Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Mon ip failover ne marche pas ?

24 réponses
Avatar
Gaulin Jérôme
Bonjour la liste,

J'ai une dedibox et il m'est impossible de la joindre via son ip
failover.

- Installation fraiche et classique d'une debian etch ( idem avec
lenny )

- Configuration classique des interfaces:

allow-hotplug eth0
iface eth0 inet static
address 88.191.X.38
netmask 255.255.0.0
network 88.191.0.0
broadcast 88.191.255.255
gateway 88.191.96.1

auto dummy0
iface dummy0 inet static
address 88.191.Y.148
netmask 255.255.0.0
network 88.191.0.0
broadcast 88.191.255.255

Cela pourrait il etre un probleme chez FREE ?

Lors d'un ping depuis une autre machine sur l'ip failover, un tcpdump -
i eth0 icmp effectue sur la dedibox montre bien les trames request and
reply... Les reply n'arrivent jamais.

Une autre idee peut etre?

--
J. Gaulin

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

10 réponses

1 2 3
Avatar
fra-duf-no-spam
Le 14306ième jour après Epoch,
Gaulin Jérôme écrivait:

Bonjour la liste,

J'ai une dedibox et il m'est impossible de la joindre via son ip
failover.

- Installation fraiche et classique d'une debian etch ( idem avec
lenny )

- Configuration classique des interfaces:



Pas si classique que ça. Tes deux interfaces sont sur le même net work,
et une seule gateway est configurée...

allow-hotplug eth0
iface eth0 inet static
address 88.191.X.38
netmask 255.255.0.0
network 88.191.0.0
broadcast 88.191.255.255
gateway 88.191.96.1

auto dummy0
iface dummy0 inet static
address 88.191.Y.148
netmask 255.255.0.0
network 88.191.0.0
broadcast 88.191.255.255



Du coup, si tu ping vers dummy0, au mieux c'est eth0 qui va te
répondre. Il faut faire du source-routing dans ce cas. Google est ton
ami pour ça ... Et surtout je me souviens plus comment on fait :p

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Avatar
Kevin Hinault
Le 3 mars 2009 09:27, François TOURDE a éc rit :
Le 14306ième jour après Epoch,
Gaulin Jérôme écrivait:

Bonjour la liste,

J'ai une dedibox et il m'est impossible de la joindre via son ip
failover.

- Installation fraiche et classique d'une debian etch  ( idem avec
lenny )

- Configuration classique des interfaces:



Pas si classique que ça. Tes deux interfaces sont sur le même network ,
et une seule gateway est configurée...

Du coup, si tu ping vers dummy0, au mieux c'est eth0 qui va te
répondre. Il faut faire du source-routing dans ce cas. Google est ton
ami pour ça ... Et surtout je me souviens plus comment on fait :p



Je ne vois pas l'inconvénient. L'IP de Fail Over est une adresse IP
virtuelle attribuée à une même carte réseau physique donc le fait
qu'il n'y ait qu'une gateway n'est pas un problème. Tout ce qui sort
de la machine sortira par la même carte et arrivera sur le même
routeur.
L'adresse source d'une requête sortant du serveur, ça c'est un autre
problème qui est dépendant des applications et des routes que l'on
ajoute. Beaucoup d'applications sont bien incapables de proposer le
paramétrage de l'adresse source cependant le problème de Jérôme est de
joindre cette adresse IP depuis l'extérieur et donc c'est un problème
de routage chez son fournisseur plutôt. J'ai aussi une adresse de IP
Fail Over chez OVH, ma config est quasiment la même et ça marche bien
:

auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 91.121.A.B
netmask 255.255.255.0
network 91.121.A.0
broadcast 91.121.A.255
gateway 91.121.A.254

auto eth0:0
iface eth0:0 inet static
address 91.121.B.C
netmask 255.255.255.255

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Avatar
Daniel Huhardeaux
Kevin Hinault a écrit :
Le 3 mars 2009 09:27, François TOURDE a écrit :

Le 14306ième jour après Epoch,
Gaulin Jérôme écrivait:


Bonjour la liste,

J'ai une dedibox et il m'est impossible de la joindre via son ip
failover.

