marud,

Bon, je suis complètement à court d'idées, j'ai besoin d' #aide sur du #reseau sur ce serveur... Si vous avez une idée ou si vous pouvez partager, j'en peux plus là

Le serveur qui fait tourner cette instance est sur un #proxmox. Jusqu'ici, tout allait bien.
Hier, suite à un plantage, j'ai du reboot le serveur (VPS chez Ionos). Après redémarrage, impossible d'accéder à quoi que ce soit : Interface Proxmox, services dans les conteneurs, rien.

La configuration était la suivante :

Interface externe (ens6) et 2 bridges :

  • vmbr0, en bridge-port sur ens6 (avec donc son ip publique), utilisé pour l'administration
  • vmbr1, avec une ip dans un réseau en 192.168.2.0/24 qui sert les conteneurs (reverse proxy pour un et docker pour l'autre)

J'ai dans mon fichier d'interfaces pour vmbr1 ceci :

        post-up echo 1 > /proc/sys/net/ipv4/ip_forward
        post-up iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o vmbr0 -j MASQUERADE
        post-up /script/dnat.sh
        post-down iptables -t nat -D POSTROUTING -s 192.168.2.0/24 -o vmbr0 -j MASQUERADE

Pour les ouvertures de port, j'ai dans dnat.sh des entrées comme celle ci (exemple pour le port 443)

iptables -t nat -A PREROUTING -i vmbr0 -p tcp --dport 443 -j DNAT --to-destination 192.168.2.10:443

Après debug, j'ai vu que le trafic passait à nouveau lorsque je foutais en down VMBR0.

J'ai donc, dans l'urgence, changé mes règles pour retirer vmbr0 et le changer par ens6, qui est le nom d'interface "physique".

J'ai pu constater que tout était revenu : accès à l'interface de proxmox, accès aux conteneurs... tout sauf, un point important : impossible depuis le serveur d'utiliser sa propre ip publique.

Par exemple, impossible pour l'instance d'envoyer un mail (le conteneur de mailing est situé derrière la même ip), impossible même depuis le shell de proxmox... ou encore impossible de renouveler les certificats sur le conteneur qui fait reverse.

[1/2]

alarig,
@alarig@hostux.social avatar

@marud @R1Rail Pourquoi tu t'embetes à avoir un bridge sur l'interface physique si t'as un autre bridge à côté pour les VMs?

marud,

@alarig @R1Rail

Je ne l'ai plus. C'est désormais ens6 avec l'ip publique dessus et un seul vmbr pour le reste

alarig,
@alarig@hostux.social avatar

@marud @R1Rail Bon choix :)

tangeek,

@alarig @marud @R1Rail Ça peut servir pour les IPv6, histoire de les avoir du même côté et pas s'emmerder avec des neigh add proxy.

alarig,
@alarig@hostux.social avatar

@tangeek @marud @R1Rail Je ne fais pas de L2 vers mes hyperviseurs, donc pas besoin de bidouilles L2 :D

tangeek,

@alarig @marud @R1Rail Hein. IPv6 c'est pas du L2. Je te parle pas forcément de SLAAC, juste d'IPv6 statiques qui seraient du même côté que le préfixe /64 de base. Sinon t'es obligé de faire du chipot à base de proxy ou de découpage de subnet pour router ta v6 en interne.

alarig,
@alarig@hostux.social avatar

@tangeek @marud @R1Rail C’est bien pour ça que vu que je ne fais de L2, je n’ai pas besoin de ça.

tangeek,

@alarig @marud @R1Rail Mais de quoi tu parles ? Quel rapport avec une conf v6 et le fait "de pas faire de L2" ?

alarig,
@alarig@hostux.social avatar

@tangeek @marud @R1Rail ça : https://paste.swordarmor.fr/raw/Bozd

tangeek,

@alarig @marud @R1Rail ... Bah. Du coup t'es justement en train de faire le genre de bidouilles que je disais être chiantes plus haut: un proxy entre vmbr0 et eno1 qui passe par les fe80, "à la main". Ça peut être évité en mettant un vmbr dédié à ton préfixe /64 de l'autre côté.

alarig,
@alarig@hostux.social avatar

@tangeek @marud @R1Rail C’est pas de la bidouille, c’est du routage o_O

alarig,
@alarig@hostux.social avatar

@tangeek @marud @R1Rail Et du coup j’ai pas de proxy ARP/NDP

tangeek,

@alarig @marud @R1Rail Haaan oui non, ok, ça y est je comprends où tu voulais en venir. J'ai lu un peu trop vite, je pensais même pas au routing pur en IPv6, j'ai trop l'habitude des FAI qui donnent pas plus qu'un /64 (et découper un /64 derrière ça casse le reste du protocole). Du coup t'as un /48 si je comprends bien une de tes routes ?

alarig,
@alarig@hostux.social avatar

@tangeek @marud @R1Rail Ouais

tangeek,

@alarig @marud @R1Rail Y en a qui ont de la chance. 😮‍💨

alarig,
@alarig@hostux.social avatar

@tangeek @marud @R1Rail Y’a encore de la place :D https://grifon.fr/services/hebergement/

  • All
  • Subscribed
  • Moderated
  • Favorites
  • proxmox
  • DreamBathrooms
  • everett
  • InstantRegret
  • magazineikmin
  • thenastyranch
  • rosin
  • GTA5RPClips
  • Durango
  • Youngstown
  • slotface
  • khanakhh
  • kavyap
  • ngwrru68w68
  • tacticalgear
  • JUstTest
  • osvaldo12
  • tester
  • cubers
  • cisconetworking
  • mdbf
  • ethstaker
  • modclub
  • Leos
  • anitta
  • normalnudes
  • megavids
  • provamag3
  • lostlight
  • All magazines
    •