c 0x0060: 9b83 b35b 267e 5233 17ec e56f fdfe f369 0x0070: 8a96 522a 7e9d 809b 5dbe aacb a6df 95ac 0x0080: c268 b97c 4c72 e2ff 1b9d 4cde 95e0 572f 0x0090: a7d1 5e89 13f4
Ich bitte um Erhellung.
Best regards from Dresden/Germany Viele Grüße aus Dresden Heiko Schlittermann
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Hoi Heiko,
ich seh zwar noch nicht ganz durch, würde aber zunächst mal die Frage stellen, wer denn das Paket tagged. Kommt das von einem Device was Du unter Linux angelegt hast oder kommt das Tagging vom Switch?
Ich finde auch, Du hast Recht, mit dem allgemeinen Filter "vlan" solltest Du lediglich vlan-getaggte Pakete bekommen. Aber, echt Dumme Frage, doch auch nur die, die Du OS-seitig taggst, oder? Wenn Du auf dem Switch die VLANs taggst, dann fliegen die entsprechenden Tags doch beim Erreichen an der Netzwerkkarte weg, oder?
Gruß Martin
Am 26.06.2015 um 15:37 schrieb Heiko Schlittermann:
Hallo,
ich habe hier ein eth0, dort kommen 802.1Q Pakete vorbei, kann ich mit tcpdump auch sehen
tcpdump -i eth0 -n -e -c 1 15:26:04.403349 00:11:85:13:54:31 > 00:24:d7:6b:3f:24, ethertype 802.1Q (0x8100), length 166: vlan 10, p 0, ethertype IPv4, 192.168.0.1.22 > 192.168.0.188.36633: Flags [P.], seq 2789745381:2789745477, ack 1057026949, win 195, options [nop,nop,TS val 2445758817 ecr 87402709], length 96
Nun dachte ich, ich kann mit
tcpdump -i eth0 -n -e -c 1 vlan
ausschliesslich die Pakete sehen, die 802.1Q sind. Wird aber nix. (Eigentlich wollte ich die von vlan 10 sehen, aber ich denke, das wird nichts mit der Sache zu tun haben, das wäre als Filter dann ?vlan 10?.)
Der Debug-Output vom tcpdump sieht auch plausibel aus. Aber es geht trotzdem nicht. Warum?
tcpdump -d -i eth0 -n -e -c 1 vlan (000) ldh [12] (001) jeq #0x8100 jt 3 jf 2 (002) jeq #0x9100 jt 3 jf 4 (003) ret #65535 (004) ret #0
Am Byteoffset 12 das Halbword prüfen auf 0x8100. Passt auffallend auch zum Dump der Pakete, wenn ich nicht ausdrücklich das vlan filter setze:
15:34:21.135879 00:11:85:13:54:31 > 00:24:d7:6b:3f:24, ethertype 802.1Q (0x8100), length 150: vlan 10, p 0, ethertype IPv4, 192.168.0.1.22 > 192.168.0.188.36633: Flags [P.], seq 2789750341:2789750421, ack 1057029989, win 195, options [nop,nop,TS val 2445883000 ecr 87526893], length 80
#[offset] 0 2 4 6 8 10 12 14 # habe ich hier eingetragen, am Offset 12 ist der Ethertype # # den tcpdump oben ja prüfen müsste 0x0000: 0024 d76b 3f24 0011 8513 5431 8100 000a 0x0010: 0800 4510 0084 3ccf 4000 4006 7b87 c0a8 0x0020: 0001 c0a8 00bc 0016 8f19 a648 3645 3f00 0x0030: ff65 8018 00c3 8284 0000 0101 080a 91c9 0x0040: 3678 0537 8ded c476 7c1e a7ef 5f01 366a 0x0050: c52d b636 a993 119b fb6e e3fb 48db da5c 0x0060: 9b83 b35b 267e 5233 17ec e56f fdfe f369 0x0070: 8a96 522a 7e9d 809b 5dbe aacb a6df 95ac 0x0080: c268 b97c 4c72 e2ff 1b9d 4cde 95e0 572f 0x0090: a7d1 5e89 13f4
Ich bitte um Erhellung.
