Bonjour la liste,
J'ai une dedibox et il m'est impossible de la joindre via son ip
failover.
- Installation fraiche et classique d'une debian etch ( idem avec
lenny )
- Configuration classique des interfaces:
allow-hotplug eth0
iface eth0 inet static
address 88.191.X.38
netmask 255.255.0.0
network 88.191.0.0
broadcast 88.191.255.255
gateway 88.191.96.1
auto dummy0
iface dummy0 inet static
address 88.191.Y.148
netmask 255.255.0.0
network 88.191.0.0
broadcast 88.191.255.255
Bonjour la liste,
J'ai une dedibox et il m'est impossible de la joindre via son ip
failover.
- Installation fraiche et classique d'une debian etch ( idem avec
lenny )
- Configuration classique des interfaces:
allow-hotplug eth0
iface eth0 inet static
address 88.191.X.38
netmask 255.255.0.0
network 88.191.0.0
broadcast 88.191.255.255
gateway 88.191.96.1
auto dummy0
iface dummy0 inet static
address 88.191.Y.148
netmask 255.255.0.0
network 88.191.0.0
broadcast 88.191.255.255
Bonjour la liste,
J'ai une dedibox et il m'est impossible de la joindre via son ip
failover.
- Installation fraiche et classique d'une debian etch ( idem avec
lenny )
- Configuration classique des interfaces:
allow-hotplug eth0
iface eth0 inet static
address 88.191.X.38
netmask 255.255.0.0
network 88.191.0.0
broadcast 88.191.255.255
gateway 88.191.96.1
auto dummy0
iface dummy0 inet static
address 88.191.Y.148
netmask 255.255.0.0
network 88.191.0.0
broadcast 88.191.255.255
Le 14306ième jour après Epoch,
Gaulin Jérôme écrivait:Bonjour la liste,
J'ai une dedibox et il m'est impossible de la joindre via son ip
failover.
- Installation fraiche et classique d'une debian etch ( idem avec
lenny )
- Configuration classique des interfaces:
Pas si classique que ça. Tes deux interfaces sont sur le même network ,
et une seule gateway est configurée...
Du coup, si tu ping vers dummy0, au mieux c'est eth0 qui va te
répondre. Il faut faire du source-routing dans ce cas. Google est ton
ami pour ça ... Et surtout je me souviens plus comment on fait :p
Le 14306ième jour après Epoch,
Gaulin Jérôme écrivait:
Bonjour la liste,
J'ai une dedibox et il m'est impossible de la joindre via son ip
failover.
- Installation fraiche et classique d'une debian etch ( idem avec
lenny )
- Configuration classique des interfaces:
Pas si classique que ça. Tes deux interfaces sont sur le même network ,
et une seule gateway est configurée...
Du coup, si tu ping vers dummy0, au mieux c'est eth0 qui va te
répondre. Il faut faire du source-routing dans ce cas. Google est ton
ami pour ça ... Et surtout je me souviens plus comment on fait :p
Le 14306ième jour après Epoch,
Gaulin Jérôme écrivait:Bonjour la liste,
J'ai une dedibox et il m'est impossible de la joindre via son ip
failover.
- Installation fraiche et classique d'une debian etch ( idem avec
lenny )
- Configuration classique des interfaces:
Pas si classique que ça. Tes deux interfaces sont sur le même network ,
et une seule gateway est configurée...
Du coup, si tu ping vers dummy0, au mieux c'est eth0 qui va te
répondre. Il faut faire du source-routing dans ce cas. Google est ton
ami pour ça ... Et surtout je me souviens plus comment on fait :p
Le 3 mars 2009 09:27, François TOURDE a écrit :Le 14306ième jour après Epoch,
Gaulin Jérôme écrivait:Bonjour la liste,
J'ai une dedibox et il m'est impossible de la joindre via son ip
failover.
- Installation fraiche et classique d'une debian etch ( idem avec
lenny )
- Configuration classique des interfaces:
Pas si classique que ça. Tes deux interfaces sont sur le même network,
et une seule gateway est configurée...
