Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    XenServer 6.5 et pfsense 2.2 (2.0)

    Scheduled Pinned Locked Moved Français
    11 Posts 5 Posters 2.1k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • A
      artik
      last edited by

      Bonjour,
      Contexte :
      J'ai un serveur de virtualisation sous XenServer 6.5. Je sais que cela n'est pas conseillé, mais n'aillant pas de matériel a dédier à mon routeur et pour ma culture personnel je souhaiterai le virtualiser. Cette archi sert aussi de bac à sable de test pour mon entreprise.

      Le ServerXen est derrière une box et récupère son adresse ip via un réglage dhcp static de la box. Le client ce trouve aussi sur le serveur et ce connecte via une deuxième interface.

      Pour le moment les configurations sont basique, ip lan, gateway.

      Besoin : Pour le moment, simplement donner accès à internet à mes machines virtuelle cliente.

      Problème : Mes vm n’accèdent pas à internet.

      ce qui semble fonctionner :

      La carte réservé au wan récupère bien son ip via le dhcp de la box

      les clients accède au lan et à l'interface web de configuration de Pfsense

      Tests

      Les clients arrivent à ping à l'extérieur et la résolution DNS semble fonctionner.

      Je sais que virtualisé pf peut poser des problèmes. Si j'ai loupé des prérequis, je vous serait reconnaissent de m'indiquer lesquels.

      Merci d'avance

      1 Reply Last reply Reply Quote 0
      • B
        baalserv
        last edited by

        Bonjour,

        Pour pouvoir vous aider il manque les adressages complet de wan et lan ainsi que les règles de fw

        Les informations de configuration réseau de votre hyperviseur pourrons également nous aider à y voir plus clair. (physique et virtuel)

        Nous n'avons rien contre des screenshots ^^

        Si la connerie humaine fournissait de l'énergie, la Terre serait sauvée …

        1 Reply Last reply Reply Quote 0
        • F
          Florian22
          last edited by

          Bonjour,

          Merci de nous confirmer que ce problème n'est présent que sur la VM de pfsense par ailleurs.

          si vous n'en avez pas la certitude, :

          il serait bon d'avoir une petite VM a coté avec une debian de base, qui vous permettra de contre tester.

          1 Reply Last reply Reply Quote 0
          • A
            artik
            last edited by

            aucune règle de firewall sauf les deux règles autorisée par défaut

            pour la configuration ip :

            box en 192.168.1.1 dhcp activé => carte giga (0) ( Wan) du server xen | dans le xen, le pf a deux interfaces virtuelles, une sur le wan en 192.168.1.17 donné par la box. l' autre sur la deuxième carte réseau (1) de xen réglé en static en 192.168.0.1.

            j'espère que vous comprendrez mes explications  :-\

            Mes machines virtuelles ont une interfaces sur la deuxième carte virtuelle (1) comme le lan du pfsense, je peux donc accéder à l'interface web.

            J'ai branché mon pc portable sur la carte lan, et la au miracle j'ai internet !
            J'ai confirmé avec un tracert :  pf 192.168.0.1 => box 192.168.1.1 puit out.

            je suis retourné sur ma vm, idem, pas de net.

            ce qui m'amène a dire que ma conf ip est bonne mais qu'il y a un problème de communication sur l'interface virtuelle du coté LAN.

            Je vous fait un petit visio pour la conf

            1 Reply Last reply Reply Quote 0
            • B
              baalserv
              last edited by

              Il semblerai donc que votre pb vienne plus de xen que de pf … Je vous suggère de soumettre votre cas sur un forum dédier Xen  ;)

              Si la connerie humaine fournissait de l'énergie, la Terre serait sauvée …

              1 Reply Last reply Reply Quote 0
              • A
                artik
                last edited by

                Pouvez-vous m'indiquer ou ce trouve la section ?

                Vous ne voyez pas d'où cela peut provenir ?

                1 Reply Last reply Reply Quote 0
                • B
                  baalserv
                  last edited by

                  @artik:

                  Pouvez-vous m'indiquer ou ce trouve la section ?

                  Section de quoi ?
                  Désolé mais je ne ferai la recherche d'un forum dédier Xen à votre place  :o

                  @artik:

                  Vous ne voyez pas d'où cela peut provenir ?

                  Si j'avais eut une piste à suivre, je vous l'aurrai donner …

                  Si la connerie humaine fournissait de l'énergie, la Terre serait sauvée …

                  1 Reply Last reply Reply Quote 0
                  • A
                    artik
                    last edited by

                    je parlais de la section francaise de xen.

                    Sinon j'ai trouvé cette article, il parle d'un mode bridge

                    http://mywiredhouse.net/blog/pfsense-2-2-beta-works-xen/

                    Je pense que cela pourrait solutionner mon problème mais j'ai peur de ne pas tout comprendre.

                    1 Reply Last reply Reply Quote 0
                    • F
                      Florian22
                      last edited by

                      @artik:

                      Sinon j'ai trouvé cette article, il parle d'un mode bridge

                      "Un" mode bridge …
                      sans vouloir vous fracasser,  comment voulez vous, -sincerement- apréhender pfsense et VMWare, si vous n'avez pas les connaissances réseau "chappe" "nécéssaires" vous permettant de le faire?

                      et cela de la même manière qu'il ne vous viendrait pas à l'esprit de faire une rédaction en mandarin sans même connaitre l'alphabet mandarin ni même ne savoir dire "Bonjour" "au revoir" dans cette langue?