Best regards from Dresden/Germany Viele Grüße aus Dresden Heiko Schlittermann
_______________________________________________ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
solltest Du lediglich vlan-getaggte Pakete bekommen. Aber, echt Dumme Frage, doch auch nur die, die Du OS-seitig taggst, oder? Wenn Du auf dem Switch die VLANs taggst, dann fliegen die entsprechenden Tags doch beim Erreichen an der Netzwerkkarte weg, oder?
Tag's fliegen nicht weg, man muss die Pakete "untaggen". Entweder am Switchport oder erst am Client.
Mit freundlichen Grüßen / Kind regards Ronny Seffner -- Ronny Seffner | Alter Viehweg 1 | 01665 Klipphausen www.seffner.de | ronny@seffner.de | +49 35245 72950 7EA62E22D9CC4F0B74DCBCEA864623A568694DB8
Martin Schuchardt kruemeltee@gmx.de (So 28 Jun 2015 22:39:41 CEST):
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Hoi Heiko,
ich seh zwar noch nicht ganz durch, würde aber zunächst mal die Frage stellen, wer denn das Paket tagged. Kommt das von einem Device was Du unter Linux angelegt hast oder kommt das Tagging vom Switch?
[ host (tcpdump ] -----/------ [ switch ] vlan1…
Die Pakete werden (je nach Sender) auf dem Host oder auf dem Switch getaggt.
Ich sehe getaggte Pakete in beiden Richtungen, tcpdump sieht also die ausgehenden Pakete, nachdem sie auf dem Host das VLAN-Tag bekommen haben.
Ich finde auch, Du hast Recht, mit dem allgemeinen Filter "vlan" solltest Du lediglich vlan-getaggte Pakete bekommen.
Ja, aber ich sehe gar keine.
Aber, echt Dumme Frage, doch auch nur die, die Du OS-seitig taggst, oder? Wenn Du auf dem Switch die VLANs taggst, dann fliegen die entsprechenden Tags doch beim Erreichen an der Netzwerkkarte weg, oder?
Jein, wenn ich auf eth0.10 gucke, dann sehe ich sie ohne die Tags, weil sie ja entweder noch nicht oder nicht mehr (je nach Richtung) mit Tags versehen sind.
Best regards from Dresden/Germany Viele Grüße aus Dresden Heiko Schlittermann
On 26.06.2015 15:37, Heiko Schlittermann wrote:
Moin,
Nun dachte ich, ich kann mit
tcpdump -i eth0 -n -e -c 1 vlanausschliesslich die Pakete sehen, die 802.1Q sind. Wird aber nix.
Dumme Frage: was bedeutet denn "Wird aber nix.". Sind hinterher gar keine Pakete mehr zu sehen oder siehst Du zuviel?
H.
Preuße, Hilmar hille42@web.de (Mo 29 Jun 2015 10:56:37 CEST):
On 26.06.2015 15:37, Heiko Schlittermann wrote:
Moin,
Nun dachte ich, ich kann mit
tcpdump -i eth0 -n -e -c 1 vlanausschliesslich die Pakete sehen, die 802.1Q sind. Wird aber nix.
Dumme Frage: was bedeutet denn "Wird aber nix.". Sind hinterher gar keine Pakete mehr zu sehen oder siehst Du zuviel?
Ja, sorry. Man sieht nichts. Keine Pakete.
Heiko Schlittermann hs@schlittermann.de (Fr 26 Jun 2015 15:37:32 CEST): ….
Nun dachte ich, ich kann mit
tcpdump -i eth0 -n -e -c 1 vlanausschliesslich die Pakete sehen, die 802.1Q sind. Wird aber nix. (Eigentlich wollte ich die von vlan 10 sehen, aber ich denke, das wird nichts mit der Sache zu tun haben, das wäre als Filter dann „vlan 10“.)