Du coup, si tu ping vers dummy0, au mieux c'est eth0 qui va te
répondre. Il faut faire du source-routing dans ce cas. Google est ton
ami pour ça ... Et surtout je me souviens plus comment on fait :p
Je ne vois pas l'inconvénient. L'IP de Fail Over est une adresse IP
virtuelle attribuée à une même carte réseau physique donc le fait
qu'il n'y ait qu'une gateway n'est pas un problème. Tout ce qui sort
de la machine sortira par la même carte et arrivera sur le même
routeur.
Le 3 mars 2009 09:27, François TOURDE <fra-duf-no-spam@tourde.org> a écrit :
Le 14306ième jour après Epoch,
Gaulin Jérôme écrivait:
Bonjour la liste,
J'ai une dedibox et il m'est impossible de la joindre via son ip
failover.
- Installation fraiche et classique d'une debian etch ( idem avec
lenny )
- Configuration classique des interfaces:
Pas si classique que ça. Tes deux interfaces sont sur le même network,
et une seule gateway est configurée...
Du coup, si tu ping vers dummy0, au mieux c'est eth0 qui va te
répondre. Il faut faire du source-routing dans ce cas. Google est ton
ami pour ça ... Et surtout je me souviens plus comment on fait :p
Je ne vois pas l'inconvénient. L'IP de Fail Over est une adresse IP
virtuelle attribuée à une même carte réseau physique donc le fait
qu'il n'y ait qu'une gateway n'est pas un problème. Tout ce qui sort
de la machine sortira par la même carte et arrivera sur le même
routeur.
Le 3 mars 2009 09:27, François TOURDE a écrit :Le 14306ième jour après Epoch,
Gaulin Jérôme écrivait:Bonjour la liste,
J'ai une dedibox et il m'est impossible de la joindre via son ip
failover.
- Installation fraiche et classique d'une debian etch ( idem avec
lenny )
- Configuration classique des interfaces:
Pas si classique que ça. Tes deux interfaces sont sur le même network,
et une seule gateway est configurée...
Du coup, si tu ping vers dummy0, au mieux c'est eth0 qui va te
répondre. Il faut faire du source-routing dans ce cas. Google est ton
ami pour ça ... Et surtout je me souviens plus comment on fait :p
Je ne vois pas l'inconvénient. L'IP de Fail Over est une adresse IP
virtuelle attribuée à une même carte réseau physique donc le fait
qu'il n'y ait qu'une gateway n'est pas un problème. Tout ce qui sort
de la machine sortira par la même carte et arrivera sur le même
routeur.
Je suis comme François: quel est l'intérêt d'une adresse failover s ur la
même carte physique et sur le même réseau? Si l'un de ces éléme nts tombe en
panne la failover ne sert à rien, alors que si elle est sur eth1 et sur un
autre réseau il faut que du plus lourd tombe en panne pour que la machi ne
soit inaccessible. Aujourd'hui tout serveur digne de ce nom possède 2 p orts
ethernet d'origine.
Je suis comme François: quel est l'intérêt d'une adresse failover s ur la
même carte physique et sur le même réseau? Si l'un de ces éléme nts tombe en
panne la failover ne sert à rien, alors que si elle est sur eth1 et sur un
autre réseau il faut que du plus lourd tombe en panne pour que la machi ne
soit inaccessible. Aujourd'hui tout serveur digne de ce nom possède 2 p orts
ethernet d'origine.
Je suis comme François: quel est l'intérêt d'une adresse failover s ur la
même carte physique et sur le même réseau? Si l'un de ces éléme nts tombe en
panne la failover ne sert à rien, alors que si elle est sur eth1 et sur un
autre réseau il faut que du plus lourd tombe en panne pour que la machi ne
soit inaccessible. Aujourd'hui tout serveur digne de ce nom possède 2 p orts
ethernet d'origine.
Kevin Hinault a écrit :Le 3 mars 2009 09:27, François TOURDE
a écrit :Le 14306ième jour après Epoch,
Gaulin Jérôme écrivait:Bonjour la liste,
J'ai une dedibox et il m'est impossible de la joindre via son ip
failover.
- Installation fraiche et classique d'une debian etch ( idem avec
lenny )
- Configuration classique des interfaces:
Pas si classique que ça. Tes deux interfaces sont sur le même
network,
et une seule gateway est configurée...
