Portweiterleitung auf IP-Alias tut ploetzlich nicht mehr

    Hallo zusammen,

    Vorstellungsthreads gibt es hier wohl nicht, daher komme ich gleich zu meinem Problem. ;)

    Mercury Appliance mit 2.2.1 (jaja, "aaalt", aber bisher tat es).

    Setup:
    simple, ein /24 innen ("Gruen") und ein /26 aussen ("Rot").
    Dazu noch ein paar IPsec Verbindungen, aber die sollten hier nichts zur Sache haben.

    Auf "Rot" sind neben der eigentlichen IP noch ein paar IP-Aliase angelegt.
    Aus c&p Gruenden hier mal der Output von 'ip addr list' (die ersten 2 Oktete anonymisiert):

    Code
    inet 12.34.246.5/26 brd 12.34.246.63 scope global eth4
    inet 12.34.246.53/26 brd 12.34.246.63 scope global secondary eth4
    inet 12.34.246.54/26 brd 12.34.246.63 scope global secondary eth4
    inet 12.34.246.33/26 brd 12.34.246.63 scope global secondary eth4
    inet 12.34.246.55/26 brd 12.34.246.63 scope global secondary eth4

    Ich wuerde ja eigentlich Aliase mit /32 anlegen - aber so habe ich dieses Setup "bekommen".

    Es gibt fuer die secondary jeweils mehrere Portweiterleitungen. Diese haben bisher
    auch alle funktioniert.
    Seit heute Mittag ergab es sich, dass die Weiterleitungen via .55 ploetzlich nicht
    mehr funktioniert haben.
    Vom Client aus gesehen.. "Operation timed out".

    Nach einigem hin&her hatte ich erst den Verdacht eines Overflows im conntrack,
    aber weder ein flush/reload von iptables noch ein Reboot (!) haben geholfen.

    Ich bin dann alle Regeln nochmal durchgegangen, kein logischer Fehler zu
    entdecken. Mir fiel dabei auf, dass NUR Weiterleitungen auf die .55 nicht
    funktionieren (auch nach dem Reboot).

    Just to be sure, habe ich alle Weiterleitungen auf .55 geloescht. Das Alias
    geloescht (alles via Webinterface). Die .55 neu angelegt (wieder mit /26)
    und EINE Weiterleitung angelegt.

    Kein Erfolg.

    If nothing helps, ask tcpdump. Habe ich getan. Es kommt NIX auf .55 an.
    Routing seitens ISP kann ich ausschliessen, alle IPs werden
    gleich angesprochen lt. traceroute. Man weiss ja nie, was so per Routing-Announcement
    durch die Gegend springt.

    Also..
    - es hat die letzten 100-120 Tage (uptime war auf jeden Fall ueber 100) funktioniert
    - es bleibt auf EINER secondary-IP ploetzlich stehen - sogar tcpdump sieht nichts mehr?!
    - restart does not help
    - reboot does not help

    Ich bin etwas ratlos. Die Suche nach '[aA]lias' hat nicht viel ergeben, bei "port-weiterleitung"
    bekam ich eine Meldung, dass dieses Suchwort "zu haeufig" vorkomme :roll:

    In TCP/IP bin ich nun wirklich nicht unerfahren (hab selber schon an kernel-filtering mitprogrammiert)
    aber DAS Phaenomen hab ich noch nie gesehen.

    Hat einer eine weiterfuehrende Idee?
    Software-Update? -> wieso hat's dann die letzten 100+Tage funktioniert & auch ein Reboot bringt nix (kmem/proc-exhaust..)

    Verzwicktes Thema - ich weiss, wuerde mich trotzdem auf Antworten oder Nachfragen freuen.
    Ich kann mich auch mehr als "rudimentaer" auf einem Linux (bzw Shell) bewegen ;)

    TIA,
    fips

    Also ich tipp da trotzdem auf ein Problem vom ISP bzw. Router.

    Hast du einmal versucht dich mit einem Rechner zwischen Router und Firewall zu hängen und die .55 zu pingen bzw. einen Dienst der Port-Weiterleitung zu erreichen.
    Eventuell brauchst halt am Rechner eine IP die derzeit als Alias zugewiesen ist. Dann musst sie halt an der Firewall rausnehmen.