Proxy-ARP Daemon
Kaputtes xDSL ist ein nervendes Problem hier. Wir haben die Schmerzen gemildert, indem wir die Netzmasken verkleinerten. Während der letzten Monate verschärfte sish die Situation wieder, weil rigide Filter auf den DSLAM ausgerollt wurden und Geräte hinzu kamen, die nicht in der Lage waren mit den kleinen Netzmasken umzugehen. Wir hatten das Problem grundsätzlich zu lösen.
Problem
Große Netzwerke haben eine große Anzahl an sichtbaren MAC Adressen. Einige Geräte (z.B. DSLAMs) verhalten sich seltsam, wenn sie zuviele MACs zu sehen bekommen. Deshalb versuchen die Netzwerkbetreiber ihre Netze zu segmentieren, so dass keine Frames mehr von einer entfernten, kleinen Lokation zu eienr anderen gelangen können. Die Blockade von Quertraffic zuwischen Kunden heißt split-horizon. Kunden in verschiedenen Teilen des Netzwerkes können dabei nicht mehr miteinander kommunizieren.
Große Netzwerke sind schwer zu betreiben. Deswegen wird möglichst nahe am Endkunden, also am DSLAM gefiltert. Diese "Fist-Hop-Security" Filter sind nur für einfache Anwendungsfälle gedacht und neigen dazu Pakete in nicht-standard-Situationen zu verwerfen. Man kann dann diese Filter nur abschalten oder damit leben.
Meistens lesen diese Geräte die DHCP-Kommunikation mit und passen danach ihre Filter an. Nutzer mit statischen IP Adressen machen aber oft gar kein DHCP, so dass diese Filter nicht zu lernen haben. Andere Nutzer haben mehr als ein Endgerät oder ganze Netzbereiche zugeteilt bekommen. In all dieses Fällen versagen die DLSAM-Filter.
Eine weitere Sicherheitsmaßnahme besteht darin, den Broadcast-Verkehr zu unterbinden, so er nicht dazu dient, die MAC Adresse zur dem Filter bekannten IP zu ermitteln. Die Idee hinter diesem Filter ist, dass jeder, der die MAC Adresse des Endgeräts kennt, dann automatisch berechtigt ist, mit diesem zu kommunizieren. Es genügt also, die Broadcasts von Endkunden zu Endkunden zu blockieren, um effektiv nur noch erlaubte Kommunikation zu haben.
Setzt man DHCP-Sniffing, Broadcast-Filter und Split-Horizon zusammen ein, erhält man ein typisches xDSL-Netzwerk, in dem die Nutzer nur mit dem zentralen Router reden können. Sämtliche darüber hinaus gehende Kommunikation ist nicht möglich.
Einfache Lösung
Gibt es nur einen einzelnen Router im Netz, so genügt es dort local-proxy-arp anzuschalten: Jede ARP-Anfrage (eines Endgeräts) wird vom Router mit der MAC-Adresse des Router-Interfaces beantwortet. Auf diese Weise können die Kunden im Umweg über den Router miteinander reden (hair pinning).
Da der Router die MAC-Adresse des Endgeräts schon bei der ARP-Anfrage dieses Geräts nach seinem Default-Router lernt, muss der Router oft gar nicht selbst ARP-Anfragen per Broadcast stellen. Einige Routermodelle erneuern die auslaufenden Cache Einträge per Unicast-Anfrage, die von den DSLAM-Filtern durchgelassen werden. Auf diese Weise kann man ein solches Netz ohne merkbare Störungen betreiben.
Gibt es allerdings mehrere Router oder Server an zentraler Stelle,. so wird es kompliziert. Local-proxy-arp kann nun nicht mehr eingesetzt werden, da die Router sonst sich gegenseitig die ARP-Anfragen beantworteten und anschließend die Pakete im Kreis laufen.
Andererseits bekommen DHCP-Server Probleme, weil sie auf den ARP-Test "Ist die IP noch frei?" Fake-Antworten vom Router bekommen. Local-proxy-arp stört alle Arten dieser Anwendungen erheblich.