Du coup, si tu ping vers dummy0, au mieux c'est eth0 qui va te
répondre. Il faut faire du source-routing dans ce cas. Google est
ton
ami pour ça ... Et surtout je me souviens plus comment on fait :p
Je ne vois pas l'inconvénient. L'IP de Fail Over est une adresse IP
virtuelle attribuée à une même carte réseau physique donc le fait
qu'il n'y ait qu'une gateway n'est pas un problème. Tout ce qui sort
de la machine sortira par la même carte et arrivera sur le même
routeur.
[...]
Je suis comme François: quel est l'intérêt d'une adresse failover
sur la même carte physique et sur le même réseau? Si l'un de ces
éléments tombe en panne la failover ne sert à rien, alors que si
elle est sur eth1 et sur un autre réseau il faut que du plus lourd
tombe en panne pour que la machine soit inaccessible. Aujourd'hui
tout serveur digne de ce nom possède 2 ports ethernet d'origine.
Je ne suis ni chez Dedibox ni chez OVH, mon hébergeur me permet de
relier mes machines via un switch ou cable croisé. Eth1 de chaque
machine est une adresse privée (192.168.x.x), j'ai un failover
effectif.
Kevin Hinault a écrit :
Le 3 mars 2009 09:27, François TOURDE <fra-duf-no-spam@tourde.org>
a écrit :
Le 14306ième jour après Epoch,
Gaulin Jérôme écrivait:
Bonjour la liste,
J'ai une dedibox et il m'est impossible de la joindre via son ip
failover.
- Installation fraiche et classique d'une debian etch ( idem avec
lenny )
- Configuration classique des interfaces:
Pas si classique que ça. Tes deux interfaces sont sur le même
network,
et une seule gateway est configurée...
Du coup, si tu ping vers dummy0, au mieux c'est eth0 qui va te
répondre. Il faut faire du source-routing dans ce cas. Google est
ton
ami pour ça ... Et surtout je me souviens plus comment on fait :p
Je ne vois pas l'inconvénient. L'IP de Fail Over est une adresse IP
virtuelle attribuée à une même carte réseau physique donc le fait
qu'il n'y ait qu'une gateway n'est pas un problème. Tout ce qui sort
de la machine sortira par la même carte et arrivera sur le même
routeur.
[...]
Je suis comme François: quel est l'intérêt d'une adresse failover
sur la même carte physique et sur le même réseau? Si l'un de ces
éléments tombe en panne la failover ne sert à rien, alors que si
elle est sur eth1 et sur un autre réseau il faut que du plus lourd
tombe en panne pour que la machine soit inaccessible. Aujourd'hui
tout serveur digne de ce nom possède 2 ports ethernet d'origine.
Je ne suis ni chez Dedibox ni chez OVH, mon hébergeur me permet de
relier mes machines via un switch ou cable croisé. Eth1 de chaque
machine est une adresse privée (192.168.x.x), j'ai un failover
effectif.
Kevin Hinault a écrit :Le 3 mars 2009 09:27, François TOURDE
a écrit :Le 14306ième jour après Epoch,
Gaulin Jérôme écrivait:Bonjour la liste,
J'ai une dedibox et il m'est impossible de la joindre via son ip
failover.
- Installation fraiche et classique d'une debian etch ( idem avec
lenny )
- Configuration classique des interfaces:
Pas si classique que ça. Tes deux interfaces sont sur le même
network,
et une seule gateway est configurée...
Du coup, si tu ping vers dummy0, au mieux c'est eth0 qui va te
répondre. Il faut faire du source-routing dans ce cas. Google est
ton
ami pour ça ... Et surtout je me souviens plus comment on fait :p
Je ne vois pas l'inconvénient. L'IP de Fail Over est une adresse IP
virtuelle attribuée à une même carte réseau physique donc le fait
qu'il n'y ait qu'une gateway n'est pas un problème. Tout ce qui sort
de la machine sortira par la même carte et arrivera sur le même
routeur.
[...]
Je suis comme François: quel est l'intérêt d'une adresse failover
sur la même carte physique et sur le même réseau? Si l'un de ces
éléments tombe en panne la failover ne sert à rien, alors que si
elle est sur eth1 et sur un autre réseau il faut que du plus lourd
tombe en panne pour que la machine soit inaccessible. Aujourd'hui
tout serveur digne de ce nom possède 2 ports ethernet d'origine.
