Zugschlusbeobachtungen

Um 0530 klingelt der Wecker, um ein remote Update einer Kundenfirewall vorzunehmen. Ich hab die Prozedur in den letzten Wochen oft genug gemacht, um mir das Update remote zuzutrauen. Einloggen, script hochscp'en, starten, warten. So weit so gut.

Dann das 2.6 Kernel-Image installiert, lvm2 und module-init-tools nicht vergessen, grub geprüft, geschaut ob 8021q, tg3 und e1000 auch wirklich installiert und qua /etc/modules auch wirklich geladen werden, und schliesslich shutdown -r now. Warten. Warten. Warten. Mist! Kiste kommt nicht wieder hoch. Serielle Konsole gibt es zwar, ist aber nur aus dem LAN erreichbar, das von aussen nur sichtbar ist, wenn die Firewall tut.

Also, ab zum Kunden, am Sicherheitsdienst vorbei, knapp 50 Minuten nach dem Shutdown-Kommando bin ich endlich an der Konsole. Weitere fünf Minuten später habe ich den undokumentierten KVM-Switch so eingestellt, dass ich auch wirklich das sehe, was der Linux-Rechner auf seinen Bildschirm malt. Ergebnis 1: das iproute2 aus sarge will die fwmark-Werte nicht mehr wie das aus woody in Hex, sondern Dezimal. Mist! Schnell geändert. Internetzugang da. Reboot. tcpdump auf dem Interface, das zum Officenetz zeigt. Traffic, aber wenig. Gut, das mag um diese frühe Zeit möglich sein. Kurz an die Managementstation getappt. Hm. Wo ist das Internet? Egal, wo es ist: Hier ist es nicht. Nochmal zurück zur Firewall, nochmal tcpdump. Hm.

Jede Menge ARP-Requests auf dem zum Office-Netz zeigenden dot1q-Interface, aber keine Antwort von der lokalen Kiste. Da wird doch wohl nicht etwa dot1q kaputt sein? Nein, das kann nicht sein, auf dem zum Internet zeigenden Interface fahren wir auch dot1q und das geht. Wo ist der Unterschied? Richtig: Das Internet hängt an der im PCI-Slot des DL140 steckenden Ethernet-Karte (e1000), das Office-Netz am On-Board Tigon3. Seltsam. Also nochmal 2.4 booten. Office-VLAN funktioniert. Bittewas?

Im Montagmorgenkoma mutmaße ich: tg3 mit dot1q unter 2.6 broken. Oder was kann das noch anderes sein?