Acc

Le
S
Bonjour,

Sur mon serveur, j'ai un certain nombre de conteneurs LXC. Chacun a une
configuration réseau en 192.168.1.0/24. Mon LAN est dans la même configuration.
Mon serveur (son interface physique) également.

Sur mon serveur, j'ai une configuration iptables (via shorewall) qui limite les
échanges au strict nécessaire depuis le LAN vers les conteneurs. En revanche,
des conteneurs vers le LAN et Internet, aucune limitation.

À l'intérieur des conteneurs, je suis confronté à un comportement étrange,
illustré par l'exemple :

$ wget --server-response http://www.debian.org -O /dev/null
--2016-02-13 12:53:22-- http://www.debian.org/
Résolution de www.debian.org (www.debian.org)… 130.89.148.14, 5.153.231.4, 2001:41c8:1000:21::21:4,
Connexion à www.debian.org (www.debian.org)|130.89.148.14|:80… connecté.
requête HTTP transmise, en attente de la réponse…
HTTP/1.1 200 OK
Date: Sat, 13 Feb 2016 11:53:24 GMT
Server: Apache
Content-Location: index.en.html
Vary: negotiate,accept-language,Accept-Encoding
TCN: choice
Last-Modified: Sat, 13 Feb 2016 07:26:41 GMT
ETag: "3bc8-52ba1b4827f6d"
Accept-Ranges: bytes
Content-Length: 15304
Cache-Control: max-age†400
Expires: Sun, 14 Feb 2016 11:53:24 GMT
X-Clacks-Overhead: GNU Terry Pratchett
Keep-Alive: timeout=5, max0
Connection: Keep-Alive
Content-Type: text/html
Content-Language: en
Taille : 15304 (15K) [text/html]
Sauvegarde en : « /dev/null »

/dev/null 100%[>] 14,95K --.-KB/s ds 0,05s

2016-02-13 12:53:23 (330 KB/s) — « /dev/null » sauvegardé [15304/15304]

$ wget --server-response http://www.github.com -O /dev/null
--2016-02-13 12:55:24-- http://www.github.com/
Résolution de www.github.com (www.github.com)… 192.30.252.130
Connexion à www.github.com (www.github.com)|192.30.252.130|:80… échec : Aucun chemin d'accès pour atteindre l'hôte cible.

Le conteneur parvient bien à contacter www.debian.org mais pas www.github.com
(ce n'est qu'un exemple, d'autres domaines sont accessibles et d'autres sont
inaccessibles).

J'ai arrêté shorewall (et vérifié que les règles iptables étaient vierges), mais
pas mieux…

Les mêmes commandes lancées directement depuis le serveur (hors conteneur donc)
passent sans problème.

Je suis preneur de toute piste.

Merci.

Sébastien
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Jean-Marc
Le #26389290
--Signature=_Sat__13_Feb_2016_14_54_20_+0100_94kaqi_q2fZtxcjm
Content-Type: text/plain; charset=UTF-8
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable

Sat, 13 Feb 2016 13:00:12 +0100
Sébastien NOBILI
Bonjour,



salut Sébastien,


Sur mon serveur, j'ai un certain nombre de conteneurs LXC. Chacun a une
configuration réseau en 192.168.1.0/24. Mon LAN est dans la mêm e configuration.
[...]
À l'intérieur des conteneurs, je suis confronté à un comportement étrange,
illustré par l'exemple :

$ wget --server-response http://www.debian.org -O /dev/null
--2016-02-13 12:53:22-- http://www.debian.org/
Résolution de www.debian.org (www.debian.org)… 130.89.14 8.14, 5.153.231.4, 2001:41c8:1000:21::21:4, ...
Connexion à www.debian.org (www.debian.org)|130.89.148.14|:80⠀¦ connecté.
[...]
$ wget --server-response http://www.github.com -O /dev/null
--2016-02-13 12:55:24-- http://www.github.com/
Résolution de www.github.com (www.github.com)… 192.30.25 2.130
Connexion à www.github.com (www.github.com)|192.30.252.130|:80 … échec : Aucun chemin d'accès pour atteindre l'hà ´te cible.

Le conteneur parvient bien à contacter www.debian.org mais pas www.g ithub.com
(ce n'est qu'un exemple, d'autres domaines sont accessibles et d'autres s ont
inaccessibles).



Ce ne serait pas un problème de routage ?
Le réseau inaccessible est en 192.*.*.*.
Un mauvais subneting ?

Tu as jeté un œil ?
<ip route> ?
<traceroute> ?