- Installation fraiche et classique d'une debian etch ( idem avec
lenny )

- Configuration classique des interfaces:



Pas si classique que ça. Tes deux interfaces sont sur le même network,
et une seule gateway est configurée...

Du coup, si tu ping vers dummy0, au mieux c'est eth0 qui va te
répondre. Il faut faire du source-routing dans ce cas. Google est ton
ami pour ça ... Et surtout je me souviens plus comment on fait :p




Je ne vois pas l'inconvénient. L'IP de Fail Over est une adresse IP
virtuelle attribuée à une même carte réseau physique donc le fait
qu'il n'y ait qu'une gateway n'est pas un problème. Tout ce qui sort
de la machine sortira par la même carte et arrivera sur le même
routeur.


[...]

Je suis comme François: quel est l'intérêt d'une adresse failover sur la
même carte physique et sur le même réseau? Si l'un de ces éléments tombe
en panne la failover ne sert à rien, alors que si elle est sur eth1 et
sur un autre réseau il faut que du plus lourd tombe en panne pour que la
machine soit inaccessible. Aujourd'hui tout serveur digne de ce nom
possède 2 ports ethernet d'origine.

Je ne suis ni chez Dedibox ni chez OVH, mon hébergeur me permet de
relier mes machines via un switch ou cable croisé. Eth1 de chaque
machine est une adresse privée (192.168.x.x), j'ai un failover effectif.

--
Daniel

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Avatar
Kevin Hinault
Le 3 mars 2009 10:18, Daniel Huhardeaux a écrit :

Je suis comme François: quel est l'intérêt d'une adresse failover s ur la
même carte physique et sur le même réseau? Si l'un de ces éléme nts tombe en
panne la failover ne sert à rien, alors que si elle est sur eth1 et sur un
autre réseau il faut que du plus lourd tombe en panne pour que la machi ne
soit inaccessible. Aujourd'hui tout serveur digne de ce nom possède 2 p orts
ethernet d'origine.



Je n'ai pas dit le contraire. Je ne fait que dire ce que j'ai
constaté, l'IP Fail Over chez OVH est une adresse IP virtuelle. Je
suis bien d'accord que si la carte ou le routeur tombe, ça ne résoudra
rien bien évidemment. Personnellement, je m'en sers pour séparer deux
services bien différents mais l'intérêt n'est pas bien grand hors de
ça.
OVH ne fait pas payer l'ip supplémentaire. Je les soupçonne de vouloir
épuiser les adresses IPv4 pour récupérer le marché de l'IPv6. Je su is
sur que eux sont prêt contrairement à de gros FAI.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Avatar
Gaulin Jérôme
On 03/03/2009, at 8:18 PM, Daniel Huhardeaux wrote:

Kevin Hinault a écrit :
Le 3 mars 2009 09:27, François TOURDE
a écrit :

Le 14306ième jour après Epoch,
Gaulin Jérôme écrivait:


Bonjour la liste,

J'ai une dedibox et il m'est impossible de la joindre via son ip
failover.

- Installation fraiche et classique d'une debian etch ( idem avec
lenny )

- Configuration classique des interfaces:



Pas si classique que ça. Tes deux interfaces sont sur le même
network,
et une seule gateway est configurée...

Du coup, si tu ping vers dummy0, au mieux c'est eth0 qui va te
répondre. Il faut faire du source-routing dans ce cas. Google est
ton
ami pour ça ... Et surtout je me souviens plus comment on fait :p




Je ne vois pas l'inconvénient. L'IP de Fail Over est une adresse IP
virtuelle attribuée à une même carte réseau physique donc le fait
qu'il n'y ait qu'une gateway n'est pas un problème. Tout ce qui sort
de la machine sortira par la même carte et arrivera sur le même
routeur.


[...]




C'est mon avis. Cela serait donc un soucis de config sur un routeur
chez free...