                      @artik:

                      Je pense que cela pourrait solutionner mon problème mais j'ai peur de ne pas tout comprendre.

                      en effet, la patte WAN de pf doit etre en bridge (au niveau de xen), c'est a dire cliente de votre BOX ADSL, et ce sur le Vswitch.
                      -> dans ce cas c'est un double NAT  (box  –nat--  vswitch bridge --  wan pf)  -> WAN PF client naté de la box via vswitch

                      -> si la box est en bridge déja :  (box  -----bridge    vswitch bridge --- ip publ -- wan pf)  -> WAN PF client public ipv4

                      -> si XEN fait lui même du NAT (triple nat) :  box    --nat--  vswitch nat  --wan pf  (la patte wan est alors cliente de XEN, qui a son tour est client de la box)

                      La partie LAN doit elle etre sur un deuxieme Vswitch, dont pf est le controlleur  (dhcp , dns)

                      ceci est le principe du NAT,  en virtualisé.

                      --
                      j ignore si dans un environnement physique vous seriez en mesure de le faire
                      je pense que l'environnement virtualisé ne vous facilite pas l'affaire. cela est bien normal.

                      --

                      vous comprendrez bien désormais pk on ne virtualise pas un firewall, vous faites des boucles, le setup est sale

                      imaginez, votre requete depuis LAN pfsense :

                      1--> SORT DE LA MACHINE CLIENTE
                      2--> ENTRE PAR LE PORT PHY DE XEN
                      3--> EST TRAITEE PAR LE LAN PFSENSE
                      4--> SORT PAR LE WAN PFSENSE
                      5--> CIRCULE SUR LE VSWITCH
                      6--> SORT PAR LE PORT PHYSIQUE

                      De 2 a 6, tout sur la même machine ;)

                      ca ne vous viendrait pas  l'esprit de brancher tous les appareils de votre maison sur des multiprises en cascade les unes les autres?
                      c'est un peu pareil.

                      ca peut marcher... là n'est pas la question, vous pouvez aussi mettre le feu

                      pour un firewall virtualisé, c est pareil, ca peut marcher, vous n'etes pas a l'abri toutefois de devoir mettre les mains dans la becane
                      et d'avoir des tas de problemes exotiques.

                      pour cela il vous faut un regard expert, et quelques connaissances minimales. sans quoi vous serez perdu d'avance.

                      j'ai pris bonne note de votre interet pour virtualiser et "economiser les machines physiques"

                      mais pourquoi ne pas mettre pfsense sur une machine obsolete avec ports PCI  et une carte dual 10/100/1000?

                      si vous avez besoin d'un output inferieur a 100Mbps, un vieu nonos peut tres bien faire l'affaire.
                      et si vous avez des besoins plus professionels,

                      => je ne saurais que vous inviter a respecter les regles de l'art =>> acheter un appareil de type server-class  ou alors une bonne marque desktop-class et prevoir des alim de secours  (utiliser du desktop class ne pose pas de probleme en soi, si le matos est de bonne qualité, et que vous avez toujours une ou deux alimentations d'avance)

                      1 Reply Last reply Reply Quote 0
                      • J
                        jdh
                        last edited by

                        Et à aucun moment vous vous poser la question de la config réseau au niveau virtualisation ?

                        On dit, on répète que la virtualisation peut être intéressante pour tester mais exige un (très) bon niveau de connaissance

                        • tant de firewalling, des protocoles
                        • que de la couche réseau de l'hôte de virtualisation !
                          C'est le b-a-ba minimal !
                          (Il y a trop longtemps que j'ai testé Xen pour me rappeler comment c'est conçu mais c'est certain que c'est là qu'il faut commencer à chercher !)

                        Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                        1 Reply Last reply Reply Quote 0
                        • A
                          aalaesar
                          last edited by

                          Bonjour
                          J'ai eu le même problème de mon côté avec une configuration très proche.

                          Les symptômes sont uniquement présents pour un hôte virtuel sur le même serveur :
                          ping ok sur toutes les interfaces vers Internet
                          Pas moyen de télécharger de page HTML ou d'accéder à des services "sophistiqués".
                          Un débit très faible.

                          Cause du problème :
                          un cocktail entre l'"offload engine" - désolé je n'ai pas de traduction pour ça - avec la retransmission de trames entre les hôtes virtuel de XenServer ( géré par openvswitch il me semble) et de nouveaux pilotes de virtualisation des interfaces xen de freeBSD 10.1.
                          Cela génère une perte importante de trames entre les hôtes virtuels et pfsence et du coup l'impossibilité d'utiliser des services sophistiqués

                          je ne m'occuperai de savoir qui en est la cause, le plus important est qu'il y a une solution !

                          source : https://forum.pfsense.org/index.php?topic=85797.0

                          Il faut désactiver la fonction offload en transmission (tx) côté xen server sur les interfaces virtuelles de l'hôte Pfsense.

                          Pour ceux qui galèrent avec la configuration en ligne de commande , voici un petit pas à pas :

                          1 - se connecter à la console du serveur avec votre outils préféré (putty, terminal, XenCenter, etc)

                          2 - Repérez l'UUID de votre hôte virtuel pfsence avec la commande```
                          xe vm-list

                          
                          3 - listez les UUID des interfaces virtuelles (vif) de l'hôte avec```
                          xe vif-list vm-uuid=[UUID de la VM]
                          

                          4+ - pour chaque interface, effectuez la commande```
                          xe vif-param-set uuid=[uuid de la Vif] other-config:ethtool-tx="off"

                          
                          Après cela le problème devrai avoir disparu, enfin, pour moi, il l'était…. ;D
                          
                          **Autre chose :**
                          J'ai fait cette opération machine virtuelle éteinte.
                          
                          Bonne chance !!
                          1 Reply Last reply Reply Quote 0
                          • First post
                            Last post
                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.