communication réseau Bridge KVM

vacknov@yahoo.fr · 05 févr. 2017, 23:22

Bonjour,

J'ai un hyperviseur sur une machine avec Débian 8.
La connexion réseau NAT fonctionnent sans problème et j'aimerais que mes VMS appartiennent au même réseau que la machine host.

J'ai installé bridge-utils en modifiant la configuration de la machine host comme suite :

Code : Tout sélectionner

source /etc/network/interfaces.d/*

auto lo

iface lo inet loopback

allow-hotplug eth0

iface eth0 inet manual

auto br0

iface br0 inet static

address 192.168.0.43

netmask 255.255.255.0

gateway 192.168.0.254

bridge_waitport 10

bridge_ports eth0

bridge_stp off

bridge_fd 0

ce qui m'a donné la configuration suivante

Code : Tout sélectionner

brctl show

bridge name     bridge id               STP enabled     interfaces

br0             8000.000c2990d386       no                eth0

                                                                          vnet0

virbr0          8000.000000000000       yes

J'ai configuré la VM "Debian 7" comme suite

Code : Tout sélectionner

allow-hotplug eth0

iface eth0 inet static

address 192.168.0.44

netmask 255.255.255.0

gateway 192.168.0.43

dns-nameservers 192.168.0.254

le ping entre L'hyperviseur et les VMS passe,
par contre il ne passe pas sur 192.168.0.14 ou sur www.google.fr.

Pouvez-vous m'aider à configurer convenablement le réseau ?

Grhim · 06 févr. 2017, 00:24

qui est 192.168.0.14 ?

regarde 3. Interconnexion de plusieurs postes http://chrtophe.developpez.com/tutoriel ... virtuelle/

vacknov@yahoo.fr · 06 févr. 2017, 01:19

une autre machine sur le réseau local de même niveau que l'hote.

Faut-il définir une règle iptables pour router la connexion vers l'extérieur ?

06 févr. 2017, 17:09

Salut,
J'ai un peu de mal à visualiser la construction. Il manque des bouts.
Tu peux nous expliquer un peu mieux. Il y a la la machine hôte 192.168.0.43 et une VM 192.168.0.13.
192.168.0.14 se situe ou ? C'est une VM ?. une autre machine physique ? De même niveau ça signifie quoi exactement ?
Tu as quoi comme règles iptables sur toutes ces machines ?

vacknov@yahoo.fr · 06 févr. 2017, 18:35

Réseau local

FreeBox : 192.168.0.254

Réseau lan Freebox :
PC1 = 192.168.0.14
PC2 = HÔTE = 192.168.0.43

*Interfaces réseaux PC2 eth0 et br0 fournis dans le premier descriptif

configuration ip VM

allow-hotplug eth0
iface eth0 inet static
address 192.168.0.44
netmask 255.255.255.0
gateway 192.168.0.43
dns-nameservers 192.168.0.254

Visibilité réseau depuis l'hôte

/home/user# arp -n
Address HWtype HWaddress Flags Mask Iface
192.168.0.44 ether xx:xx:xx:xx:xx C br0
192.168.0.14 ether xx:xx:xx:xx:xx C br0
192.168.0.254 ether xx:xx:xx:xx:xx C br0

Ping VM vers hôte == OK
ping hôte vers VM == OK
ping vers google.fr == KO
ping vers 192.168.0.14 == KO

règles iptables hôte :

:/home/user# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT udp -- anywhere anywhere udp dpt:domain
ACCEPT tcp -- anywhere anywhere tcp dpt:domain
ACCEPT udp -- anywhere anywhere udp dpt:bootps
ACCEPT tcp -- anywhere anywhere tcp dpt:bootps

Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere 192.168.122.0/24 ctstate RELATED,ESTABLISHED
ACCEPT all -- 192.168.122.0/24 anywhere
ACCEPT all -- anywhere anywhere
REJECT all -- anywhere anywhere reject-with icmp-port-unreachable
REJECT all -- anywhere anywhere reject-with icmp-port-unreachable