[...]
Je suis preneur de toute piste.

Merci.

Sébastien





Jean-Marc
--Signature=_Sat__13_Feb_2016_14_54_20_+0100_94kaqi_q2fZtxcjm
Content-Type: application/pgp-signature

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2
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=iaWs
-----END PGP SIGNATURE-----

--Signature=_Sat__13_Feb_2016_14_54_20_+0100_94kaqi_q2fZtxcjm--
Pascal Hambourg
Le #26389307
Jean-Marc a écrit :
Sébastien NOBILI
Connexion à www.github.com (www.github.com)|192.30.252.130|:80... échec : Aucun chemin d'accès pour atteindre l'hôte cible.



Ce ne serait pas un problème de routage ?
Le réseau inaccessible est en 192.*.*.*.
Un mauvais subneting ?



Oui, ça sent le mauvais masque de sous-réseau 255.0.0.0 au lieu de
255.255.0.0 ou plus grand sur une interface réseau du conteneur ou de
l'hôte.
S
Le #26389310
Le samedi 13 février 2016 à 15:19, Pascal Hambourg a écrit :
Jean-Marc a écrit :
> Sébastien NOBILI >
>> Connexion à www.github.com (www.github.com)|192.30.252.130|:80... échec : Aucun chemin d'accès pour atteindre l'hôte cible.
>
> Ce ne serait pas un problème de routage ?
> Le réseau inaccessible est en 192.*.*.*.
> Un mauvais subneting ?

Oui, ça sent le mauvais masque de sous-réseau 255.0.0.0 au lieu de
255.255.0.0 ou plus grand sur une interface réseau du conteneur ou de
l'hôte.



Alors là, bien vu !

Un grand merci à tous les deux. La remarque de Jean-Marc m'a fait identifier
exactement le point souligné par Pascal.

Ça a clairement foiré entre la chaise et le clavier…

Dans la configuration réseau de mes conteneurs (/etc/network/interfaces) :

address 192.168.1.55
netmask 255.255.255.0

Dans la configuration LXC du conteneur (/var/lib/lxc/<vm>/config) :

lxc.network.ipv4 = 192.168.1.55/8

Mais où suis-je allé chercher une pareille idée ???

En tout cas tout roule maintenant.

Encore merci.

Sébastien
Pascal Hambourg
Le #26389315
Sébastien NOBILI a écrit :
Le samedi 13 février 2016 à 15:19, Pascal Hambourg a écrit :
Jean-Marc a écrit :
Ce ne serait pas un problème de routage ?
Le réseau inaccessible est en 192.*.*.*.
Un mauvais subneting ?


Oui, ça sent le mauvais masque de sous-réseau 255.0.0.0



Alors là, bien vu !



C'est un grand classique avec les destinations dont l'adresse IPv4
publique commence par 192.

Dans la configuration réseau de mes conteneurs (/etc/network/interfaces) :

address 192.168.1.55
netmask 255.255.255.0



Ça, c'est bon.

Dans la configuration LXC du conteneur (/var/lib/lxc/<vm>/config) :

lxc.network.ipv4 = 192.168.1.55/8



Je suppose qu'il fallait /24. A quoi sert ce paramètre ? N'est-il pas
redondant avec le contenu de /etc/network/interfaces ?

Mais où suis-je allé chercher une pareille idée ???



Confusion entre la taille du préfixe (24 bits) et la taille du
sous-réseau (8 bits), peut-être ?
S
Le #26389328
Le samedi 13 février 2016 à 15:54, Pascal Hambourg a écrit :
Sébastien NOBILI a écrit :
> Dans la configuration LXC du conteneur (/var/lib/lxc/<vm>/config) :
>
> lxc.network.ipv4 = 192.168.1.55/8

Je suppose qu'il fallait /24. A quoi sert ce paramètre ? N'est-il pas
redondant avec le contenu de /etc/network/interfaces ?



Tu supposes bien, c'est vrai que j'aurais pu le marquer explicitement…

Ce paramètre provient directement d'un copier/coller de la doc (perso) sur
laquelle je me base lorsque je déploie un nouveau conteneur. C'est un reste
historique (sûrement remontant à une époque où l'intérieur du conteneur était un
peu moins statique) et qui ne sert manifestement plus à rien… Il n'est pas le
seul puisque je définis(sais) aussi :

lxc.network.name
lxc.network.ipv4.gateway

C'est cool, cette histoire m'aura permis de faire du ménage dans ma conf et dans
ma doc :-D

Merci !

Sébastien
Publicité
Poster une réponse
Anonyme