Probleme VLAN tagged

Bonsoir,

J'ai un soucis avec les vlans sous une Debian 3.1 noyau 2.4.27-2-386,
avec carte réseau réaltek :

Cette Debian est connecté sur un lien physique avec deux vlans
propagées (Tagged) via un HP procurve, sur ce lien :
vlan 50
vlan 234
Vlan public
eth0.234
-Machines Vlan public (234)
Serveur-----------------------------------HP---------------------
Vlan privé eth0.50
-Machines Vlan privé (50)

J'ai bien fait un modprobe 801q, j'ai ensuite configuré mes interfaces
dans le fichier :
/etc/network/interfac,es :
# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth0

auto eth0.50
iface eth0.50 inet static
address 10.234.160.248
netmask 255.255.0.0
network 10.234.0.0
broadcast 10.234.255.255
dns-nameservers x.x.234.246
dns-search x.x.fr
vlan_raw_device eth0

auto eth0.234
iface eth0.234 inet static
address x.x.234.245
netmask 255.255.255.0
network x.x.234.0
broadcast x.x.234.255
gateway x.x.234.250
dns-nameservers x.x.234.246
dns-search x.x.fr
vlan_raw_device eth0

Au niveau du routage :
Les routes vers les réseaux directement connectés (10.234.0.0 et
x.x.234.0) et la route par défaut.
dns:~# route -n
Kernel IP routing table
Destination Gateway Genmask Flags
Metric Ref Use Iface
x.x.234.0 0.0.0.0 255.255.255.0 U
0 0 0 eth0.234
10.234.0.0 0.0.0.0 255.255.0.0 U
0 0 0 eth0.50
0.0.0.0 x..x.234.250 0.0.0.0 UG
0 0 0 eth0.234

J'ai aussi activé le forwarding.

Je fais un ping vers www.free.fr : sa marche.
Je fais un ping du vlan public (eth0.234) depuis le serveur vers des
machines situés dans le vlan public (234) sa marche et inversement.
Je fais un ping du vlan privé (eth0.50) depuis le serveur vers des
machines situés dans le vlan privé (50) sa marche et inversement.

Par contre quand je suis sur une machine du vlan privé (50) que je
tape ping x.x.234.245 ( adresse du serveur dans le vlan public), il y
a un message d'erreur(Délai d'attente de la demande dépassé).

Je fais un tcpdump sur le serveur sur l'adresse du vlan public
(eth0.234) : je vois bien l'écho request provenant de la machine
privée (10....).
Si je désactive l'interface vlan privée sur le serveur eth0.50, et que
je retape la commande ping depuis une machine privée, la commande
réussie.

Cela veut dire donc qu'il n'y a pas de problème au niveau du routage
inter-vlan sur les équipements réseaux, et que cela provient bien de
mon serveur.
Problème de routage ?? Si vous avez une idée je suis preneur je galère
vraiment.
Je vous remercie par avance,
Fabien.

Bonsoir,

J'ai un soucis avec les vlans sous une Debian 3.1 noyau 2.4.27-2-386,
avec carte réseau réaltek :

Cette Debian est connecté sur un lien physique avec deux vlans propagées
(Tagged) via un HP procurve, sur ce lien :
vlan 50
vlan 234
Vlan public
eth0.234 -Machines
Vlan public (234)
Serveur-----------------------------------HP---------------------
Vlan privé eth0.50
-Machines Vlan privé (50)

J'ai bien fait un modprobe 801q, j'ai ensuite configuré mes interfaces
dans le fichier :
/etc/network/interfaces :
# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth0

auto eth0.50
iface eth0.50 inet static
address 10.234.160.248
netmask 255.255.0.0
network 10.234.0.0
broadcast 10.234.255.255
dns-nameservers x.x.234.246
dns-search x.x.fr
vlan_raw_device eth0

auto eth0.234
iface eth0.234 inet static
address x.x.234.245
netmask 255.255.255.0
network x.x.234.0
broadcast x.x.234.255
gateway x.x.234.250
dns-nameservers x.x.234.246
dns-search x.x.fr
vlan_raw_device eth0

Au niveau du routage :
Les routes vers les réseaux directement connectés (10.234.0.0 et
x.x.234.0) et la route par défaut.
dns:~# route -n
Kernel IP routing table
Destination Gateway Genmask Flags
Metric Ref Use Iface
x.x.234.0 0.0.0.0 255.255.255.0 U
0 0 0 eth0.234
10.234.0.0 0.0.0.0 255.255.0.0 U
0 0 0 eth0.50
0.0.0.0 x..x.234.250 0.0.0.0 UG
0 0 0 eth0.234


J'ai aussi activé le forwarding.