Je suis comme François: quel est l'intérêt d'une adresse failover
sur la même carte physique et sur le même réseau? Si l'un de ces
éléments tombe en panne la failover ne sert à rien, alors que si
elle est sur eth1 et sur un autre réseau il faut que du plus lourd
tombe en panne pour que la machine soit inaccessible. Aujourd'hui
tout serveur digne de ce nom possède 2 ports ethernet d'origine.

Je ne suis ni chez Dedibox ni chez OVH, mon hébergeur me permet de
relier mes machines via un switch ou cable croisé. Eth1 de chaque
machine est une adresse privée (192.168.x.x), j'ai un failover
effectif.




Merci pour l'info concernant OVH. Là on ne parle pas vraiment du meme
type de machine le "serveur" dedibox que j'ai etant le plus petit de
tous, à 30 euros. Il me sert à decouvrir l'offre de Free et ne possède
qu'une seconde IP failover. J'essayerai l'offre pro qui comprend deux
cartes réseaux plus tard. Concernant l'ip failover j'utilise Xen, et
cela est utile pour l'attribution d'ip publique au(x) domU(s).

--
J. Gaulin


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Avatar
Julien
L'intéret des adresses IP fail over "virtuelle" est de pouvoir basculer
un service en un temps record. L'IP fail over peut être déplacé d'un
serveur à l'autre, le déplacement ce fait en moins d'une minute (chez
OVH) et tous le trafic est redirigé vers une autre machine. Il n'y a pas
besoin, avec l'IP fail over, de modifier des entrée DNS et d'attendre
plusieurs heures pour que les données DNS soit propagées à tous les
clients. Le but de l'IP fail over est de pallié à un problème logiciel
sur le serveur est question et non à un problème matériel du fournisseur
de service. En pratique, tu configure cet ip-failover sur plusieurs
machine de la même façon et ensuite avec l'interface du fournisseur tu
choisi la machine qui sera utilisée.

Julien

Le mardi 03 mars 2009 à 10:33 +0100, Kevin Hinault a écrit :
Le 3 mars 2009 10:18, Daniel Huhardeaux a écrit :

> Je suis comme François: quel est l'intérêt d'une adresse failover sur la
> même carte physique et sur le même réseau? Si l'un de ces éléments tombe en
> panne la failover ne sert à rien, alors que si elle est sur eth1 et sur un
> autre réseau il faut que du plus lourd tombe en panne pour que la machine
> soit inaccessible. Aujourd'hui tout serveur digne de ce nom possède 2 ports
> ethernet d'origine.

Je n'ai pas dit le contraire. Je ne fait que dire ce que j'ai
constaté, l'IP Fail Over chez OVH est une adresse IP virtuelle. Je
suis bien d'accord que si la carte ou le routeur tombe, ça ne résoudra
rien bien évidemment. Personnellement, je m'en sers pour séparer deux
services bien différents mais l'intérêt n'est pas bien grand hors de
ça.
OVH ne fait pas payer l'ip supplémentaire. Je les soupçonne de vouloir
épuiser les adresses IPv4 pour récupérer le marché de l'IPv6. Je suis
sur que eux sont prêt contrairement à de gros FAI.




--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Avatar
fra-duf-no-spam
Le 14306ième jour après Epoch,
Kevin Hinault écrivait:

Le 3 mars 2009 09:27, François TOURDE a écrit :
Le 14306ième jour après Epoch,
Gaulin Jérôme écrivait:

Bonjour la liste,

J'ai une dedibox et il m'est impossible de la joindre via son ip
failover.

- Installation fraiche et classique d'une debian etch  ( idem avec
lenny )

- Configuration classique des interfaces:



Pas si classique que ça. Tes deux interfaces sont sur le même network,
et une seule gateway est configurée...

Du coup, si tu ping vers dummy0, au mieux c'est eth0 qui va te
répondre. Il faut faire du source-routing dans ce cas. Google est t on
ami pour ça ... Et surtout je me souviens plus comment on fait :p



Je ne vois pas l'inconvénient. L'IP de Fail Over est une adresse IP
virtuelle attribuée à une même carte réseau physique donc le fait
qu'il n'y ait qu'une gateway n'est pas un problème. Tout ce qui sort
de la machine sortira par la même carte et arrivera sur le même
routeur.



