XenServer 6.5 et pfsense 2.2 (2.0)

artik

Bonjour,
Contexte :
J'ai un serveur de virtualisation sous XenServer 6.5. Je sais que cela n'est pas conseillé, mais n'aillant pas de matériel a dédier à mon routeur et pour ma culture personnel je souhaiterai le virtualiser. Cette archi sert aussi de bac à sable de test pour mon entreprise.

Le ServerXen est derrière une box et récupère son adresse ip via un réglage dhcp static de la box. Le client ce trouve aussi sur le serveur et ce connecte via une deuxième interface.

Pour le moment les configurations sont basique, ip lan, gateway.

Besoin : Pour le moment, simplement donner accès à internet à mes machines virtuelle cliente.

Problème : Mes vm n’accèdent pas à internet.

ce qui semble fonctionner :

La carte réservé au wan récupère bien son ip via le dhcp de la box

les clients accède au lan et à l'interface web de configuration de Pfsense

Tests

Les clients arrivent à ping à l'extérieur et la résolution DNS semble fonctionner.

Je sais que virtualisé pf peut poser des problèmes. Si j'ai loupé des prérequis, je vous serait reconnaissent de m'indiquer lesquels.

Merci d'avance

baalserv

Bonjour,

Pour pouvoir vous aider il manque les adressages complet de wan et lan ainsi que les règles de fw

Les informations de configuration réseau de votre hyperviseur pourrons également nous aider à y voir plus clair. (physique et virtuel)

Nous n'avons rien contre des screenshots ^^

Florian22

Bonjour,

Merci de nous confirmer que ce problème n'est présent que sur la VM de pfsense par ailleurs.

si vous n'en avez pas la certitude, :

il serait bon d'avoir une petite VM a coté avec une debian de base, qui vous permettra de contre tester.

artik

aucune règle de firewall sauf les deux règles autorisée par défaut

pour la configuration ip :

box en 192.168.1.1 dhcp activé => carte giga (0) ( Wan) du server xen | dans le xen, le pf a deux interfaces virtuelles, une sur le wan en 192.168.1.17 donné par la box. l' autre sur la deuxième carte réseau (1) de xen réglé en static en 192.168.0.1.

j'espère que vous comprendrez mes explications  :-\

Mes machines virtuelles ont une interfaces sur la deuxième carte virtuelle (1) comme le lan du pfsense, je peux donc accéder à l'interface web.

J'ai branché mon pc portable sur la carte lan, et la au miracle j'ai internet !
J'ai confirmé avec un tracert :  pf 192.168.0.1 => box 192.168.1.1 puit out.

je suis retourné sur ma vm, idem, pas de net.

ce qui m'amène a dire que ma conf ip est bonne mais qu'il y a un problème de communication sur l'interface virtuelle du coté LAN.

Je vous fait un petit visio pour la conf

baalserv

Il semblerai donc que votre pb vienne plus de xen que de pf … Je vous suggère de soumettre votre cas sur un forum dédier Xen  ;)

artik

Pouvez-vous m'indiquer ou ce trouve la section ?

Vous ne voyez pas d'où cela peut provenir ?

baalserv

@artik:

Pouvez-vous m'indiquer ou ce trouve la section ?

Section de quoi ?
Désolé mais je ne ferai la recherche d'un forum dédier Xen à votre place  :o

@artik:

Vous ne voyez pas d'où cela peut provenir ?

Si j'avais eut une piste à suivre, je vous l'aurrai donner …

artik

je parlais de la section francaise de xen.

Sinon j'ai trouvé cette article, il parle d'un mode bridge

http://mywiredhouse.net/blog/pfsense-2-2-beta-works-xen/

Je pense que cela pourrait solutionner mon problème mais j'ai peur de ne pas tout comprendre.

Florian22

@artik:

Sinon j'ai trouvé cette article, il parle d'un mode bridge

"Un" mode bridge …
sans vouloir vous fracasser,  comment voulez vous, -sincerement- apréhender pfsense et VMWare, si vous n'avez pas les connaissances réseau "chappe" "nécéssaires" vous permettant de le faire?

et cela de la même manière qu'il ne vous viendrait pas à l'esprit de faire une rédaction en mandarin sans même connaitre l'alphabet mandarin ni même ne savoir dire "Bonjour" "au revoir" dans cette langue?

@artik:

Je pense que cela pourrait solutionner mon problème mais j'ai peur de ne pas tout comprendre.

en effet, la patte WAN de pf doit etre en bridge (au niveau de xen), c'est a dire cliente de votre BOX ADSL, et ce sur le Vswitch.
-> dans ce cas c'est un double NAT  (box  –nat--  vswitch bridge --  wan pf)  -> WAN PF client naté de la box via vswitch

-> si la box est en bridge déja :  (box  -----bridge    vswitch bridge --- ip publ -- wan pf)  -> WAN PF client public ipv4

-> si XEN fait lui même du NAT (triple nat) :  box    --nat--  vswitch nat  --wan pf  (la patte wan est alors cliente de XEN, qui a son tour est client de la box)

La partie LAN doit elle etre sur un deuxieme Vswitch, dont pf est le controlleur  (dhcp , dns)

ceci est le principe du NAT,  en virtualisé.