Je fais un ping vers www.free.fr : sa marche.
Je fais un ping du vlan public (eth0.234) depuis le serveur vers des
machines situés dans le vlan public (234) sa marche et inversement.
Je fais un ping du vlan privé (eth0.50) depuis le serveur vers des
machines situés dans le vlan privé (50) sa marche et inversement.

Par contre quand je suis sur une machine du vlan privé (50) que je tape
ping x.x.234.245 ( adresse du serveur dans le vlan public), il y a un
message d'erreur(Délai d'attente de la demande dépassé).
Je fais un tcpdump sur le serveur sur l'adresse du vlan public
(eth0.234) : je vois bien l'écho request provenant de la machine privée
(10....).
Si je désactive l'interface vlan privée sur le serveur eth0.50, et que
je retape la commande ping depuis une machine privée, la commande réussie.

Cela veut dire donc qu'il n'y a pas de problème au niveau du routage
inter-vlan sur les équipements réseaux, et que cela provient bien de mon
serveur.
Problème de routage ?? Si vous avez une idée je suis preneur je galère
vraiment.
Je vous remercie par avance,
Fabien.

Fabien CEI wrote:

Bonsoir,

Salut,

J'ai un soucis avec les vlans sous une Debian 3.1 noyau 2.4.27-2-386,
avec carte réseau réaltek :

Cette Debian est connecté sur un lien physique avec deux vlans
propagées (Tagged) via un HP procurve, sur ce lien :
vlan 50
vlan 234
Vlan public
eth0.234
-Machines Vlan public (234)
Serveur-----------------------------------HP---------------------
Vlan privé eth0.50
-Machines Vlan privé (50)

J'ai bien fait un modprobe 801q, j'ai ensuite configuré mes
interfaces dans le fichier :
/etc/network/interfac,es :
# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth0

auto eth0.50
iface eth0.50 inet static
address 10.234.160.248
netmask 255.255.0.0
network 10.234.0.0
broadcast 10.234.255.255
dns-nameservers x.x.234.246
dns-search x.x.fr
vlan_raw_device eth0

auto eth0.234
iface eth0.234 inet static
address x.x.234.245
netmask 255.255.255.0
network x.x.234.0
broadcast x.x.234.255
gateway x.x.234.250
dns-nameservers x.x.234.246
dns-search x.x.fr
vlan_raw_device eth0

Au niveau du routage :
Les routes vers les réseaux directement connectés (10.234.0.0 et
x.x.234.0) et la route par défaut.
dns:~# route -n
Kernel IP routing table
Destination Gateway Genmask Flags
Metric Ref Use Iface
x.x.234.0 0.0.0.0 255.255.255.0 U
0 0 0 eth0.234
10.234.0.0 0.0.0.0 255.255.0.0 U
0 0 0 eth0.50
0.0.0.0 x..x.234.250 0.0.0.0 UG
0 0 0 eth0.234

Peut être qu'en ajoutant cela.

route add -net x.x.234.0 netmask 255.255.255.0 default gw x.x.234.245
route add -net 10.234.0 netmask 255.255.0.0 default gw 10.234.160.248

J'ai aussi activé le forwarding.

Je fais un ping vers www.free.fr : sa marche.
Je fais un ping du vlan public (eth0.234) depuis le serveur vers des
machines situés dans le vlan public (234) sa marche et inversement.
Je fais un ping du vlan privé (eth0.50) depuis le serveur vers des
machines situés dans le vlan privé (50) sa marche et inversement.

Par contre quand je suis sur une machine du vlan privé (50) que je
tape ping x.x.234.245 ( adresse du serveur dans le vlan public), il y
a un message d'erreur(Délai d'attente de la demande dépassé).

Tu ping l'interface reseau du serveur ! as tu essayé entre machine
vlan privé et une machine du Vlan public ? il se passe quoi ?

Je fais un tcpdump sur le serveur sur l'adresse du vlan public
(eth0.234) : je vois bien l'écho request provenant de la machine
privée (10....).
Si je désactive l'interface vlan privée sur le serveur eth0.50, et
que je retape la commande ping depuis une machine privée, la commande
réussie.