Je ne suis ni chez Dedibox ni chez OVH, mon hébergeur me permet de
relier mes machines via un switch ou cable croisé. Eth1 de chaque
machine est une adresse privée (192.168.x.x), j'ai un failover
effectif.
Le 3 mars 2009 10:18, Daniel Huhardeaux a écrit :
> Je suis comme François: quel est l'intérêt d'une adresse failover sur la
> même carte physique et sur le même réseau? Si l'un de ces éléments tombe en
> panne la failover ne sert à rien, alors que si elle est sur eth1 et sur un
> autre réseau il faut que du plus lourd tombe en panne pour que la machine
> soit inaccessible. Aujourd'hui tout serveur digne de ce nom possède 2 ports
> ethernet d'origine.
Je n'ai pas dit le contraire. Je ne fait que dire ce que j'ai
constaté, l'IP Fail Over chez OVH est une adresse IP virtuelle. Je
suis bien d'accord que si la carte ou le routeur tombe, ça ne résoudra
rien bien évidemment. Personnellement, je m'en sers pour séparer deux
services bien différents mais l'intérêt n'est pas bien grand hors de
ça.
OVH ne fait pas payer l'ip supplémentaire. Je les soupçonne de vouloir
épuiser les adresses IPv4 pour récupérer le marché de l'IPv6. Je suis
sur que eux sont prêt contrairement à de gros FAI.
Le 3 mars 2009 10:18, Daniel Huhardeaux <no-spam@tootai.net> a écrit :
> Je suis comme François: quel est l'intérêt d'une adresse failover sur la
> même carte physique et sur le même réseau? Si l'un de ces éléments tombe en
> panne la failover ne sert à rien, alors que si elle est sur eth1 et sur un
> autre réseau il faut que du plus lourd tombe en panne pour que la machine
> soit inaccessible. Aujourd'hui tout serveur digne de ce nom possède 2 ports
> ethernet d'origine.
Je n'ai pas dit le contraire. Je ne fait que dire ce que j'ai
constaté, l'IP Fail Over chez OVH est une adresse IP virtuelle. Je
suis bien d'accord que si la carte ou le routeur tombe, ça ne résoudra
rien bien évidemment. Personnellement, je m'en sers pour séparer deux
services bien différents mais l'intérêt n'est pas bien grand hors de
ça.
OVH ne fait pas payer l'ip supplémentaire. Je les soupçonne de vouloir
épuiser les adresses IPv4 pour récupérer le marché de l'IPv6. Je suis
sur que eux sont prêt contrairement à de gros FAI.
Le 3 mars 2009 10:18, Daniel Huhardeaux a écrit :
> Je suis comme François: quel est l'intérêt d'une adresse failover sur la
> même carte physique et sur le même réseau? Si l'un de ces éléments tombe en
> panne la failover ne sert à rien, alors que si elle est sur eth1 et sur un
> autre réseau il faut que du plus lourd tombe en panne pour que la machine
> soit inaccessible. Aujourd'hui tout serveur digne de ce nom possède 2 ports
> ethernet d'origine.
Je n'ai pas dit le contraire. Je ne fait que dire ce que j'ai
constaté, l'IP Fail Over chez OVH est une adresse IP virtuelle. Je
suis bien d'accord que si la carte ou le routeur tombe, ça ne résoudra
rien bien évidemment. Personnellement, je m'en sers pour séparer deux
services bien différents mais l'intérêt n'est pas bien grand hors de
ça.
OVH ne fait pas payer l'ip supplémentaire. Je les soupçonne de vouloir
épuiser les adresses IPv4 pour récupérer le marché de l'IPv6. Je suis
sur que eux sont prêt contrairement à de gros FAI.
Le 3 mars 2009 09:27, François TOURDE a écrit :Le 14306ième jour après Epoch,
Gaulin Jérôme écrivait:Bonjour la liste,
J'ai une dedibox et il m'est impossible de la joindre via son ip
failover.
- Installation fraiche et classique d'une debian etch  ( idem avec
lenny )
- Configuration classique des interfaces:
Pas si classique que ça. Tes deux interfaces sont sur le même network,
et une seule gateway est configurée...