Anderer Ansatz
Um unser Netz hier trotzdem am Laufen zu halten, stellt eine neue Software (parpd) die notwendigen ARP-Antworten. In Abhängigkeit von frei konfigurierbaren Regeln antwortet der Daemon auf ARP-Anfragen mit einer passenden Antwort. Dies kann die reale MAC des Endgeräts sein oder auch die MAC-Adresse eines Routers (redirect).
Die Software lernt durch passives Zuhören die realen MAC-IP Paare. Selbstverständlich ignoriert sie dabei Antworten von anderen Instanzen, beschränkt sich also auf die originalen Quellen. parpd erneuert auslaufende ARP Cache-Einträge mit Unicast-Anfragen. Nur um die Redirect-MAC zu ermitteln, darf sie auf Broadcast zurück greifen.
Antworten können aber auch verzögert werden, d.h. die ersten Anfragen eines Gerätes nach einer bestimmten IP werden innerhalb einer gewissen Zeit ignoriert. Auf diese Weise kann ein DHCP-Server seine Überprüfungen vornehmen, bekommt aber dann doch eine Antwort, wenn er auf direkter Kommunikation besteht.
Die frei konfigurierbaren Regeln gestatten die Anpassung an komplexere Aufbauten, z.B. überlappenden Netzen.
Beispiel
Wie sieht das in der Praxis aus? So:
cache timeout 302 # seconds tablesize 3499 # expecting about 10000 entries refresh 3*5 # 3 retries a 5 seconds each delay 4*3 # respond at 4th retry in 3 seconds end interface em0 timeout 1.011 # do not respond for queries to our own infrastructure rule 0.0.0.0/0 198.51.100.0/29 ignore # delay queries from the DHCP server rule 198.51.100.4/32 198.51.100.0/24 delay tell # help the routers/servers to reach the clients rule 198.51.100.0/29 198.51.100.0/24 tell # interclient communication through hairpinning at the default gateway rule 198.51.100.0/24 198.51.100.0/24 198.51.100.1 # help erroneous clients arping for everything rule 198.51.100.0/24 0.0.0.0/0 verbose 198.51.100.1 # multihomed server with weak host model rule 192.0.2.0/24 198.51.100.0/24 tell # show missing entries rule 0.0.0.0/0 0.0.0.0/0 verbose ignore end
Here are some of our categories:
a) <a href="https://k2spicesprayworld.com/product-category/dmt-vape-pen/" rel="dofollow">dmt vape pen</a>
b) <a href="https://k2spicesprayworld.com/product-category/herbal-esctasy/" rel="dofollow">herbal ecstasy</a>
c) <a href="https://k2spicesprayworld.com/best-books-for-inmates/" rel="dofollow">Best Books for Inmates</a>
d) <a href="https://k2spicesprayworld.com/product-category/k2-herbal-incense/" rel="dofollow">k2 herbal incense</a>
e) <a href="https://k2spicesprayworld.com/product-category/k2-powder/" rel="dofollow">k2 powder</a>
f) <a href="https://k2spicesprayworld.com/product-category/k2-spice-books/" rel="dofollow">k2 spice books</a>
g) <a href="https://k2spicesprayworld.com/product-category/k2-spice-spray/" rel="dofollow">k2 spice spray</a>
h) <a href="https://k2spicesprayworld.com/product-category/live-resin/" rel="dofollow">live resin</a>
i) <a href="https://k2spicesprayworld.com/product-category/liquid-herbal-incense/" rel="dofollow">liquid herbal incense</a>
j) <a href="https://k2spicesprayworld.com/product-category/kaws-moonrocks/" rel="dofollow">kaws moonrocks</a>
k) <a href="https://k2spicesprayworld.com/product-category/liquid-k2/" rel="dofollow">liquid k2</a>
l) <a href="https://k2spicesprayworld.com/product-category/liquid-k2-on-paper/" rel="dofollow">liquid k2 on paper</a>