--
j ignore si dans un environnement physique vous seriez en mesure de le faire
je pense que l'environnement virtualisé ne vous facilite pas l'affaire. cela est bien normal.

--

vous comprendrez bien désormais pk on ne virtualise pas un firewall, vous faites des boucles, le setup est sale

imaginez, votre requete depuis LAN pfsense :

1--> SORT DE LA MACHINE CLIENTE
2--> ENTRE PAR LE PORT PHY DE XEN
3--> EST TRAITEE PAR LE LAN PFSENSE
4--> SORT PAR LE WAN PFSENSE
5--> CIRCULE SUR LE VSWITCH
6--> SORT PAR LE PORT PHYSIQUE

De 2 a 6, tout sur la même machine ;)

ca ne vous viendrait pas  l'esprit de brancher tous les appareils de votre maison sur des multiprises en cascade les unes les autres?
c'est un peu pareil.

ca peut marcher... là n'est pas la question, vous pouvez aussi mettre le feu

pour un firewall virtualisé, c est pareil, ca peut marcher, vous n'etes pas a l'abri toutefois de devoir mettre les mains dans la becane
et d'avoir des tas de problemes exotiques.

pour cela il vous faut un regard expert, et quelques connaissances minimales. sans quoi vous serez perdu d'avance.

j'ai pris bonne note de votre interet pour virtualiser et "economiser les machines physiques"

mais pourquoi ne pas mettre pfsense sur une machine obsolete avec ports PCI  et une carte dual 10/100/1000?

si vous avez besoin d'un output inferieur a 100Mbps, un vieu nonos peut tres bien faire l'affaire.
et si vous avez des besoins plus professionels,

=> je ne saurais que vous inviter a respecter les regles de l'art =>> acheter un appareil de type server-class  ou alors une bonne marque desktop-class et prevoir des alim de secours  (utiliser du desktop class ne pose pas de probleme en soi, si le matos est de bonne qualité, et que vous avez toujours une ou deux alimentations d'avance)

jdh

Et à aucun moment vous vous poser la question de la config réseau au niveau virtualisation ?

On dit, on répète que la virtualisation peut être intéressante pour tester mais exige un (très) bon niveau de connaissance

• tant de firewalling, des protocoles
• que de la couche réseau de l'hôte de virtualisation !
  C'est le b-a-ba minimal !
  (Il y a trop longtemps que j'ai testé Xen pour me rappeler comment c'est conçu mais c'est certain que c'est là qu'il faut commencer à chercher !)

aalaesar

Bonjour
J'ai eu le même problème de mon côté avec une configuration très proche.

Les symptômes sont uniquement présents pour un hôte virtuel sur le même serveur :
ping ok sur toutes les interfaces vers Internet
Pas moyen de télécharger de page HTML ou d'accéder à des services "sophistiqués".
Un débit très faible.

Cause du problème :
un cocktail entre l'"offload engine" - désolé je n'ai pas de traduction pour ça - avec la retransmission de trames entre les hôtes virtuel de XenServer ( géré par openvswitch il me semble) et de nouveaux pilotes de virtualisation des interfaces xen de freeBSD 10.1.
Cela génère une perte importante de trames entre les hôtes virtuels et pfsence et du coup l'impossibilité d'utiliser des services sophistiqués

je ne m'occuperai de savoir qui en est la cause, le plus important est qu'il y a une solution !

source : https://forum.pfsense.org/index.php?topic=85797.0

Il faut désactiver la fonction offload en transmission (tx) côté xen server sur les interfaces virtuelles de l'hôte Pfsense.

Pour ceux qui galèrent avec la configuration en ligne de commande , voici un petit pas à pas :

1 - se connecter à la console du serveur avec votre outils préféré (putty, terminal, XenCenter, etc)

2 - Repérez l'UUID de votre hôte virtuel pfsence avec la commande```
xe vm-list

3 - listez les UUID des interfaces virtuelles (vif) de l'hôte avec```
xe vif-list vm-uuid=[UUID de la VM]

4+ - pour chaque interface, effectuez la commande```
xe vif-param-set uuid=[uuid de la Vif] other-config:ethtool-tx="off"

Après cela le problème devrai avoir disparu, enfin, pour moi, il l'était…. ;D

**Autre chose :**
J'ai fait cette opération machine virtuelle éteinte.

Bonne chance !!