Capture Tunnel Traffic

[JohnF]

Η τοπολογία είναι αυτή που φαίνεται στο συννημένο. Μεταξύ των router 1 και router 3 έχει στηθεί ένα 6to4 tunnel. To δίκτυο είναι virtual και έχει φταιχτεί με software GNS3 και Vmware. Oι router είναι της σειράς 3200. Η ερώτηση που θέλω να κάνω είναι η εξής πως μπορώ να κάνω capture την κίνηση που περνάει μέσα από τα tunnel interfaces. ¨Οταν πατάω capture στο serial link το wireshark δεν βλέπει τα πακέτα που περνάνε από το tunnel interface . Kαμιά βοήθεια???

[karavagos]

Μήπως δεν βλέπεις τα πακέτα επειδή είναι κρυμμένα κάτω από πολλά layers?
Μπορείς να ανεβάσεις ένα capture?
Υποθέτω ότι στέλνεις κάποια κίνηση από πάνω.

[JohnF]

Πίσω από το R1 έχω ένα Ιpv6 ftp server. Δουλεύει κανονικά καθώς όταν κάνω capture στο fast ethernet βλέπει όλα τα IPv6 πακέτα ( όχι 6το4 καθώς έχει γίνει το decapsulation). Eγώ θέλω να δω όμως τα 6το4 που περνάνε από το tunnel interface. Aκόμα ένα περίεργο. Βλέπει μόνο UDP κίνηση και όχι ΤCP!! Εννοώ ότι ενώ τα πακέτα στο wireshark φαίνονται tcp μετά σε κάποια statistics δεν βλέπω πουθενά ΤCP παρα μόνο UDP! Eίναι αρκετά μεγάλα τα capture αρχεία. Να σου στείλω κάποιο screenshot? Eυχαριστώ για την απάντηση

........Auto merged post: JohnF πρόσθεσε 5 λεπτά και 55 δευτερόλεπτα αργότερα ........

Μήπως δεν βλέπεις τα πακέτα επειδή είναι κρυμμένα κάτω από πολλά layers?
.

Δεν είναι κάτι τέτοιο. Στο wireshark φαίνονται μόνο κάποια OSPF πακέτα και κάποια Icmp ενώ το ftp δουλέυει κανονικά.

[SfH]

Eγώ θέλω να δω όμως τα 6το4 που περνάνε από το tunnel interface. Aκόμα ένα περίεργο. Βλέπει μόνο UDP κίνηση και όχι ΤCP!! Εννοώ ότι ενώ τα πακέτα στο wireshark φαίνονται tcp μετά σε κάποια statistics δεν βλέπω πουθενά ΤCP παρα μόνο UDP!

Στο 6to4 τα ipv6 πακέτα γίνονται encapsulate σε ipv4 udp πακέτα αν θυμάμαι καλά.

[JohnF]

Παιδιά τα IPv6 πακέτα δρομολογούνται μέσω του tunnel interface. Στο GNS3 όταν κάνω capture μου δίνει επιλογή μόνο για το serial. Για αυτό λογικά δεν τα βλέπει. Υπάρχει τρόπος να κάνω capture το tunnel interface?? Μήπως μπορώ να κάνω export τα στατιστικά μέσω snmp? Kάποια εφαρμογή και εντολές για να το ενεργοποιήσω στο router?

[SfH]

Μπερδεύτικα ( έχει γίνει και το κεφάλι μου ολίγον καζάνι από τη δουλειά ) Τι ακριβώς θες να δεις ?

Αυτό που βλέπεις , εφόσον βλέπεις μόνο udp , λογικά είναι το πλήρως encapsulated 6to4.

Εάν θες στατιστικά μπορείς να παίξεις και με snmp και με netflow , ανάλογα τις ανάγκες σου.

[karavagos]

Πίσω από το R1 έχω ένα Ιpv6 ftp server. Δουλεύει κανονικά καθώς όταν κάνω capture στο fast ethernet βλέπει όλα τα IPv6 πακέτα ( όχι 6το4 καθώς έχει γίνει το decapsulation). Eγώ θέλω να δω όμως τα 6το4 που περνάνε από το tunnel interface. Aκόμα ένα περίεργο. Βλέπει μόνο UDP κίνηση και όχι ΤCP!! Εννοώ ότι ενώ τα πακέτα στο wireshark φαίνονται tcp μετά σε κάποια statistics δεν βλέπω πουθενά ΤCP παρα μόνο UDP! Eίναι αρκετά μεγάλα τα capture αρχεία. Να σου στείλω κάποιο screenshot? Eυχαριστώ για την απάντηση

........Auto merged post: JohnF πρόσθεσε 5 λεπτά και 55 δευτερόλεπτα αργότερα ........



Δεν είναι κάτι τέτοιο. Στο wireshark φαίνονται μόνο κάποια OSPF πακέτα και κάποια Icmp ενώ το ftp δουλέυει κανονικά.