m) <a href="https://k2spicesprayworld.com/product-category/magic-shrooms/" rel="dofollow">magic shrooms</a>
n) <a href="https://k2spicesprayworld.com/product-category/research-chemicals/" rel="dofollow">research chemicals</a>
o) <a href="https://k2spicesprayworld.com/product-category/shroom-edibles/" rel="dofollow">shroom edibles</a>
There are also some relevant pages on our site:
- <a href="https://k2spicesprayworld.com/" rel="dofollow">Home</a>
- <a href="https://k2spicesprayworld.com/shop/" rel="dofollow">Shop</a>
- <a href="https://k2spicesprayworld.com/categories/" rel="dofollow">Categories</a>
- <a href="https://k2spicesprayworld.com/blog/" rel="dofollow">Blog</a>
- <a href="https://k2spicesprayworld.com/product/herbal-empire-k2-on-letter/" rel="dofollow">herbal incense empire</a>
- <a href="https://k2spicesprayworld.com/" rel="dofollow">herbal empire</a>
- <a href="https://k2spicesprayworld.com/product/extra-extra-potent-herbal-empire-k2-sheets-5-a4-soaked-paper/" rel="dofollow">herbal empire k2</a>
- <a href="https://k2spicesprayworld.com/product/best-k2-spice-spray/" rel="dofollow">herbal incence liquid</a>
- <a href="https://k2spicesprayworld.com/best-books-for-inmates/" rel="dofollow">Best Books For Inmates</a>
- <a href="https://k2spicesprayworld.com/product/diablo-herbal-incense/" rel="dofollow">diablo k2 spray near me</a>
- <a href="https://k2spicesprayworld.com/product/diablo-k2-incense/" rel="dofollow">k2 diablo spray</a>
There are also some links to some of our blogs:
- <a href="https://k2spicesprayworld.com/2024/10/22/thcp/" rel="dofollow">THCP-The new king among cannabinoids</a>
- <a href="https://k2spicesprayworld.com/2024/10/22/angry-birds-liquid-incense/" rel="dofollow">Best Place To Buy Angry birds liquid incense online</a>
- <a href="https://k2spicesprayworld.com/2024/10/13/k2-liquid-on-a4-paper/" rel="dofollow">How to spray k2 liquid on A4 paper</a>
- <a href="https://k2spicesprayworld.com/2024/08/17/diablo-k2-liquid-spray/" rel="dofollow">Synthetic Cannabinoid-Diablo K2 Liquid Spray</a>
- <a href="https://k2spicesprayworld.com/2024/08/17/diablo-liquid-k2-incense/" rel="dofollow">Diablo Liquid K2 Liquid</a>
- <a href="https://k2spicesprayworld.com/2024/08/17/liquid-k2-spray/" rel="dofollow">Introducing Liquid K2 Spray</a>
Here are some of our latest products in stock:
a) <a href="https://k2spicesprayworld.com/product/diablo-k2-powder-1-ounce/" rel="dofollow">Diablo K2 Powder 1 Ounce</a>
b) <a href="https://k2spicesprayworld.com/product/diablo-sample-sheet/" rel="dofollow">Diablo Sample Sheet</a>
c) <a href="https://k2spicesprayworld.com/product/diablo-k2-spice-powder/" rel="dofollow">Diablo K2 Spice Powder</a>
d) <a href="https://k2spicesprayworld.com/product/infused-daily-planner/" rel="dofollow">Infused Daily Planner</a>
e) <a href="https://k2spicesprayworld.com/product/infused-recipe-book-for-women/" rel="dofollow">Infused Recipe Book for Women</a>
f) <a href="https://k2spicesprayworld.com/product/k2-spice-infused-coloring-books/" rel="dofollow">K2 Spice Newspaper</a>
g) <a href="https://k2spicesprayworld.com/product/legal-high-k2-spice-paper/" rel="dofollow">Legal High K2 Spice Paper</a>
h) <a href="https://k2spicesprayworld.com/product/k2-infused-calendar/" rel="dofollow">K2 Infused Calendar</a>