Du coup, si tu ping vers dummy0, au mieux c'est eth0 qui va te
répondre. Il faut faire du source-routing dans ce cas. Google est t on
ami pour ça ... Et surtout je me souviens plus comment on fait :p
Je ne vois pas l'inconvénient. L'IP de Fail Over est une adresse IP
virtuelle attribuée à une même carte réseau physique donc le fait
qu'il n'y ait qu'une gateway n'est pas un problème. Tout ce qui sort
de la machine sortira par la même carte et arrivera sur le même
routeur.
Le 3 mars 2009 09:27, François TOURDE <fra-duf-no-spam@tourde.org> a écrit :
Le 14306ième jour après Epoch,
Gaulin Jérôme écrivait:
Bonjour la liste,
J'ai une dedibox et il m'est impossible de la joindre via son ip
failover.
- Installation fraiche et classique d'une debian etch  ( idem avec
lenny )
- Configuration classique des interfaces:
Pas si classique que ça. Tes deux interfaces sont sur le même network,
et une seule gateway est configurée...
Du coup, si tu ping vers dummy0, au mieux c'est eth0 qui va te
répondre. Il faut faire du source-routing dans ce cas. Google est t on
ami pour ça ... Et surtout je me souviens plus comment on fait :p
Je ne vois pas l'inconvénient. L'IP de Fail Over est une adresse IP
virtuelle attribuée à une même carte réseau physique donc le fait
qu'il n'y ait qu'une gateway n'est pas un problème. Tout ce qui sort
de la machine sortira par la même carte et arrivera sur le même
routeur.
Le 3 mars 2009 09:27, François TOURDE a écrit :Le 14306ième jour après Epoch,
Gaulin Jérôme écrivait:Bonjour la liste,
J'ai une dedibox et il m'est impossible de la joindre via son ip
failover.
- Installation fraiche et classique d'une debian etch  ( idem avec
lenny )
- Configuration classique des interfaces:
Pas si classique que ça. Tes deux interfaces sont sur le même network,
et une seule gateway est configurée...
Du coup, si tu ping vers dummy0, au mieux c'est eth0 qui va te
répondre. Il faut faire du source-routing dans ce cas. Google est t on
ami pour ça ... Et surtout je me souviens plus comment on fait :p
Je ne vois pas l'inconvénient. L'IP de Fail Over est une adresse IP
virtuelle attribuée à une même carte réseau physique donc le fait
qu'il n'y ait qu'une gateway n'est pas un problème. Tout ce qui sort
de la machine sortira par la même carte et arrivera sur le même
routeur.
Le 14306ième jour après Epoch,
Daniel Huhardeaux écrivait:Je suis comme François: quel est l'intérêt d'une adresse failover sur
la même carte physique et sur le même réseau?
Ah non, j'ai jamais dis ça :)
Le 14306ième jour après Epoch,
Daniel Huhardeaux écrivait:
Je suis comme François: quel est l'intérêt d'une adresse failover sur
la même carte physique et sur le même réseau?
Ah non, j'ai jamais dis ça :)
Le 14306ième jour après Epoch,
Daniel Huhardeaux écrivait:Je suis comme François: quel est l'intérêt d'une adresse failover sur
la même carte physique et sur le même réseau?
Ah non, j'ai jamais dis ça :)
Le 14306ième jour après Epoch,
Kevin Hinault écrivait:Le 3 mars 2009 09:27, François TOURDE a écrit :Le 14306ième jour après Epoch,
Gaulin Jérôme écrivait:Bonjour la liste,
J'ai une dedibox et il m'est impossible de la joindre via son ip
failover.
- Installation fraiche et classique d'une debian etch ( idem avec
lenny )
- Configuration classique des interfaces:
Pas si classique que ça. Tes deux interfaces sont sur le même netwo rk,
et une seule gateway est configurée...
Du coup, si tu ping vers dummy0, au mieux c'est eth0 qui va te
répondre. Il faut faire du source-routing dans ce cas. Google est ton
ami pour ça ... Et surtout je me souviens plus comment on fait :p
Je ne vois pas l'inconvénient. L'IP de Fail Over est une adresse IP
virtuelle attribuée à une même carte réseau physique donc le fai t
qu'il n'y ait qu'une gateway n'est pas un problème. Tout ce qui sort
de la machine sortira par la même carte et arrivera sur le même
routeur.