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT udp -- anywhere anywhere udp dpt:bootpc

iptables-save hôte :

iptables-save
# Generated by iptables-save v1.4.21 on Sun Jan 29 07:37:06 2017
*mangle
:PREROUTING ACCEPT [1094:191648]
:INPUT ACCEPT [351:34419]
:FORWARD ACCEPT [163:29239]
:OUTPUT ACCEPT [125:16405]
:POSTROUTING ACCEPT [288:45644]
-A POSTROUTING -o virbr0 -p udp -m udp --dport 68 -j CHECKSUM --checksum-fill
COMMIT
# Completed on Sun Jan 29 07:37:06 2017
# Generated by iptables-save v1.4.21 on Sun Jan 29 07:37:06 2017
*nat
:PREROUTING ACCEPT [683:144403]
:INPUT ACCEPT [23:4389]
:OUTPUT ACCEPT [8:470]
:POSTROUTING ACCEPT [48:6824]
-A POSTROUTING -s 192.168.122.0/24 -d 224.0.0.0/24 -j RETURN
-A POSTROUTING -s 192.168.122.0/24 -d 255.255.255.255/32 -j RETURN
-A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -p tcp -j MASQUERADE --to-ports 1024-65535
-A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -p udp -j MASQUERADE --to-ports 1024-65535
-A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -j MASQUERADE
COMMIT
# Completed on Sun Jan 29 07:37:06 2017
# Generated by iptables-save v1.4.21 on Sun Jan 29 07:37:06 2017
*filter
:INPUT ACCEPT [371:35219]
:FORWARD ACCEPT [163:29239]
:OUTPUT ACCEPT [171:22005]
-A INPUT -i virbr0 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i virbr0 -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -i virbr0 -p udp -m udp --dport 67 -j ACCEPT
-A INPUT -i virbr0 -p tcp -m tcp --dport 67 -j ACCEPT
-A FORWARD -d 192.168.122.0/24 -o virbr0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.122.0/24 -i virbr0 -j ACCEPT
-A FORWARD -i virbr0 -o virbr0 -j ACCEPT
-A FORWARD -o virbr0 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -i virbr0 -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -o virbr0 -p udp -m udp --dport 68 -j ACCEPT
COMMIT
# Completed on Sun Jan 29 07:37:06 2017

Configuration ip hôte

:/home/user# ifconfig
br0 Link encap:Ethernet HWaddr xxxxx....
inet adr:192.168.0.43 Bcast:192.168.0.255 Masque:255.255.255.0
adr inet6: fe80::20c:29ff:fe90:d386/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:2445 errors:0 dropped:0 overruns:0 frame:0
TX packets:265 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:322355 (314.7 KiB) TX bytes:34167 (33.3 KiB)

eth0 Link encap:Ethernet HWaddr xxxxx....
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:2426 errors:0 dropped:10 overruns:0 frame:0
TX packets:281 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:356037 (347.6 KiB) TX bytes:35733 (34.8 KiB)

lo Link encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:65536 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

virbr0 Link encap:Ethernet HWaddr xxxxx....
inet adr:192.168.122.1 Bcast:192.168.122.255 Masque:255.255.255.0
UP BROADCAST MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

vnet0 Link encap:Ethernet HWaddr xxxxx....
adr inet6: fe80::fc54:ff:fe23:f5b3/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:38 errors:0 dropped:0 overruns:0 frame:0
TX packets:421 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:500
RX bytes:2726 (2.6 KiB) TX bytes:51307 (50.1 KiB)

07 févr. 2017, 10:28

Salut,
Je ne suis pas sur que ce soit nécessaire, mais le natting est activé ?
echo 1 > /proc/sys/net/ipv4/ip_forward

vacknov@yahoo.fr · 07 févr. 2017, 12:39

Bonjour,

:/home/user# cat /proc/sys/net/ipv4/ip_forward
1

07 févr. 2017, 16:33

Salut,
Je pense que c'est un problème iptables:

Code : Tout sélectionner

-A FORWARD -d 192.168.122.0/24 -o virbr0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

-A FORWARD -s 192.168.122.0/24 -i virbr0 -j ACCEPT

Pourquoi 192.168.122.0/24 alors que tes hôtes sont sur 192.168.0.0/24 ?