Mit einem mal verschwinden völlig unmotiviert die virtuellen Maschinen und sind von außen nicht mehr zu sehen - und das obwohl sie wunderbar weiterleben! Scheint so eine Art "Stealth-Mode" zu sein
Ich habe hier 3 Hosts mit dazugehörigen separaten Subnetzen. Es sind jeweils 3 oder 4 virtuellen Maschienen am Laufen. Host OS sind SUSE 9.1. und SUSE 9.3. Die Gastsysteme variieren zwischen SUSE 8.2., SUSE 9.1 und SUSE 10.1. Die IPs der Guests sind per Rechenzentrum auf die jeweiligen HOSTS geroutet. Die Hosts dienen mittels virtueller Netzwerkkarte und Firewall-Routing als Gateway zu den Subnetzen der virtuellen Maschinen. Virtuelle Maschinen sind ebenfalls durch Firewalls (übrigens SUSEFirewall) geschützt.
Folgende Punkte hab ich bisher zusammentragen können:
Erste Symptome
- Man kann sich von außen plötzlich per SSH nicht mehr einloggen. Putty wartet sehr lange bis zum TimeOut.
- Mitten beim Arbeiten auf dem Server (SSH) reißt die Verbindung ab
- alle ssh-sessions zu einem Server brechen aufeinmal weg
- Es betrifft nicht zwingend alle virtuellen Rechner im Subnetz
- die VM-Server brechen unabhängig von einander weg
- "Ausfall"/Nichterreichbarkeit in Intervallen von 5 min bis 10 Std
- Login von anderen VMs aus anderen Subnetzen geht nicht.
Was auch nicht mehr funktioniert
- ein Samba Mount zum Fileserver (in einem andere Subnetz) geht verloren
- Apache und Tomcat sind nicht erreichbar
- Mail ist nicht erreichbar
Was funktioniert
- Man kann sich auf im gleichen Subnetz noch laufenden VMs einloggen (SSH) und dann quer auf der unsichtbaren VM.
- Man kann sich alternativ auch über die VM-Console einloggen
- ein SSH auf localhost geht über die VM-Console
- Ping und traceroute geht durch (in beide Richtungen)
Workarounds
- Nach einem "Quer-Login" ist der Rechner manchmal von außen wieder sichtbar
- Nach einem rcnetwork restart oder einem reboot ist der Rechner ebenfalls wieder sichtbar
- Portscan (nmap) "weckt" VMs teilweise auf
Maßnahmen
- PowersaveDaemon ist in VM spaßeshalber mal deinstalliert
- jungfräuliche VM neu installiert
Weitere Beobachtungen
- VMs die jetzt seit 3 Wochen spinnen und im 5 Minuten Takt weg waren, laufen plötzlich seit 5 Tagen stabil - ohne daß an ihnen etwas gemacht wurde ...
- Es betrifft auch ganz frisch installierte VMs
- Es betrifft SuSE 8.2, 9.1, 10.1 VM-Systeme
- Es betrifft sowohl VMware Workstation 4.5.x als auch VMware Server 1.0.1
- VMware Workstation Maschinen sind Jahre stabil gelaufen! Keine Veränderung!
- SSH-Login von Linux aus auf eine unsichtbare VM liefert "ssh_exchange_identification: read: Connection reset by peer"
- bei einem rcnetwork restart ist die vm scheinbar länger sichtbar als bei einem Aufwecken durch den Portscan
Analysen
- Portscan auf die gerade laufende VM ist ok (2 offene Ports (22, 111) )
- Portscan auf eine "verstecke" Maschine zeigt teilweise (unregelmäßig!) knapp 3000 offene Ports an
- arp Tests auf die IPs im normalen und im "Stealth-Mode" weisen die gleiche MAC Adresse auf bzw. kann von außen gar nicht aufgelöst werden.
- VM: Log-Files warn, messages weisen keine besonderen Einträge auf
- VM: Im Firewall-Log gibt es diverse SFW2-INext-DROP-DEFLT Einträge (was heisst das?)
- Host: Log-Files warn, messages weisen keine besonderen Einträge auf
- Host: Im Firewall-Log gibt es auch einige SFW2-INext-DROP-DEFLT Einträge und auch SFW2-FWDext-DROP-DEFLT-INV (was heisst das?)
Hat jemand schonmal so etwas erlebt und hat einen guten Tipp, woran das liegen könnte?! Das wäre super klasse!!
Ich bin hier langsam am Ende mit Latein und Nerven ...
Vielen Dank für Hilfe und beste Grüße
Fats