Ce n'est pas ce que je voulais dire. En gros, si tu admets que tes
paquets vont systématiquement sortir avec l'IP standard (parce que tu
n'as pas mis en place le source-routing), voilà ce qu'il peut se
produire:
step Machine X Dedibox
1 ping (IPx, IPf) --> le ping est reçu
2 <-- reply (IPn, IPx)
3 le firewall va
refuser, c'est pas
ce qui est sorti
A l'étape 1, une machine envoie un ping vers l'IP failover de la
dedibox. Selon ton firewall et autres règles que tu as pû mettre en
oeuvre, comme la réponse au ping va être marquée avec l'IP normale,
soit c'est la dedibox qui la bloque elle-même, soit c'est la machine
extérieure qui va recevoir une réponse à une requête qu'elle a pa s
émis.
D'après son tcpdump, c'est bien sa machine X qui va filtrer ces
réponses, puisque la dedibox reçoit et émet l'ICMP.
Pour vérifier, il faudrait aussi lancer un tcpdump sur la machine qui
émet le ping, de façon à être sûr de savoir d'où viens le sou ci. Il me
semble qu'une option du ping permet de dire "j'ai reçu une réponse,
mais c'est pas la bonne", mais je laisse le soin au PO de lire le man
:)
Le 14306ième jour après Epoch,
Kevin Hinault écrivait:
Le 3 mars 2009 09:27, François TOURDE <fra-duf-no-spam@tourde.org> a écrit :
Le 14306ième jour après Epoch,
Gaulin Jérôme écrivait:
Bonjour la liste,
J'ai une dedibox et il m'est impossible de la joindre via son ip
failover.
- Installation fraiche et classique d'une debian etch ( idem avec
lenny )
- Configuration classique des interfaces:
Pas si classique que ça. Tes deux interfaces sont sur le même netwo rk,
et une seule gateway est configurée...
Du coup, si tu ping vers dummy0, au mieux c'est eth0 qui va te
répondre. Il faut faire du source-routing dans ce cas. Google est ton
ami pour ça ... Et surtout je me souviens plus comment on fait :p
Je ne vois pas l'inconvénient. L'IP de Fail Over est une adresse IP
virtuelle attribuée à une même carte réseau physique donc le fai t
qu'il n'y ait qu'une gateway n'est pas un problème. Tout ce qui sort
de la machine sortira par la même carte et arrivera sur le même
routeur.
Ce n'est pas ce que je voulais dire. En gros, si tu admets que tes
paquets vont systématiquement sortir avec l'IP standard (parce que tu
n'as pas mis en place le source-routing), voilà ce qu'il peut se
produire:
step Machine X Dedibox
1 ping (IPx, IPf) --> le ping est reçu
2 <-- reply (IPn, IPx)
3 le firewall va
refuser, c'est pas
ce qui est sorti
A l'étape 1, une machine envoie un ping vers l'IP failover de la
dedibox. Selon ton firewall et autres règles que tu as pû mettre en
oeuvre, comme la réponse au ping va être marquée avec l'IP normale,
soit c'est la dedibox qui la bloque elle-même, soit c'est la machine
extérieure qui va recevoir une réponse à une requête qu'elle a pa s
émis.
D'après son tcpdump, c'est bien sa machine X qui va filtrer ces
réponses, puisque la dedibox reçoit et émet l'ICMP.
Pour vérifier, il faudrait aussi lancer un tcpdump sur la machine qui
émet le ping, de façon à être sûr de savoir d'où viens le sou ci. Il me
semble qu'une option du ping permet de dire "j'ai reçu une réponse,
mais c'est pas la bonne", mais je laisse le soin au PO de lire le man
:)
Le 14306ième jour après Epoch,
Kevin Hinault écrivait:Le 3 mars 2009 09:27, François TOURDE a écrit :Le 14306ième jour après Epoch,
Gaulin Jérôme écrivait:Bonjour la liste,
J'ai une dedibox et il m'est impossible de la joindre via son ip
failover.
- Installation fraiche et classique d'une debian etch ( idem avec
lenny )
- Configuration classique des interfaces:
Pas si classique que ça. Tes deux interfaces sont sur le même netwo rk,
et une seule gateway est configurée...
Du coup, si tu ping vers dummy0, au mieux c'est eth0 qui va te
répondre. Il faut faire du source-routing dans ce cas. Google est ton
ami pour ça ... Et surtout je me souviens plus comment on fait :p
Je ne vois pas l'inconvénient. L'IP de Fail Over est une adresse IP
virtuelle attribuée à une même carte réseau physique donc le fai t
qu'il n'y ait qu'une gateway n'est pas un problème. Tout ce qui sort
de la machine sortira par la même carte et arrivera sur le même
routeur.