Interessanterweise funktioniert das, wenn ich statt direkt vom eth0 zu lesen, aus einem File lese, in das ich vorher mit tcpdump -w … -i eth0 -n alles aufgezeichnet habe.
Aber als gelöst würde ich das noch nicht betrachten.
Best regards from Dresden/Germany Viele Grüße aus Dresden Heiko Schlittermann
Hi,
On Mon, Jun 29, 2015 at 11:33:00AM +0200, Heiko Schlittermann wrote:
Interessanterweise funktioniert das, wenn ich statt direkt vom eth0 zu lesen, aus einem File lese, in das ich vorher mit tcpdump -w … -i eth0 -n alles aufgezeichnet habe.
Aber als gelöst würde ich das noch nicht betrachten.
wie sieht es denn aus, wenn du VLAN rx offloading (mit ethtool) ausschaltest?
Maximilian
Maximilian Marx mmarx@wh2.tu-dresden.de (Mo 29 Jun 2015 12:29:07 CEST):
On Mon, Jun 29, 2015 at 11:33:00AM +0200, Heiko Schlittermann wrote:
Aber als gelöst würde ich das noch nicht betrachten.
wie sieht es denn aus, wenn du VLAN rx offloading (mit ethtool) ausschaltest?
Danke. Aber keinerlei Veränderung.
Maximilian Marx mmarx@wh2.tu-dresden.de (Mo 29 Jun 2015 12:29:07 CEST):
Hi,
On Mon, Jun 29, 2015 at 11:33:00AM +0200, Heiko Schlittermann wrote:
Interessanterweise funktioniert das, wenn ich statt direkt vom eth0 zu lesen, aus einem File lese, in das ich vorher mit tcpdump -w … -i eth0 -n alles aufgezeichnet habe.
Aber als gelöst würde ich das noch nicht betrachten.
wie sieht es denn aus, wenn du VLAN rx offloading (mit ethtool) ausschaltest?
Auf einem anderen System (aber eben auch komplett andere Randbedingungen: wlan0.10 eben mit vconfig eingerichtet, aktuelles tcpdump (Debian 8.x, tcpdump
tcpdump version 4.6.2 libpcap version 1.6.2
funktioniert alles. Auf dem System wo es nicht ging, kann ich jetzt aktuell aber leider nicht so einfach ein neueres tcpdump an den Start bringen, aber über früher oder später muss der auch aktualisiert werden und dann werden wir sehen, ob das Problem damit verschwindet. (Dort ist aktuell Debian 7.x mit
tcpdump version 4.3.0 libpcap version 1.3.0
Best regards from Dresden/Germany Viele Grüße aus Dresden Heiko Schlittermann
Maximilian Marx mmarx@wh2.tu-dresden.de (Mo 29 Jun 2015 12:29:07 CEST):
Hi,
On Mon, Jun 29, 2015 at 11:33:00AM +0200, Heiko Schlittermann wrote:
Interessanterweise funktioniert das, wenn ich statt direkt vom eth0 zu lesen, aus einem File lese, in das ich vorher mit tcpdump -w … -i eth0 -n alles aufgezeichnet habe.
Aber als gelöst würde ich das noch nicht betrachten.
wie sieht es denn aus, wenn du VLAN rx offloading (mit ethtool) ausschaltest?
Da das ja offenbar aktuell eingeschaltet ist, wäre die Frage, warum ich mit tcpdump überhaupt die Tags zu Gesicht bekomme.
Best regards from Dresden/Germany Viele Grüße aus Dresden Heiko Schlittermann
lug-dd@mailman.schlittermann.de
-
Heiko Schlittermann -
Martin Schuchardt -
Maximilian Marx -
Preuße, Hilmar -
Ronny Seffner