i) <a href="https://k2spicesprayworld.com/product/k2-spice-powder/" rel="dofollow">K2 Spice Powder</a>
Here are some of our other products in stock:
1) <a href="https://k2spicesprayworld.com/product/k2-spice-newspaper/" rel="dofollow">K2 Spice Newspaper</a>
2) <a href="https://k2spicesprayworld.com/product/k2-spice-book-100-pages/" rel="dofollow">K2 spice book-100 pages</a>
3) <a href="https://k2spicesprayworld.com/product/k2-spice-book-50-pages/" rel="dofollow">K2 spice book-50 pages</a>
4) <a href="https://k2spicesprayworld.com/product/diablo-k2-powder/" rel="dofollow">Diablo k2 powder</a>
5) <a href="https://k2spicesprayworld.com/product/back-together-k2-spice-letter/" rel="dofollow">Back together k2 spice letter</a>
6) <a href="https://k2spicesprayworld.com/product/small-k2-spice-bible/" rel="dofollow">Small k2 spice bible</a>
7) <a href="https://k2spicesprayworld.com/product/black-mamba-liquid-k2/" rel="dofollow">Black mamba liquid k2</a>
8) <a href="https://k2spicesprayworld.com/product/k2-spice-spray-book-500-pages/" rel="dofollow">K2 spice spray book-500 pages</a>
9) <a href="https://k2spicesprayworld.com/product/k2-spice-spray-on-lined-paper/" rel="dofollow">K2 spice spray on lined paper</a>
10) <a href="https://k2spicesprayworld.com/product/buy-aroma-liquid-5ml-online/" rel="dofollow">Buy aroma liquid 5ml online</a>
11) <a href="https://k2spicesprayworld.com/product/i-am-groot-vanilla-potpourri/" rel="dofollow">I am Groot Vanilla Potpourri</a>
12) <a href="https://k2spicesprayworld.com/product/diablo-incense/" rel="dofollow">Diablo K2 Spice Spray</a>
13) <a href="https://k2spicesprayworld.com/product/k2-spice-spray-diablo/" rel="dofollow">Spice Spray Diablo</a>
14) <a href="https://k2spicesprayworld.com/product/diablo-k2-powder/" rel="dofollow">Diablo K2 Powder</a>
15) <a href="https://k2spicesprayworld.com/product/diablo-incense/" rel="dofollow">Liquid K2 Spray Diablo</a>
16) <a href="https://k2spicesprayworld.com/product/diablo-incense/" rel="dofollow">Herbal Empire K2</a>
17) <a href="https://k2spicesprayworld.com/product/joker-extra-potent/" rel="dofollow">Joker extra potent blend</a>
18) <a href="https://k2spicesprayworld.com/product/green-k2-dark-bottle-spray-100ml/" rel="dofollow">Green k2 dark bottle spray 100ml</a>
19) <a href="https://k2spicesprayworld.com/product/k2-paper-wholesale/" rel="dofollow">K2 paper wholesale</a>
20) <a href="https://k2spicesprayworld.com/product/extra-extra-potent-herbal-empire-k2-sheets-5-a4-soaked-paper/" rel="dofollow">Extra extra potent herbal empire k2 sheets 5 A4 soaked paper </a>
21) <a href="https://k2spicesprayworld.com/product/angry-birds-liquid-incense/" rel="dofollow"> Angry birds liquid incense </a>
22) <a href="https://k2spicesprayworld.com/product/green-k2-dark-gallon/" rel="dofollow">Green k2 dark gallon</a>
23) <a href="https://k2spicesprayworld.com/product/buy-5f-akb48-c-liquid/" rel="dofollow">Buy 5F-AKB48 C liquid</a>
24) <a href="https://k2spicesprayworld.com/product/blue-caution-extra-extra-a4-soaked-sheet/" rel="dofollow">Blue Caution Extra Extra A4 Soaked Sheet</a>
25) <a href="https://k2spicesprayworld.com/product/herbal-empire-k2-on-letter/" rel="dofollow">Herbal empire k2 on letter</a>