Ce n'est pas ce que je voulais dire. En gros, si tu admets que tes
paquets vont systématiquement sortir avec l'IP standard (parce que tu
n'as pas mis en place le source-routing), voilà ce qu'il peut se
produire:
step Machine X Dedibox
1 ping (IPx, IPf) --> le ping est reçu
2 <-- reply (IPn, IPx)
3 le firewall va
refuser, c'est pas
ce qui est sorti
A l'étape 1, une machine envoie un ping vers l'IP failover de la
dedibox. Selon ton firewall et autres règles que tu as pû mettre en
oeuvre, comme la réponse au ping va être marquée avec l'IP normale,
soit c'est la dedibox qui la bloque elle-même, soit c'est la machine
extérieure qui va recevoir une réponse à une requête qu'elle a pa s
émis.
D'après son tcpdump, c'est bien sa machine X qui va filtrer ces
réponses, puisque la dedibox reçoit et émet l'ICMP.
Pour vérifier, il faudrait aussi lancer un tcpdump sur la machine qui
émet le ping, de façon à être sûr de savoir d'où viens le sou ci. Il me
semble qu'une option du ping permet de dire "j'ai reçu une réponse,
mais c'est pas la bonne", mais je laisse le soin au PO de lire le man
:)
Le 14306ième jour après Epoch,
Kevin Hinault écrivait:Le 3 mars 2009 09:27, François TOURDE
a écrit :Le 14306ième jour après Epoch,
Gaulin Jérôme écrivait:Bonjour la liste,
J'ai une dedibox et il m'est impossible de la joindre via son ip
failover.
- Installation fraiche et classique d'une debian etch ( idem avec
lenny )
- Configuration classique des interfaces:
Pas si classique que ça. Tes deux interfaces sont sur le même
network,
et une seule gateway est configurée...
Du coup, si tu ping vers dummy0, au mieux c'est eth0 qui va te
répondre. Il faut faire du source-routing dans ce cas. Google est
ton
ami pour ça ... Et surtout je me souviens plus comment on fait :p
Je ne vois pas l'inconvénient. L'IP de Fail Over est une adresse IP
virtuelle attribuée à une même carte réseau physique donc le fait
qu'il n'y ait qu'une gateway n'est pas un problème. Tout ce qui sort
de la machine sortira par la même carte et arrivera sur le même
routeur.
Ce n'est pas ce que je voulais dire. En gros, si tu admets que tes
paquets vont systématiquement sortir avec l'IP standard (parce que tu
n'as pas mis en place le source-routing),
voilà ce qu'il peut se
produire:
step Machine X Dedibox
1 ping (IPx, IPf) --> le ping est reçu
2 <-- reply (IPn, IPx)
3 le firewall va
refuser, c'est pas
ce qui est sorti
A l'étape 1, une machine envoie un ping vers l'IP failover de la
dedibox. Selon ton firewall et autres règles que tu as pû mettre en
oeuvre, comme la réponse au ping va être marquée avec l'IP normale,
soit c'est la dedibox qui la bloque elle-même, soit c'est la machine
extérieure qui va recevoir une réponse à une requête qu'elle a pas
émis.
D'après son tcpdump, c'est bien sa machine X qui va filtrer ces
réponses, puisque la dedibox reçoit et émet l'ICMP.
Pour vérifier, il faudrait aussi lancer un tcpdump sur la machine qui
émet le ping, de façon à être sûr de savoir d'où viens le souci. Il me
semble qu'une option du ping permet de dire "j'ai reçu une réponse,
mais c'est pas la bonne", mais je laisse le soin au PO de lire le man
:)
Le 14306ième jour après Epoch,
Kevin Hinault écrivait:
Le 3 mars 2009 09:27, François TOURDE <fra-duf-no-spam@tourde.org>
a écrit :
Le 14306ième jour après Epoch,
Gaulin Jérôme écrivait:
Bonjour la liste,
J'ai une dedibox et il m'est impossible de la joindre via son ip
failover.