Est ce qu'il y aurait pas un firewall sur le serveur, qui empecherait
les ping ACK de revenir ?

Cela veut dire donc qu'il n'y a pas de problème au niveau du routage
inter-vlan sur les équipements réseaux, et que cela provient bien de
mon serveur.
Problème de routage ?? Si vous avez une idée je suis preneur je
galère vraiment.
Je vous remercie par avance,
Fabien.

@+
Eddy

Eddy wrote:

Fabien CEI wrote:

Bonsoir,

Salut,

J'ai un soucis avec les vlans sous une Debian 3.1 noyau
2.4.27-2-386, avec carte réseau réaltek :

Cette Debian est connecté sur un lien physique avec deux vlans
propagées (Tagged) via un HP procurve, sur ce lien :
vlan 50
vlan 234
Vlan public
eth0.234
-Machines Vlan public (234)
Serveur-----------------------------------HP---------------------
Vlan privé
eth0.50
-Machines Vlan privé (50)

J'ai bien fait un modprobe 801q, j'ai ensuite configuré mes
interfaces dans le fichier :
/etc/network/interfac,es :
# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth0

auto eth0.50
iface eth0.50 inet static
address 10.234.160.248
netmask 255.255.0.0
network 10.234.0.0
broadcast 10.234.255.255
dns-nameservers x.x.234.246
dns-search x.x.fr
vlan_raw_device eth0

auto eth0.234
iface eth0.234 inet static
address x.x.234.245
netmask 255.255.255.0
network x.x.234.0
broadcast x.x.234.255
gateway x.x.234.250
dns-nameservers x.x.234.246
dns-search x.x.fr
vlan_raw_device eth0

Au niveau du routage :
Les routes vers les réseaux directement connectés (10.234.0.0 et
x.x.234.0) et la route par défaut.
dns:~# route -n
Kernel IP routing table
Destination Gateway Genmask Flags
Metric Ref Use Iface
x.x.234.0 0.0.0.0 255.255.255.0 U
0 0 0 eth0.234
10.234.0.0 0.0.0.0 255.255.0.0 U
0 0 0 eth0.50
0.0.0.0 x..x.234.250 0.0.0.0
UG 0 0 0 eth0.234

Peut être qu'en ajoutant cela.

route add -net x.x.234.0 netmask 255.255.255.0 default gw x.x.234.245
route add -net 10.234.0 netmask 255.255.0.0 default gw 10.234.160.248

J'ai aussi activé le forwarding.

Je fais un ping vers www.free.fr : sa marche.
Je fais un ping du vlan public (eth0.234) depuis le serveur vers des
machines situés dans le vlan public (234) sa marche et inversement.
Je fais un ping du vlan privé (eth0.50) depuis le serveur vers des
machines situés dans le vlan privé (50) sa marche et inversement.

Par contre quand je suis sur une machine du vlan privé (50) que je
tape ping x.x.234.245 ( adresse du serveur dans le vlan public), il
y a un message d'erreur(Délai d'attente de la demande dépassé).

Tu ping l'interface reseau du serveur ! as tu essayé entre machine
vlan privé et une machine du Vlan public ? il se passe quoi ?

Je fais un tcpdump sur le serveur sur l'adresse du vlan public
(eth0.234) : je vois bien l'écho request provenant de la machine
privée (10....).
Si je désactive l'interface vlan privée sur le serveur eth0.50, et
que je retape la commande ping depuis une machine privée, la
commande réussie.

Est ce qu'il y aurait pas un firewall sur le serveur, qui empecherait
les ping ACK de revenir ?

Cela veut dire donc qu'il n'y a pas de problème au niveau du routage
inter-vlan sur les équipements réseaux, et que cela provient bien de
mon serveur.
Problème de routage ?? Si vous avez une idée je suis preneur je
galère vraiment.
Je vous remercie par avance,
Fabien.

@+
Eddy

Pour les routes, je ne peux pas ajouter autant de default. Normalement
il n'y a qu'une seule route par défaut.

En ce qui concerne le ping, j'ai essayé d'une machine sur le vlan
privé vers un serveur le vlan public et sa passe sans problème.

Sur le serveur le serveur il n'y a pas de firewall, iptable :

dns:~# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination

La question que je me pause, c'est comment savoir le traitement qui
est effectué par le serveur sur ces paquets ?

Je vous remercie par avance,
et merci pour la réactivité.

