Sur mon serveur, j'ai un certain nombre de conteneurs LXC. Chacun a une
configuration réseau en 192.168.1.0/24. Mon LAN est dans la même configuration.
Mon serveur (son interface physique) également.
Sur mon serveur, j'ai une configuration iptables (via shorewall) qui limite les
échanges au strict nécessaire depuis le LAN vers les conteneurs. En revanche,
des conteneurs vers le LAN et Internet, aucune limitation.
À l'intérieur des conteneurs, je suis confronté à un comportement étrange,
illustré par l'exemple :
$ wget --server-response http://www.debian.org -O /dev/null
--2016-02-13 12:53:22-- http://www.debian.org/
Résolution de www.debian.org (www.debian.org)… 130.89.148.14, 5.153.231.4, 2001:41c8:1000:21::21:4, ...
Connexion à www.debian.org (www.debian.org)|130.89.148.14|:80… connecté.
requête HTTP transmise, en attente de la réponse…
HTTP/1.1 200 OK
Date: Sat, 13 Feb 2016 11:53:24 GMT
Server: Apache
Content-Location: index.en.html
Vary: negotiate,accept-language,Accept-Encoding
TCN: choice
Last-Modified: Sat, 13 Feb 2016 07:26:41 GMT
ETag: "3bc8-52ba1b4827f6d"
Accept-Ranges: bytes
Content-Length: 15304
Cache-Control: max-age=86400
Expires: Sun, 14 Feb 2016 11:53:24 GMT
X-Clacks-Overhead: GNU Terry Pratchett
Keep-Alive: timeout=5, max=100
Connection: Keep-Alive
Content-Type: text/html
Content-Language: en
Taille : 15304 (15K) [text/html]
Sauvegarde en : « /dev/null »
$ wget --server-response http://www.github.com -O /dev/null
--2016-02-13 12:55:24-- http://www.github.com/
Résolution de www.github.com (www.github.com)… 192.30.252.130
Connexion à www.github.com (www.github.com)|192.30.252.130|:80… échec : Aucun chemin d'accès pour atteindre l'hôte cible.
Le conteneur parvient bien à contacter www.debian.org mais pas www.github.com
(ce n'est qu'un exemple, d'autres domaines sont accessibles et d'autres sont
inaccessibles).
J'ai arrêté shorewall (et vérifié que les règles iptables étaient vierges), mais
pas mieux…
Les mêmes commandes lancées directement depuis le serveur (hors conteneur donc)
passent sans problème.
Le conteneur parvient bien à contacter www.debian.org mais pas www.g ithub.com (ce n'est qu'un exemple, d'autres domaines sont accessibles et d'autres s ont inaccessibles).
Le conteneur parvient bien à contacter www.debian.org mais pas www.g ithub.com
(ce n'est qu'un exemple, d'autres domaines sont accessibles et d'autres s ont
inaccessibles).
Le conteneur parvient bien à contacter www.debian.org mais pas www.g ithub.com (ce n'est qu'un exemple, d'autres domaines sont accessibles et d'autres s ont inaccessibles).
Connexion à www.github.com (www.github.com)|192.30.252.130|:80... échec : Aucun chemin d'accès pour atteindre l'hôte cible.
Ce ne serait pas un problème de routage ? Le réseau inaccessible est en 192.*.*.*. Un mauvais subneting ?
Oui, ça sent le mauvais masque de sous-réseau 255.0.0.0 au lieu de 255.255.0.0 ou plus grand sur une interface réseau du conteneur ou de l'hôte.
S
Le samedi 13 février 2016 à 15:19, Pascal Hambourg a écrit :
Jean-Marc a écrit : > Sébastien NOBILI écrivait : > >> Connexion à www.github.com (www.github.com)|192.30.252.130|:80... échec : Aucun chemin d'accès pour atteindre l'hôte cible. > > Ce ne serait pas un problème de routage ? > Le réseau inaccessible est en 192.*.*.*. > Un mauvais subneting ?
Oui, ça sent le mauvais masque de sous-réseau 255.0.0.0 au lieu de 255.255.0.0 ou plus grand sur une interface réseau du conteneur ou de l'hôte.
Alors là, bien vu !
Un grand merci à tous les deux. La remarque de Jean-Marc m'a fait identifier exactement le point souligné par Pascal.
Ça a clairement foiré entre la chaise et le clavier…
Dans la configuration réseau de mes conteneurs (/etc/network/interfaces) :
address 192.168.1.55 netmask 255.255.255.0
Dans la configuration LXC du conteneur (/var/lib/lxc/<vm>/config) :
lxc.network.ipv4 = 192.168.1.55/8
Mais où suis-je allé chercher une pareille idée ???