Ce n'est pas ce que je voulais dire. En gros, si tu admets que tes
paquets vont systématiquement sortir avec l'IP standard (parce que tu
n'as pas mis en place le source-routing), voilà ce qu'il peut se
produire:

step Machine X Dedibox
1 ping (IPx, IPf) --> le ping est reçu
2 <-- reply (IPn, IPx)
3 le firewall va
refuser, c'est pas
ce qui est sorti

A l'étape 1, une machine envoie un ping vers l'IP failover de la
dedibox. Selon ton firewall et autres règles que tu as pû mettre en
oeuvre, comme la réponse au ping va être marquée avec l'IP n ormale,
soit c'est la dedibox qui la bloque elle-même, soit c'est la machine
extérieure qui va recevoir une réponse à une requête qu 'elle a pas
émis.

D'après son tcpdump, c'est bien sa machine X qui va filtrer ces
réponses, puisque la dedibox reçoit et émet l'ICMP.

Pour vérifier, il faudrait aussi lancer un tcpdump sur la machine qui
émet le ping, de façon à être sûr de savoir d'oà ¹ viens le souci. Il me
semble qu'une option du ping permet de dire "j'ai reçu une répons e,
mais c'est pas la bonne", mais je laisse le soin au PO de lire le man
:)

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Avatar
Daniel Huhardeaux
François TOURDE a écrit :
Le 14306ième jour après Epoch,
Daniel Huhardeaux écrivait:


Je suis comme François: quel est l'intérêt d'une adresse failover sur
la même carte physique et sur le même réseau?




Ah non, j'ai jamais dis ça :)



Pardon, j'ai par la suite compris que j'avais mal interprété tes écrits.
Désolé :-[

[...]

--
Daniel

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Avatar
Kevin Hinault
Le 3 mars 2009 11:21, François TOURDE a éc rit :
Le 14306ième jour après Epoch,
Kevin Hinault écrivait:

Le 3 mars 2009 09:27, François TOURDE a écrit :
Le 14306ième jour après Epoch,
Gaulin Jérôme écrivait:

Bonjour la liste,

J'ai une dedibox et il m'est impossible de la joindre via son ip
failover.

- Installation fraiche et classique d'une debian etch  ( idem avec
lenny )

- Configuration classique des interfaces:



Pas si classique que ça. Tes deux interfaces sont sur le même netwo rk,
et une seule gateway est configurée...

Du coup, si tu ping vers dummy0, au mieux c'est eth0 qui va te
répondre. Il faut faire du source-routing dans ce cas. Google est ton
ami pour ça ... Et surtout je me souviens plus comment on fait :p



Je ne vois pas l'inconvénient. L'IP de Fail Over est une adresse IP
virtuelle attribuée à une même carte réseau physique donc le fai t
qu'il n'y ait qu'une gateway n'est pas un problème. Tout ce qui sort
de la machine sortira par la même carte et arrivera sur le même
routeur.



Ce n'est pas ce que je voulais dire. En gros, si tu admets que tes
paquets vont systématiquement sortir avec l'IP standard (parce que tu
n'as pas mis en place le source-routing), voilà ce qu'il peut se
produire:

step    Machine X           Dedibox
1      ping (IPx, IPf) --> le ping est reçu
2                      <-- reply (IPn, IPx)
3      le firewall va
      refuser, c'est pas
      ce qui est sorti




Non justement. La réponse se fait bien avec l'adresse IPf et non IPn.
Il n'y a aucune raison pour que soudainement la machine réponde avec
une autre adresse IP sur un ping. Je n'admets nulle part que les
paquets vont *systematiquement* sortir avec l'adresse IP standard, je
dis :
Les réponses aux requêtes externe vers la mahcine se font avec
l'adresse sur lequel la machine a reçu la requête.
Les requêtes vers l'extérieur initiées par la machine se font, elles,
sur la sortie standard.