- Installation fraiche et classique d'une debian etch ( idem avec
lenny )
- Configuration classique des interfaces:
Pas si classique que ça. Tes deux interfaces sont sur le même
network,
et une seule gateway est configurée...
Du coup, si tu ping vers dummy0, au mieux c'est eth0 qui va te
répondre. Il faut faire du source-routing dans ce cas. Google est
ton
ami pour ça ... Et surtout je me souviens plus comment on fait :p
Je ne vois pas l'inconvénient. L'IP de Fail Over est une adresse IP
virtuelle attribuée à une même carte réseau physique donc le fait
qu'il n'y ait qu'une gateway n'est pas un problème. Tout ce qui sort
de la machine sortira par la même carte et arrivera sur le même
routeur.
Ce n'est pas ce que je voulais dire. En gros, si tu admets que tes
paquets vont systématiquement sortir avec l'IP standard (parce que tu
n'as pas mis en place le source-routing),
voilà ce qu'il peut se
produire:
step Machine X Dedibox
1 ping (IPx, IPf) --> le ping est reçu
2 <-- reply (IPn, IPx)
3 le firewall va
refuser, c'est pas
ce qui est sorti
A l'étape 1, une machine envoie un ping vers l'IP failover de la
dedibox. Selon ton firewall et autres règles que tu as pû mettre en
oeuvre, comme la réponse au ping va être marquée avec l'IP normale,
soit c'est la dedibox qui la bloque elle-même, soit c'est la machine
extérieure qui va recevoir une réponse à une requête qu'elle a pas
émis.
D'après son tcpdump, c'est bien sa machine X qui va filtrer ces
réponses, puisque la dedibox reçoit et émet l'ICMP.
Pour vérifier, il faudrait aussi lancer un tcpdump sur la machine qui
émet le ping, de façon à être sûr de savoir d'où viens le souci. Il me
semble qu'une option du ping permet de dire "j'ai reçu une réponse,
mais c'est pas la bonne", mais je laisse le soin au PO de lire le man
:)
Le 14306ième jour après Epoch,
Kevin Hinault écrivait:Le 3 mars 2009 09:27, François TOURDE
a écrit :Le 14306ième jour après Epoch,
Gaulin Jérôme écrivait:Bonjour la liste,
J'ai une dedibox et il m'est impossible de la joindre via son ip
failover.
- Installation fraiche et classique d'une debian etch ( idem avec
lenny )
- Configuration classique des interfaces:
Pas si classique que ça. Tes deux interfaces sont sur le même
network,
et une seule gateway est configurée...
Du coup, si tu ping vers dummy0, au mieux c'est eth0 qui va te
répondre. Il faut faire du source-routing dans ce cas. Google est
ton
ami pour ça ... Et surtout je me souviens plus comment on fait :p
Je ne vois pas l'inconvénient. L'IP de Fail Over est une adresse IP
virtuelle attribuée à une même carte réseau physique donc le fait
qu'il n'y ait qu'une gateway n'est pas un problème. Tout ce qui sort
de la machine sortira par la même carte et arrivera sur le même
routeur.
Ce n'est pas ce que je voulais dire. En gros, si tu admets que tes
paquets vont systématiquement sortir avec l'IP standard (parce que tu
n'as pas mis en place le source-routing),
voilà ce qu'il peut se
produire:
step Machine X Dedibox
1 ping (IPx, IPf) --> le ping est reçu
2 <-- reply (IPn, IPx)
3 le firewall va
refuser, c'est pas
ce qui est sorti
A l'étape 1, une machine envoie un ping vers l'IP failover de la
dedibox. Selon ton firewall et autres règles que tu as pû mettre en
oeuvre, comme la réponse au ping va être marquée avec l'IP normale,
soit c'est la dedibox qui la bloque elle-même, soit c'est la machine
extérieure qui va recevoir une réponse à une requête qu'elle a pas
émis.
D'après son tcpdump, c'est bien sa machine X qui va filtrer ces
réponses, puisque la dedibox reçoit et émet l'ICMP.
Pour vérifier, il faudrait aussi lancer un tcpdump sur la machine qui
émet le ping, de façon à être sûr de savoir d'où viens le souci. Il me
semble qu'une option du ping permet de dire "j'ai reçu une réponse,
mais c'est pas la bonne", mais je laisse le soin au PO de lire le man
:)