[FRsAG] Problème d'isolation réseau et système sous Linux - OVS - Qemu

Florent Nolot fnolot at gmail.com
Mer 14 Aou 12:24:40 CEST 2019


Salut

Le 14/08/2019 à 11:50, SERRUT Arnaud a écrit :
> Salut
>
> Sur un pare-feu, j'étais tombé sur un paramètre activé par défaut qui, 
> si un paquet arrivait d'un vlan  qui ne lui était pas connu, il le 
> broadcastait à l'ensemble des ports.
>
je n'ai aucun firewall dans la maquette.

> Tes ports acceptent les vlan 10 et 66 tagués (donc pas par défaut), 
> mais tes Vm font elles bien l'effort d'envoyer des paquets tagués à 
> ton vswitch ?

Les VM envoient des paquets non tagués. C'est l'OVS qui doit mettre les 
tag, comme sur un switch normal.

cordialmeent

>
> Le mer. 14 août 2019 à 11:45, Florent Nolot <fnolot at gmail.com 
> <mailto:fnolot at gmail.com>> a écrit :
>
>     Bonjour
>
>     justement, je n'ai pas de routage en place, pas de proxy arp et
>     les trames de broadcast atteigne VM3 depuis VM1
>
>     Sur mon host :
>
>     toto at ubuntu:~$ ip route show
>     default via 10.22.9.254 dev ens160 onlink
>     10.22.9.0/24 <http://10.22.9.0/24> dev ens160 proto kernel scope
>     link src 10.22.9.75
>
>     net.ipv4.ip_forward = 0
>     net.ipv4.conf.all.proxy_arp = 0
>
>     Sur les VM, je n'ai pas de route par défaut. Chaque VM est lancé
>     ainsi
>
>     qemu-system-x86_64 -machine accel=kvm:tcg -cpu host -m 256 -hda
>     alpine-lab1.img -net nic,macaddr=52:54:00:12:12:02 -net
>     tap,script=no,ifname=lab1vm1 -vnc :2 -name lab1vm1 -localtime
>     --daemonize
>
>     Ce que je n'explique pas, si je down eth0 eth1 de la VM2, les ping
>     continue à marcher ! VM2 ne fait donc pas le routage. Visiblement,
>     c'est le kernel du host qui relai les paquets. Mais pourquoi les
>     tag vlan ne jouent pas leur rôle ?
>
>     Cordialement
>
>     Le 14/08/2019 à 04:44, VALOIS, Pascal a écrit :
>>
>>     bonjour,
>>
>>     Dans ton cas, je pense que tes vm1 2 et 3 ont chacune une route
>>     par défaut positionnée, et que l'équipement qui assure leur
>>     routage fait le lien  entre les deux vlans.
>>
>>     en gros, au niveau 2 tu est bien isolé, mais comme tu es dans un
>>     contexte de ping et de routage ip, et non plus d'une transation
>>     pure ethernet (niveau 2), ben tu as un chemin qui existe entre
>>     des vms.
>>
>>     A ce niveau la, il faut ajouter des ACLS sur ton équipement de
>>     routage, pour filtrer le niveau 3 (comme le ferai un firewall)
>>
>>     Cordialement.
>>
>>     Le 13/08/2019 à 23:23, Florent Nolot a écrit :
>>>
>>>     Bonjour
>>>
>>>     J'ai un problème d'isolation entre des VM connectés à un
>>>     OpenVSwitch et utilisant des VLAN. Les vlan ne jouent pas leur
>>>     rôle de cloisement. Je copie ci-dessous le post stackoverflow
>>>     que j'ai effectué, resté sans réponse à ce jour.
>>>
>>>     I have 3 VM (qemu with tap interface), 2 on vlan 10 and 1 on
>>>     vlan 66 on the same lab1 OpenVSwitch. The first VM is connected
>>>     via a tap interface on port lab1vm1. The second has 2 network
>>>     interfaces connected on port lab1dhcp and lab1dhcpmaster and the
>>>     third VM on port dhcpmaster.
>>>
>>>     |------------- ----------------------- -------------- | VM 1 | |
>>>     VM2 | | VM3 | |10.10.10.3 | |10.8.6.1 10.10.10.13| | 10.10.10.2
>>>     | ------------- ----------------------- -------------- | | | | |
>>>     | | |
>>>     ------------------------------------------------------------------
>>>     |lab1vm1 lab1dhcp lab1dhcpadm dhcpmaster OVS lab1| |tag 10 tag
>>>     10 tag 66 tag 66 |
>>>     ------------------------------------------------------------------ |
>>>
>>>     The OpenVSwitch is configured as follow :
>>>
>>>     |Bridge"lab1"Port"lab1vm1"tag:10Interface"lab1vm1"Port"lab1"tag:10Interface"lab1"type:internal
>>>     Port"lab1dhcp"tag:10Interface"lab1dhcp"Port"lab1dhcpadm"tag:66Interface"lab1dhcpadm"Portdhcpmaster
>>>     tag:66Interfacedhcpmaster ovs_version:"2.9.2"|
>>>
>>>     The problem: VM1 can ping VM3!
>>>
>>>       * If I power off VM2 or shutdown lab1dhcp or lab1dhcpadm
>>>         interface, the ping doesn't work.
>>>       * If I shutdown the two network interfaces of VM2, ping works !
>>>
>>>     Why VM2 relay ICMP packet from VM1 to VM3 ? The broadcast send
>>>     by VM1 reach also VM3 ! for example, if I ask an address from
>>>     dhcp client on VM1, VM3 receive the dhcp discover.
>>>
>>>     Merci pour votre aide.
>>>
>>>     Florent
>>>
>>>
>>>     _______________________________________________
>>>     Liste de diffusion du FRsAG
>>>     http://www.frsag.org/
>>
>>
>     _______________________________________________
>     Liste de diffusion du FRsAG
>     http://www.frsag.org/
>
-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: <http://www.frsag.org/pipermail/frsag/attachments/20190814/45ddf5ce/attachment.html>


Plus d'informations sur la liste de diffusion FRsAG