Ανέβασε κάποιο screenshot που να δείχνει κυρίως τα packet details. Δοκίμασε να κάνεις capture και ένα ipv6 icmp.
Κανονικά το wireshark θα έπρεπε να σου δείχνει το ανώτερο πρωτόκολλο στο packet list και όλα τα πρωτόκολλα στο packet details (π.χ. Ethernet/PPP/HDLC=>IP=>IPv6=>TCP)
Πάντα υποθέτοντας ότι το capture του GNS3 δουλεύει όπως αυτό του dynamips και δεν έχει κάποιο περίεργο bug.

btw, το 6to4 χρησιμοποιεί το δικό του πρωτόκολλο

[JohnF]

Στο ethernet interface του router 1 φαίνονται κανονικά τα πακέτα. (ΙPv6 , καθώς η ενθυλάκωση γίνεται στο tunnel interface) στο serial τίποτα!!!

[karavagos]

Μπορείς να ανεβάσεις τα configurations?

[JohnF]

Βεβαίως και ευχαριστώ για τον χρόνο που αφιερώνεις για να βοηθήσεις.

ROUTER1

Κώδικας:

!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname ROUTER1
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
memory-size iomem 5
ip subnet-zero
ip cef
!
!
!
!
no ip domain lookup
!
ipv6 unicast-routing
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
! 
!
!
!
!
interface Tunnel0
 no ip address
 no ip redirects
 ipv6 address 2002:AC10:C01:1::1/64
 tunnel source Serial0/0
 tunnel mode ipv6ip 6to4
!
interface Loopback0
 no ip address
 shutdown
!
interface FastEthernet0/0
 ip address 10.1.1.1 255.255.255.0
 duplex auto
 speed auto
 ipv6 address FEC0::1:1/112
!
interface Serial0/0
 ip address 172.16.12.1 255.255.255.0
 clock rate 64000
!
interface FastEthernet0/1
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface Serial0/1
 no ip address
 shutdown
 clock rate 2000000
!
router ospf 1
 log-adjacency-changes
 network 10.1.1.0 0.0.0.255 area 0
 network 172.16.12.0 0.0.0.255 area 0
!
ip classless
!
!
ip http server
no ip http secure-server
!
ipv6 route 2002::/16 Tunnel0
ipv6 route FEC0::3:0/112 2002:AC10:1703:1::3
!
!
!
!
control-plane
!
!
!
!
!
!
!
!
!
!
line con 0
 logging synchronous
line aux 0
line vty 0
 password cisco
 login
line vty 1 4
 login
!
!
end

ROUTER 2

Κώδικας:

!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname ROUTER2
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
memory-size iomem 5
ip subnet-zero
ip cef
!
!
!
!
no ip domain lookup
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
! 
!
!
!
!
interface Loopback0
 ip address 10.1.2.1 255.255.255.0
!
interface FastEthernet0/0
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface Serial0/0
 ip address 172.16.12.2 255.255.255.0
 clock rate 2000000
!
interface FastEthernet0/1
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface Serial0/1
 ip address 172.16.23.2 255.255.255.0
 clock rate 2000000
!
interface Serial0/2
 no ip address
 shutdown
 clock rate 2000000
!
interface Serial0/3
 no ip address
 shutdown
 clock rate 2000000
!
router ospf 1
 log-adjacency-changes
 network 10.1.2.0 0.0.0.255 area 0
 network 172.16.12.0 0.0.0.255 area 0
 network 172.16.23.0 0.0.0.255 area 0
!
ip classless
!
!
ip http server
no ip http secure-server
!
!
!
!
!
control-plane
!
!
!
!
!
!
!
!
!
!
line con 0
 logging synchronous
line aux 0
line vty 0 4
 login
!
!
end

ROUTER3

Κώδικας:

!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname ROUTER3
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
memory-size iomem 5
ip subnet-zero
ip cef
!
!
!
!
no ip domain lookup
!
ipv6 unicast-routing
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
! 
!
!
!
!
interface Tunnel0
 no ip address
 no ip redirects
 ipv6 address 2002:AC10:1703:1::3/64
 tunnel source Serial0/0
 tunnel mode ipv6ip 6to4
!
interface Loopback0
 no ip address
 shutdown
!
interface FastEthernet0/0
 ip address 10.1.3.1 255.255.255.0
 duplex auto
 speed auto
 ipv6 address FEC0::3:1/112
!
interface Serial0/0
 ip address 172.16.23.3 255.255.255.0
 clock rate 2000000
!
interface FastEthernet0/1
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface Serial0/1
 no ip address
 shutdown
 clock rate 2000000
!
router ospf 1
 log-adjacency-changes
 network 10.1.3.0 0.0.0.255 area 0
 network 172.16.23.0 0.0.0.255 area 0
!
ip classless
!
!
ip http server
no ip http secure-server
!
ipv6 route 2002::/16 Tunnel0
ipv6 route FEC0::1:0/112 2002:AC10:C01:1::1
!
!
!
!
control-plane
!
!
!
!
!
!
!
!
!
!
line con 0
 logging synchronous
line aux 0
line vty 0 4
 login
!
!
end

[karavagos]

Δεν βλέπω κάτι περίεργο. Υπάρχει περίπτωση client και server να επικοινωνούν μέσω άλλης σύνδεσης?