Fabien CEI wrote:

Eddy wrote:

Fabien CEI wrote:

Bonsoir,

Salut,

J'ai un soucis avec les vlans sous une Debian 3.1 noyau
2.4.27-2-386, avec carte réseau réaltek :

Cette Debian est connecté sur un lien physique avec deux vlans
propagées (Tagged) via un HP procurve, sur ce lien :
vlan 50
vlan 234
Vlan public
eth0.234
-Machines Vlan public (234)
Serveur-----------------------------------HP---------------------
Vlan privé
eth0.50
-Machines Vlan privé (50)

J'ai bien fait un modprobe 801q, j'ai ensuite configuré mes
interfaces dans le fichier :
/etc/network/interfac,es :
# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth0

auto eth0.50
iface eth0.50 inet static
address 10.234.160.248
netmask 255.255.0.0
network 10.234.0.0
broadcast 10.234.255.255
dns-nameservers x.x.234.246
dns-search x.x.fr
vlan_raw_device eth0

auto eth0.234
iface eth0.234 inet static
address x.x.234.245
netmask 255.255.255.0
network x.x.234.0
broadcast x.x.234.255
gateway x.x.234.250
dns-nameservers x.x.234.246
dns-search x.x.fr
vlan_raw_device eth0

Au niveau du routage :
Les routes vers les réseaux directement connectés (10.234.0.0 et
x.x.234.0) et la route par défaut.
dns:~# route -n
Kernel IP routing table
Destination Gateway Genmask Flags
Metric Ref Use Iface
x.x.234.0 0.0.0.0 255.255.255.0
U 0 0 0 eth0.234
10.234.0.0 0.0.0.0 255.255.0.0
U 0 0 0 eth0.50
0.0.0.0 x..x.234.250 0.0.0.0
UG 0 0 0 eth0.234

Peut être qu'en ajoutant cela.

route add -net x.x.234.0 netmask 255.255.255.0 default gw x.x.234.245
route add -net 10.234.0 netmask 255.255.0.0 default gw 10.234.160.248

J'ai aussi activé le forwarding.

Je fais un ping vers www.free.fr : sa marche.
Je fais un ping du vlan public (eth0.234) depuis le serveur vers
des machines situés dans le vlan public (234) sa marche et
inversement.
Je fais un ping du vlan privé (eth0.50) depuis le serveur vers des
machines situés dans le vlan privé (50) sa marche et inversement.

Par contre quand je suis sur une machine du vlan privé (50) que je
tape ping x.x.234.245 ( adresse du serveur dans le vlan public), il
y a un message d'erreur(Délai d'attente de la demande dépassé).

Tu ping l'interface reseau du serveur ! as tu essayé entre machine
vlan privé et une machine du Vlan public ? il se passe quoi ?

Je fais un tcpdump sur le serveur sur l'adresse du vlan public
(eth0.234) : je vois bien l'écho request provenant de la machine
privée (10....).
Si je désactive l'interface vlan privée sur le serveur eth0.50, et
que je retape la commande ping depuis une machine privée, la
commande réussie.

Est ce qu'il y aurait pas un firewall sur le serveur, qui
empecherait les ping ACK de revenir ?

Cela veut dire donc qu'il n'y a pas de problème au niveau du
routage inter-vlan sur les équipements réseaux, et que cela
provient bien de mon serveur.
Problème de routage ?? Si vous avez une idée je suis preneur je
galère vraiment.
Je vous remercie par avance,
Fabien.

@+
Eddy

Pour les routes, je ne peux pas ajouter autant de default.
Normalement il n'y a qu'une seule route par défaut.

Oui en effet la syntaxe que j'ai donnée etait pas terrible ;)

En ce qui concerne le ping, j'ai essayé d'une machine sur le vlan
privé vers un serveur le vlan public et sa passe sans problème.

Bah si ca fonctionne comme çà et que c'est juste le ping sur
l'interface du routeur qui fonctionne pas pourquoi s'en faire plus ?

Sur le serveur le serveur il n'y a pas de firewall, iptable :

dns:~# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination Chain
FORWARD (policy ACCEPT)
target prot opt source destination Chain
OUTPUT (policy ACCEPT)
target prot opt source destination
La question que je me pause, c'est comment savoir le traitement qui
est effectué par le serveur sur ces paquets ?

Avec la commande traceroute adresse_ip tu devrais pouvoir savoir ou
vont les paquets :)

Je vous remercie par avance,
et merci pour la réactivité.