Serveur dédié bloqué pour flood DHCPv6 sortant
-
Bonjour,
J'ai actuellement un serveur dédié chez OneProvider sur lequel j'ai installé un serveur ESXi.
Sur cette ESXi, j'ai 3 VMs :- PFSense qui me sert de serveur DHCP et passerelle pour l'accès à internet aux autres VMs
- Une VM sous Windows 10
- Une VM sous LinuxMint
- Un serveur web et MediaWiki sous Debian 10
Mon installation telle que décrit ci-dessus fonctionne parfaitement depuis plusieurs mois. La seule nouveauté est mon serveur Web sous Debian 10 qui est installé depuis 2 ou 3 semaines.
Sauf que depuis 3 jours, OneProvider me désactive régulièrement mon serveur ESXi pour "flood DHCPv6 sortant".
J'ai pu récupérer la main hier soir et depuis ce matin, j'ai tenté de comprendre d'où venait ce flood mais depuis une heure OneProvider m'a de nouveau coupé les accès.Ce que j'ai eu le temps de faire quand j'ai pu récupérer la main sur mon ESXi :
- Dans le doute, j'ai de suite éteint mon serveur Web étant le dernier serveur que j'ai installé et pensant que le souci venait de là.
- Dans PFsense j'ai désactivé le protocole DHCP V6.
Je n'ai malheureusement pas pu aller plus loin et apparemment ces 2 changements n'ont pas permis de régler le souci.
Je ne sais pas par où prendre le problème et surtout comment le régler en sachant que OneProvider ne me donne aucune infos supplémentaire à part me dire :
"Le serveur a été lock pour flood DHCPv6 sortant.
Vous avez possiblement mal configuré votre service IPv6, celle-ci a peut-être envoyé plusieurs requête à notre serveur DHCP et cela sans cesse."Auriez-vous une idée pour me donner un coup de main ?
Merci de votre aide
-
Le sujet est presque bien présenté :
- 3 VM ? : la liste en contient 4 !
- aucune règle ni aucun réglage de pfSense indiqué !
- aucune info sur la virtualisation (a minima, l'ESXi doit avoir 2 vswitchs)
(Mon impression : vous ne maitrisez pas tout, mais vous essayez ! Pensez simple, procédez étape par étape, ...)
Avec 4 VM, faut-il activer DHCP en interne ? Je ne pense pas ! C'est d'ailleurs plus sûr pour écrire des règles de NAT !
Activer IP v6 (tant pour ESXi que pfSense) ? La règle est SIMPLE : on active uniquement ce qui est utile !
Si vous n'avez pas besoin d'IP v6, alors ne l'activez pas ! Ca n'est pas plus simple ?
(Je ne suis pas assez connaisseur d'IP v6, mais comment s'effectue le NAT dans IP v6 ?)
Je commencerai par désactiver IP v6 sur pfSense, sur toutes les VM et ... sur ESXi !!
-
Bonjour @jdh et merci de ton retour.
Effectivement, je me suis trompé, il y a 4 VMs et pas 3.
Pour la config de l'ESXi, j'aimerais bien être plus précis mais comme je l'ai expliqué dans mon message initial, je n'ai pas accès à mon serveur dédié pour le moment, j'attend qu'on me rende la main.
Donc sans accès, je ne peux détailler mes vswitchs ni la configuration de mon PFSense...
C'était pourtant écrit ;)
Merci en tout cas et dès que j'aurais récupéré la main, je vais désactiver ça, c'est effectivement, je pense, une bonne approche.Merci
-
Un schéma 'normal' est basé sur un ESXi a 2 vswitchs WAN et LAN. Le vswitch LAN est interne et destiné aux VM internes. WAN est destiné à l'ESXI et la patte WAN du pfSense. Seules ces 2 machines peuvent faire des requêtes IP v6, d'ailleurs inutiles vraisemblablement.
Les VM internes doivent avoir aussi IP v6 désactivé.
Pour Debian, suivre https://www.memoinfo.fr/tutoriels-linux/desactiver-ipv6-sur-debian/ (modif de /etc/sysctl.conf et rechargement par 'sysctl -p').