En tout cas tout roule maintenant.
Encore merci.
Sébastien
Le samedi 13 février 2016 à 15:19, Pascal Hambourg a écrit :
Jean-Marc a écrit :
> Sébastien NOBILI <sebnewsletter@free.fr> écrivait :
>
>> Connexion à www.github.com (www.github.com)|192.30.252.130|:80... échec : Aucun chemin d'accès pour atteindre l'hôte cible.
>
> Ce ne serait pas un problème de routage ?
> Le réseau inaccessible est en 192.*.*.*.
> Un mauvais subneting ?
Oui, ça sent le mauvais masque de sous-réseau 255.0.0.0 au lieu de
255.255.0.0 ou plus grand sur une interface réseau du conteneur ou de
l'hôte.
Alors là, bien vu !
Un grand merci à tous les deux. La remarque de Jean-Marc m'a fait identifier
exactement le point souligné par Pascal.
Ça a clairement foiré entre la chaise et le clavier…
Dans la configuration réseau de mes conteneurs (/etc/network/interfaces) :
address 192.168.1.55
netmask 255.255.255.0
Dans la configuration LXC du conteneur (/var/lib/lxc/<vm>/config) :
lxc.network.ipv4 = 192.168.1.55/8
Mais où suis-je allé chercher une pareille idée ???
Le samedi 13 février 2016 à 15:19, Pascal Hambourg a écrit :
Jean-Marc a écrit : > Sébastien NOBILI écrivait : > >> Connexion à www.github.com (www.github.com)|192.30.252.130|:80... échec : Aucun chemin d'accès pour atteindre l'hôte cible. > > Ce ne serait pas un problème de routage ? > Le réseau inaccessible est en 192.*.*.*. > Un mauvais subneting ?
Oui, ça sent le mauvais masque de sous-réseau 255.0.0.0 au lieu de 255.255.0.0 ou plus grand sur une interface réseau du conteneur ou de l'hôte.
Alors là, bien vu !
Un grand merci à tous les deux. La remarque de Jean-Marc m'a fait identifier exactement le point souligné par Pascal.
Ça a clairement foiré entre la chaise et le clavier…
Dans la configuration réseau de mes conteneurs (/etc/network/interfaces) :
address 192.168.1.55 netmask 255.255.255.0
Dans la configuration LXC du conteneur (/var/lib/lxc/<vm>/config) :
lxc.network.ipv4 = 192.168.1.55/8
Mais où suis-je allé chercher une pareille idée ???
En tout cas tout roule maintenant.
Encore merci.
Sébastien
Pascal Hambourg
Sébastien NOBILI a écrit :
Le samedi 13 février 2016 à 15:19, Pascal Hambourg a écrit :
Jean-Marc a écrit :
Ce ne serait pas un problème de routage ? Le réseau inaccessible est en 192.*.*.*. Un mauvais subneting ?
Oui, ça sent le mauvais masque de sous-réseau 255.0.0.0
Alors là, bien vu !
C'est un grand classique avec les destinations dont l'adresse IPv4 publique commence par 192.
Dans la configuration réseau de mes conteneurs (/etc/network/interfaces) :
address 192.168.1.55 netmask 255.255.255.0
Ça, c'est bon.
Dans la configuration LXC du conteneur (/var/lib/lxc/<vm>/config) :
lxc.network.ipv4 = 192.168.1.55/8
Je suppose qu'il fallait /24. A quoi sert ce paramètre ? N'est-il pas redondant avec le contenu de /etc/network/interfaces ?
Mais où suis-je allé chercher une pareille idée ???
Confusion entre la taille du préfixe (24 bits) et la taille du sous-réseau (8 bits), peut-être ?
Sébastien NOBILI a écrit :
Le samedi 13 février 2016 à 15:19, Pascal Hambourg a écrit :
Jean-Marc a écrit :
Ce ne serait pas un problème de routage ?
Le réseau inaccessible est en 192.*.*.*.
Un mauvais subneting ?
Oui, ça sent le mauvais masque de sous-réseau 255.0.0.0
Alors là, bien vu !
C'est un grand classique avec les destinations dont l'adresse IPv4
publique commence par 192.
Dans la configuration réseau de mes conteneurs (/etc/network/interfaces) :
address 192.168.1.55
netmask 255.255.255.0
Ça, c'est bon.