To capture το κάνεις στο S0/0 του R1?
Δοκίμασε να κάνεις capture σε αυτό, καθώς εκτελείς ένα "ping FEC0::3:1 source FEC0::1:1" στον R1.

Επίσης σιγουρέψου ότι δεν τρέχει άλλο capture ταυτόχρονα που να γράφει στο ίδιο αρχείο.

Σαν τελευταία εναλλακτική, δοκίμασε να βάλεις "no ip route-cache" σε ένα serial του R2 και ενεργοποίησε το "debug ip packet det". Λογικά θα δεις και εκεί κάποιο output με πρωτόκολλο 41.

[JohnF]

Σαν τελευταία εναλλακτική, δοκίμασε να βάλεις "no ip route-cache" σε ένα serial του R2 και ενεργοποίησε το "debug ip packet det". Λογικά θα δεις και εκεί κάποιο output με πρωτόκολλο 41.

Σε ευχαριστώ πολύ. Όντως στον router φαίνεται traffic με protocol 41, το οποίο όμως δεν φαίνεται στο wireshark ώστε να κάνω κάποιες μετρήσεις. Για να μην ανοίξω άλλο thread μήπως γνωρίζεις κάποια ΙPv6 Streaming Serve-Client εφαρμογή να στήσω στα virtual machines να κάνω εκεί κάποιες μετρήσεις? Δοκίμασα ανεπιτυχώς με VLC.

[karavagos]

Περιέργως, εμένα με το vlc μου δουλεύει οκ το ipv6. Δεν ξέρω αν υπάρχει διαφορά, επειδή server και client δεν είναι vm. Με ipv4 σου δουλεύει οκ?
Δυστυχώς άλλη εφαρμογή δεν έχω υπόψιν.

Επειδή βλέπω ότι αναφέρεις μετρήσεις, μην ελπίζεις για πολλά στο emulator.

[JohnF]

Περιέργως, εμένα με το vlc μου δουλεύει οκ το ipv6. Δεν ξέρω αν υπάρχει διαφορά, επειδή server και client δεν είναι vm. Με ipv4 σου δουλεύει οκ?
Δυστυχώς άλλη εφαρμογή δεν έχω υπόψιν.

Επειδή βλέπω ότι αναφέρεις μετρήσεις, μην ελπίζεις για πολλά στο emulator.

Σε IPv4 πήγα να βάλω το VLC το 1.0.5. Πάω Media->Streaming του δίνω το path για το mpeg αρχείο. Στην συνέχεια στο tab Network του βάζω πρωτόκολλο udp και την IPv4 διεύθυνση του server (10.1.1.2 - port:1234). Στην συνέχεια stream και με βγάζει στο παράθυρο με τα εξής :
udp://@10.1.1.2:1234
στην συνέχεια πατάω next μου βγάζει το παράθυρο που φαίνεται στην εικόνα
Πατάω stream τίποτα. Πάω στον client "Ανοιγμα ροής δικτύου" πάλι τίποτα. Κάτι κάνω λάθος στο configuration.

Σχετικά με τα emulator το ξέρω ότι δεν είναι να βασίζεσαι και πολύ γιατί δεν είναι ιδιαίτερα αντικειμενικά τα συμπεράσματα που βγαίνουν. Έχω μπλέξει με μια πτυχιακή και επειδή ο καθηγητής μου ούτε που ξέρει τι ζητάει, κάθομαι και βγάζω σενάρια μόνος μου γιατί αυτός δεν βοηθάει καθόλου.

Τώρα από συμπεράσματα είναι να βάζεις τα γέλια. Φαντάσου στο σεναάριο με το ftp, όταν χρησιμοποιώ το IPv4 έχει πολλά TCP Retransmissions. Για ένα αρχείο 190ΜB περνάει από το δίκτυο κίνηση 300ΜΒ (δεν έχω βάλει άλλου είδους κίνηση από πάνω, όλα αυτά ftp-data) και κάνει 6 λεπτά. Ενώ όταν χρησιμοποιώ 6to4 όλα είναι λογικά. Ούτε retransimmision , κίνηση 200ΜΒ και μεταφορά του αρχείου σε 50sec. Το λογικό δεν θα ήταν το 6to4 να προσέθετε περισσότερο overhead στο δίκτυο? Αντιθέτως χάνει πακέτα όταν παίζει IPv4. Koίτα να δεις που θα βγει το 6to4 το no1 πρωτόκολλο σε περιβάλλον congestion...