Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Question : réseaux indisponible après quelque commandes sur vm (proxmox)

    Scheduled Pinned Locked Moved Français
    4 Posts 3 Posters 1.5k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • G
      Gannon
      last edited by

      Bonjour,

      J’aurais quelques questions sur pfsense, mais auparavant un peu de contexte :
      Je loue un serveur dédié sur lequel j’ai installé un proxmox 4.2 et je dispose que d’une seule IP public.
      Tout ce qui arrive sur vmbr0 (qui est un pont sur eth0) est redirigé sur vmbr1 grâce à des iptables sauf quelques ports (le 8006 notamment …). Sur vmbr1 vient aussi se greffer la pâte WAN du pfsense.
      La pâte LAN du pfsense est quant à elle sur vmbr2.

      J’ai donc un réseau virtuel qui est comme ceci :
      IP publique
      |
      vmbr0 (pont sur eth0)
      |
      Interface du proxmox sur vmbr1
      IP : 10.0.0.1
      Masque : 255.255.255.252 (/30)
      |
      Interface du pfsense (WAN) sur vmbr1
      IP : 10.0.0.2
      Masque : 255.255.255.252 (/30)
      Gw : 10.0.0.1
      |
      Interface du pfsense sur vmbr2
      IP : 192.168.1.1
      Masque : 255.255.255.0 (/24)
      |
      Les VMs sur le réseau 192.168.1.0 /24 où le DHCP est activé et fourni en même temps la passerelle.

      Ma première question est là suivante :
      Pfsense dispose-t-il d’un mécanisme activé par défaut permettant de bloquer une machine qui demande trop de « ressources réseau » ?

      Je m’explique.
      Bien que j’ai des pb pour l’installation des VMs (j’en parle après), on va considérer que j’ai deux vm :
      VM1 192.168.1.2 /24
      VM2 192.168.1.3 /24

      Sur VM1 tout fonctionne.
      Mais sur VM2 après avoir exécuté quelques commendes nécessitantes des « ressources réseaux » comme une mise à jours de la distribution plus l’installation de quelques paquets … Je n’ai plus du tout accès au réseau WAN. Traceroute me montre bien que j’arrive à aller jusqu’au pfsense mais celui-ci ne me transfère pas sur le WAN (impossible de ping la 10.0.0.2 par exemple)
      Et chose pour le moins surprenant, c’est que quand je retourne sur VM1 : je n’ai aucun problème (traceroute va bien jusqu’à ma destination en passant bien par le LAN, mon WAN interne et le WAN externe).

      J’ai beau chercher, je ne trouve pas d’où peut venir le problème.
      Sauriez-vous d’où cela peut venir ?

      Remarque : Je n’ai pas trouvé mieux que « ressources réseaux » comme terme puisque, ce ne peut pas être la bande passante puisque le téléchargement d’un iso entier fonctionne corectement. Je dirais du coup plus « un certain nombre de requêtes » mais …

      Ma deuxième question concerne l’installation d’une VM au sein du réseau 192.168.1.0/24 :
      Je pense que ce problème est lié avec mon premier problème.
      Lors de l’installation d’une VM, mon installation reste bloquée à l’analyse du miroir et me dit que le miroir ne dispose pas de l’OS voulu et ce quel que soit le miroir choisi.
      Or en changeant de … tty (je ne sais plus le nom exact …) j’ai bien une adresse ip et je « ping » bien l’adresse 192.168.1.1.
      Etant en cours d’installation je n’ai pas encore les utilitaires tels que traceroute.

      Merci par avance de votre aide.

      1 Reply Last reply Reply Quote 0
      • J
        jdh
        last edited by

        Vous vous êtes inscrit sur le forum. Ok.
        Mais avez vous lu les fils en haut du forum, en particulier 'A LIRE EN PREMIER' ?
        Certains, dont moi, recommande d'utiliser le formulaire pour ordonner les infos … Merci d'y penser

        Tout ce qui arrive sur vmbr0 (qui est un pont sur eth0) est redirigé sur vmbr1 grâce à des iptables sauf quelques ports (le 8006 notamment …). Sur vmbr1 vient aussi se greffer la pâte WAN du pfsense.
        La pâte LAN du pfsense est quant à elle sur vmbr2.

        NON !

        Si vous mettez en place un firewall (en VM), ce n'est pas pour transférer du trafic sans passer par le firewall !!!
        Cantonnez vous à un filtrage iptables en 'INPUT' (sur vmbr0)

        Attention à corriger vmbr0, vmbr1, vmbr2 : il y en a un de trop !
        Il aurait été meilleur d'appeler vos ponts 'brWAN' et 'brLAN' ! (Cela peut aider …)

        Pfsense dispose-t-il d’un mécanisme activé par défaut permettant de bloquer une machine qui demande trop de « ressources réseau » ?

        Non.

        Etes vous certain de vos réglages propres (ip, masque, gateway, dns) pour chaque VM ? (Vu le nombre, vous n'avez peut-être pas besoin de DHCP !)

        Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

        1 Reply Last reply Reply Quote 0
        • G
          Gannon
          last edited by

          Bonjour,

          Merci de m’avoir répondu.
          Pour le formulaire : mea-culpa, merci d’avoir prit le temps de lire mon charabia quand même.

          Concertant mon architecture… comment dire … C’est vrai qu'elle me paraît « bizarre » mais plusieurs personnes m'ont dit qu'il fallait faire comme cela (ou alors c'est moi qui est mal compris ce qu'ils m'ont dit).
          Or si j'ai bien compris ce que vous dites, cela ressemblera plus à ce que j'avais en tête au début.

          En gros l'architecture ressemblerait plus à cela :

          IP publique
          |
          vmrb0 (pont sur eth0) interface WAN de PFsense
          |
          Pfsense (qui à du coup l'ip public)
          |
          vmbr1 (interface LAN du pfsense)
          |
          Le lan avec les VM + une IP pour le proxmox.

          On pourrait à la limite mettre le proxmox sur un autre réseau que les VM.

          Jusqu’à là j'ai bon où j'ai encore rien compris ?  ???

          J'ai quand même un doute  … par se que dans chaque tuto ou  article que je trouve, à chaque fois il utilise des iptables pour transférer le trafic au pfsense or là, pour moi il n'y en a pas besoin.  :-\

          Merci encore pour l'aide (et le temps passé).

          1 Reply Last reply Reply Quote 0
          • B
            baalserv
            last edited by

            Bonsoir

            Bien pensser à désactivé les "hardware … offloading" dans System | Advanced | Networking

            Vous pouvez aussi utilisé les drivers réseau virtio (dans les configs réseau de la VM) , ils fonctionnent nativement avec pf  ;)

            Si la connerie humaine fournissait de l'énergie, la Terre serait sauvée …

            1 Reply Last reply Reply Quote 0
            • First post
              Last post
            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.