A l'étape 1, une machine envoie un ping vers l'IP failover de la
dedibox. Selon ton firewall et autres règles que tu as pû mettre en
oeuvre, comme la réponse au ping va être marquée avec l'IP normale,
soit c'est la dedibox qui la bloque elle-même, soit c'est la machine
extérieure qui va recevoir une réponse à une requête qu'elle a pa s
émis.

D'après son tcpdump, c'est bien sa machine X qui va filtrer ces
réponses, puisque la dedibox reçoit et émet l'ICMP.

Pour vérifier, il faudrait aussi lancer un tcpdump sur la machine qui
émet le ping, de façon à être sûr de savoir d'où viens le sou ci. Il me
semble qu'une option du ping permet de dire "j'ai reçu une réponse,
mais c'est pas la bonne", mais je laisse le soin au PO de lire le man
:)



J'ai bien vérifié et c'est l'adresse IP de destination qui me répond.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Avatar
Gaulin Jérôme
On 03/03/2009, at 9:21 PM, François TOURDE wrote:

Le 14306ième jour après Epoch,
Kevin Hinault écrivait:

Le 3 mars 2009 09:27, François TOURDE
a écrit :
Le 14306ième jour après Epoch,
Gaulin Jérôme écrivait:

Bonjour la liste,

J'ai une dedibox et il m'est impossible de la joindre via son ip
failover.

- Installation fraiche et classique d'une debian etch ( idem avec
lenny )

- Configuration classique des interfaces:



Pas si classique que ça. Tes deux interfaces sont sur le même
network,
et une seule gateway est configurée...

Du coup, si tu ping vers dummy0, au mieux c'est eth0 qui va te
répondre. Il faut faire du source-routing dans ce cas. Google est
ton
ami pour ça ... Et surtout je me souviens plus comment on fait :p



Je ne vois pas l'inconvénient. L'IP de Fail Over est une adresse IP
virtuelle attribuée à une même carte réseau physique donc le fait
qu'il n'y ait qu'une gateway n'est pas un problème. Tout ce qui sort
de la machine sortira par la même carte et arrivera sur le même
routeur.



Ce n'est pas ce que je voulais dire. En gros, si tu admets que tes
paquets vont systématiquement sortir avec l'IP standard (parce que tu
n'as pas mis en place le source-routing),



net.ipv4.conf.all.accept_source_route = 1
net.ipv4.conf.default.accept_source_route = 1
net.ipv4.conf.lo.accept_source_route = 1
net.ipv4.conf.eth0.accept_source_route = 1
net.ipv4.conf.dummy0.accept_source_route = 1

Je repete c'est une etch "qui sort de la boite", sans rien d'exotique
dessus.

voilà ce qu'il peut se
produire:

step Machine X Dedibox
1 ping (IPx, IPf) --> le ping est reçu
2 <-- reply (IPn, IPx)
3 le firewall va
refuser, c'est pas
ce qui est sorti

A l'étape 1, une machine envoie un ping vers l'IP failover de la
dedibox. Selon ton firewall et autres règles que tu as pû mettre en
oeuvre, comme la réponse au ping va être marquée avec l'IP normale,
soit c'est la dedibox qui la bloque elle-même, soit c'est la machine
extérieure qui va recevoir une réponse à une requête qu'elle a pas
émis.

D'après son tcpdump, c'est bien sa machine X qui va filtrer ces
réponses, puisque la dedibox reçoit et émet l'ICMP.




D'apres mon un tcpdump icmp sur ta "machine X" elle ne filtre rien.

Pour vérifier, il faudrait aussi lancer un tcpdump sur la machine qui
émet le ping, de façon à être sûr de savoir d'où viens le souci. Il me
semble qu'une option du ping permet de dire "j'ai reçu une réponse,
mais c'est pas la bonne", mais je laisse le soin au PO de lire le man
:)




Je pencherai plus pour un probleme chez free.
"In computer networking, source routing allows a sender of a packet to
specify the route the packet takes through the network."

--
J. Gaulin


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
1 2 3