Dans la configuration LXC du conteneur (/var/lib/lxc/<vm>/config) :
lxc.network.ipv4 = 192.168.1.55/8
Je suppose qu'il fallait /24. A quoi sert ce paramètre ? N'est-il pas
redondant avec le contenu de /etc/network/interfaces ?
Mais où suis-je allé chercher une pareille idée ???
Confusion entre la taille du préfixe (24 bits) et la taille du
sous-réseau (8 bits), peut-être ?
Le samedi 13 février 2016 à 15:19, Pascal Hambourg a écrit :
Jean-Marc a écrit :
Ce ne serait pas un problème de routage ? Le réseau inaccessible est en 192.*.*.*. Un mauvais subneting ?
Oui, ça sent le mauvais masque de sous-réseau 255.0.0.0
Alors là, bien vu !
C'est un grand classique avec les destinations dont l'adresse IPv4 publique commence par 192.
Dans la configuration réseau de mes conteneurs (/etc/network/interfaces) :
address 192.168.1.55 netmask 255.255.255.0
Ça, c'est bon.
Dans la configuration LXC du conteneur (/var/lib/lxc/<vm>/config) :
lxc.network.ipv4 = 192.168.1.55/8
Je suppose qu'il fallait /24. A quoi sert ce paramètre ? N'est-il pas redondant avec le contenu de /etc/network/interfaces ?
Mais où suis-je allé chercher une pareille idée ???
Confusion entre la taille du préfixe (24 bits) et la taille du sous-réseau (8 bits), peut-être ?
S
Le samedi 13 février 2016 à 15:54, Pascal Hambourg a écrit :
Sébastien NOBILI a écrit : > Dans la configuration LXC du conteneur (/var/lib/lxc/<vm>/config) : > > lxc.network.ipv4 = 192.168.1.55/8
Je suppose qu'il fallait /24. A quoi sert ce paramètre ? N'est-il pas redondant avec le contenu de /etc/network/interfaces ?
Tu supposes bien, c'est vrai que j'aurais pu le marquer explicitement…
Ce paramètre provient directement d'un copier/coller de la doc (perso) sur laquelle je me base lorsque je déploie un nouveau conteneur. C'est un reste historique (sûrement remontant à une époque où l'intérieur du conteneur était un peu moins statique) et qui ne sert manifestement plus à rien… Il n'est pas le seul puisque je définis(sais) aussi :
lxc.network.name lxc.network.ipv4.gateway
C'est cool, cette histoire m'aura permis de faire du ménage dans ma conf et dans ma doc :-D
Merci !
Sébastien
Le samedi 13 février 2016 à 15:54, Pascal Hambourg a écrit :
Sébastien NOBILI a écrit :
> Dans la configuration LXC du conteneur (/var/lib/lxc/<vm>/config) :
>
> lxc.network.ipv4 = 192.168.1.55/8
Je suppose qu'il fallait /24. A quoi sert ce paramètre ? N'est-il pas
redondant avec le contenu de /etc/network/interfaces ?
Tu supposes bien, c'est vrai que j'aurais pu le marquer explicitement…
Ce paramètre provient directement d'un copier/coller de la doc (perso) sur
laquelle je me base lorsque je déploie un nouveau conteneur. C'est un reste
historique (sûrement remontant à une époque où l'intérieur du conteneur était un
peu moins statique) et qui ne sert manifestement plus à rien… Il n'est pas le
seul puisque je définis(sais) aussi :
lxc.network.name
lxc.network.ipv4.gateway
C'est cool, cette histoire m'aura permis de faire du ménage dans ma conf et dans
ma doc :-D
Le samedi 13 février 2016 à 15:54, Pascal Hambourg a écrit :
Sébastien NOBILI a écrit : > Dans la configuration LXC du conteneur (/var/lib/lxc/<vm>/config) : > > lxc.network.ipv4 = 192.168.1.55/8
Je suppose qu'il fallait /24. A quoi sert ce paramètre ? N'est-il pas redondant avec le contenu de /etc/network/interfaces ?
Tu supposes bien, c'est vrai que j'aurais pu le marquer explicitement…
Ce paramètre provient directement d'un copier/coller de la doc (perso) sur laquelle je me base lorsque je déploie un nouveau conteneur. C'est un reste historique (sûrement remontant à une époque où l'intérieur du conteneur était un peu moins statique) et qui ne sert manifestement plus à rien… Il n'est pas le seul puisque je définis(sais) aussi :
lxc.network.name lxc.network.ipv4.gateway
C'est cool, cette histoire m'aura permis de faire du ménage dans ma conf et dans ma doc :-D