26) <a href="https://k2spicesprayworld.com/product/cannabis-infused-rolling-papers/" rel="dofollow">Cannabis infused rolling papers</a>
27) <a href="https://k2spicesprayworld.com/product/1-gallon-liquid-k2/" rel="dofollow">1 gallon liquid k2</a>
28) <a href="https://k2spicesprayworld.com/product/k2-on-paper-a4-sheet/" rel="dofollow">K2 on paper A4 Sheet</a>
29) <a href="https://k2spicesprayworld.com/product/ DMT Vape pen" rel="dofollow"> DMT Vape pen</a>
30) <a href="https://k2spicesprayworld.com/product/buy-a-ovp-online/" rel="dofollow">Buy A-OVP Online</a>
31) <a href="https://k2spicesprayworld.com/product/4-meo-pv8/" rel="dofollow">4-MEO-PV8</a>
32) <a href="https://k2spicesprayworld.com/product/cannabis-infused-rolling-papers/" rel="dofollow">Cannabis Infused Rolling Papers</a>
33) <a href="https://k2spicesprayworld.com/product/3-cmc-powder-crystal-and-pellets/" rel="dofollow">3-CMC Powder, Crystal and Pellets</a>
34) <a href="https://k2spicesprayworld.com/product/alacabenzi-strain-mushrooms/" rel="dofollow">Alacabenzi Strain Mushrooms</a>
35) <a href="https://k2spicesprayworld.com/product/albino-a+-mushrooms/" rel="dofollow">Albino A+ Mushrooms</a>
36) <a href="https://k2spicesprayworld.com/product/magic-mushrooms/" rel="dofollow">Magic Mushrooms</a>
37) <a href="https://k2spicesprayworld.com/product/buy-changa-dmt-online/" rel="dofollow">Buy changa DMT Online</a>
38) <a href="https://k2spicesprayworld.com/product/4-aco-dmt/" rel="dofollow">4-ACO-DMT</a>
Here are some of our Whole Melt Extract products:
1. <a href="https://wholemeltextracts.online/product/blue-nerdz-hash-rosin/" rel="dofollow">Blue Nerdz Hash Rosin</a>
2. <a href="https://wholemeltextracts.online/product/candy-apple-fritter/" rel="dofollow">Candy Apple Fritter</a>
3. <a href="https://wholemeltextracts.online/product/whole-melt-extracts-50-50s/" rel="dofollow">Whole Melt Extracts 50/50s</a>
4. <a href="https://wholemeltextracts.online/product/whole-melt-extracts-badder/" rel="dofollow">Whole Melt Extracts Badder</a>
5. <a href="https://k2spicesprayworld.com/product/grand-daddy-purple-shatter/" rel="dofollow">Grand Daddy Purple Shatter</a>
Here are some of our Herbal Incense Products
i. <a href="https://herbalempire.online/product/24k-california-chronic/" rel="dofollow">24K california chronic</a>
ii. <a href="https://herbalempire.online/product/bizarro-10g-herbal-incense/" rel="dofollow">Bizzaro 10g herbal incense</a>
iii. <a href="https://herbalempire.online/product/black-lion-4g/" rel="dofollow">Black lion 4g</a>
iv. <a href="https://herbalempire.online/product/dead-man-walking-8g/" rel="dofollow">Dead man walking 8g</a>
v. <a href="https://herbalempire.online/product/diablo-k2-incense/" rel="dofollow">Diablo k2 incense</a>
Und ja, man kann beliebig viele davon in Betrieb nehmen. Aktuell rennen hier sechs Instanzen pro VLAN.
sehr interessante/r Artikel.
Wir betreiben ein ähnliches Netz wie du es beschreibst und stehen vor ähnlichen Problemen.
Stellt der parpd dann nicht auch wieder einen single-point-of failure dar (lässt sich der proxy redundant aufbauen)?
Wie sind deine (langzeit-)Erfahrung mit der Software?
"The configuration is contains outmost options as well as a cache and an interface section."
Da fehlt etwas, oder das "is" ist zuviel.
7 Kommentare