Question : réseaux indisponible après quelque commandes sur vm (proxmox)



  • Bonjour,

    J’aurais quelques questions sur pfsense, mais auparavant un peu de contexte :
    Je loue un serveur dédié sur lequel j’ai installé un proxmox 4.2 et je dispose que d’une seule IP public.
    Tout ce qui arrive sur vmbr0 (qui est un pont sur eth0) est redirigé sur vmbr1 grâce à des iptables sauf quelques ports (le 8006 notamment …). Sur vmbr1 vient aussi se greffer la pâte WAN du pfsense.
    La pâte LAN du pfsense est quant à elle sur vmbr2.

    J’ai donc un réseau virtuel qui est comme ceci :
    IP publique
    |
    vmbr0 (pont sur eth0)
    |
    Interface du proxmox sur vmbr1
    IP : 10.0.0.1
    Masque : 255.255.255.252 (/30)
    |
    Interface du pfsense (WAN) sur vmbr1
    IP : 10.0.0.2
    Masque : 255.255.255.252 (/30)
    Gw : 10.0.0.1
    |
    Interface du pfsense sur vmbr2
    IP : 192.168.1.1
    Masque : 255.255.255.0 (/24)
    |
    Les VMs sur le réseau 192.168.1.0 /24 où le DHCP est activé et fourni en même temps la passerelle.

    Ma première question est là suivante :
    Pfsense dispose-t-il d’un mécanisme activé par défaut permettant de bloquer une machine qui demande trop de « ressources réseau » ?

    Je m’explique.
    Bien que j’ai des pb pour l’installation des VMs (j’en parle après), on va considérer que j’ai deux vm :
    VM1 192.168.1.2 /24
    VM2 192.168.1.3 /24

    Sur VM1 tout fonctionne.
    Mais sur VM2 après avoir exécuté quelques commendes nécessitantes des « ressources réseaux » comme une mise à jours de la distribution plus l’installation de quelques paquets … Je n’ai plus du tout accès au réseau WAN. Traceroute me montre bien que j’arrive à aller jusqu’au pfsense mais celui-ci ne me transfère pas sur le WAN (impossible de ping la 10.0.0.2 par exemple)
    Et chose pour le moins surprenant, c’est que quand je retourne sur VM1 : je n’ai aucun problème (traceroute va bien jusqu’à ma destination en passant bien par le LAN, mon WAN interne et le WAN externe).

    J’ai beau chercher, je ne trouve pas d’où peut venir le problème.
    Sauriez-vous d’où cela peut venir ?

    Remarque : Je n’ai pas trouvé mieux que « ressources réseaux » comme terme puisque, ce ne peut pas être la bande passante puisque le téléchargement d’un iso entier fonctionne corectement. Je dirais du coup plus « un certain nombre de requêtes » mais …

    Ma deuxième question concerne l’installation d’une VM au sein du réseau 192.168.1.0/24 :
    Je pense que ce problème est lié avec mon premier problème.
    Lors de l’installation d’une VM, mon installation reste bloquée à l’analyse du miroir et me dit que le miroir ne dispose pas de l’OS voulu et ce quel que soit le miroir choisi.
    Or en changeant de … tty (je ne sais plus le nom exact …) j’ai bien une adresse ip et je « ping » bien l’adresse 192.168.1.1.
    Etant en cours d’installation je n’ai pas encore les utilitaires tels que traceroute.

    Merci par avance de votre aide.



  • Vous vous êtes inscrit sur le forum. Ok.
    Mais avez vous lu les fils en haut du forum, en particulier 'A LIRE EN PREMIER' ?
    Certains, dont moi, recommande d'utiliser le formulaire pour ordonner les infos … Merci d'y penser

    Tout ce qui arrive sur vmbr0 (qui est un pont sur eth0) est redirigé sur vmbr1 grâce à des iptables sauf quelques ports (le 8006 notamment …). Sur vmbr1 vient aussi se greffer la pâte WAN du pfsense.
    La pâte LAN du pfsense est quant à elle sur vmbr2.

    NON !

    Si vous mettez en place un firewall (en VM), ce n'est pas pour transférer du trafic sans passer par le firewall !!!
    Cantonnez vous à un filtrage iptables en 'INPUT' (sur vmbr0)

    Attention à corriger vmbr0, vmbr1, vmbr2 : il y en a un de trop !
    Il aurait été meilleur d'appeler vos ponts 'brWAN' et 'brLAN' ! (Cela peut aider …)

    Pfsense dispose-t-il d’un mécanisme activé par défaut permettant de bloquer une machine qui demande trop de « ressources réseau » ?

    Non.

    Etes vous certain de vos réglages propres (ip, masque, gateway, dns) pour chaque VM ? (Vu le nombre, vous n'avez peut-être pas besoin de DHCP !)



  • Bonjour,

    Merci de m’avoir répondu.
    Pour le formulaire : mea-culpa, merci d’avoir prit le temps de lire mon charabia quand même.

    Concertant mon architecture… comment dire … C’est vrai qu'elle me paraît « bizarre » mais plusieurs personnes m'ont dit qu'il fallait faire comme cela (ou alors c'est moi qui est mal compris ce qu'ils m'ont dit).
    Or si j'ai bien compris ce que vous dites, cela ressemblera plus à ce que j'avais en tête au début.

    En gros l'architecture ressemblerait plus à cela :

    IP publique
    |
    vmrb0 (pont sur eth0) interface WAN de PFsense
    |
    Pfsense (qui à du coup l'ip public)
    |
    vmbr1 (interface LAN du pfsense)
    |
    Le lan avec les VM + une IP pour le proxmox.

    On pourrait à la limite mettre le proxmox sur un autre réseau que les VM.

    Jusqu’à là j'ai bon où j'ai encore rien compris ?  ???

    J'ai quand même un doute  … par se que dans chaque tuto ou  article que je trouve, à chaque fois il utilise des iptables pour transférer le trafic au pfsense or là, pour moi il n'y en a pas besoin.  :-\

    Merci encore pour l'aide (et le temps passé).



  • Bonsoir

    Bien pensser à désactivé les "hardware … offloading" dans System | Advanced | Networking

    Vous pouvez aussi utilisé les drivers réseau virtio (dans les configs réseau de la VM) , ils fonctionnent nativement avec pf  ;)


Log in to reply