RE: [FRnOG] [TECH] xconnect L2TPv3 et IP interface
Radu, Comme j'ai dit dans mon premier message le ping fonctionne bien entre les sites sur le VLAN15 si je ne fais rien d'autre sur le xConnect attaché au port Fe0/0.15. Mon problème est que je cherche à nater le réseau 192.168.15.X avec une IP GW sur le routeur de chaque site. Par exemple 192.168.15.100 (gw site 1) et 192.168.15.200 (gw site 2) Cela ne fonctionne pas que cela soit en bvi, vrf ou loopback... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] iptables me rendra fou
Le dim. 27 janv. 2019 à 16:54, Johan Fleury a écrit : > Je ne suis pas un grand fan ni de networkd, ni de resolvd, mais il faut > reconnaître que ce dernier a des features intéressantes : validation DNSSEC, > DNS over TLS avec fallback, etc. Oh la la malheureux, je te conseille de retirer ça, de présenter tes excuses, de dire que la journée n’avait pas été facile, etc... :) La dernière fois que j’ai dit publiquement du bien de systemd (sur FRSAG, pas ici), les gens d’accord avec moi sont venus me le dire majoritairement *en privé*, parce que tu comprends, l’avouer publiquement c’est prendre le risque de se faire traiter de tous les noms (j’exagère à peine). systemd, toutes les distribs y sont passées pour une raison : le tas de script bash utilisés précédemment est une horreur à maintenir et dans certains cas à utiliser. Ceux qui s’y opposent le font soit pour suivre le mouvement, soit parce qu’ils ne veulent pas trop remettre en question tout ce qu’ils ont appris il y a des années. Sûrement les mêmes qui t’expliquent qu’il n’y a pas de souci à utiliser qmail en 2019. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] iptables me rendra fou
On Sun, Jan 27, 2019 at 10:53:51AM -0500, Johan Fleury wrote: > Pour le nommage des interfaces, c’est la même saloperie que sous les BSD > pourtant je ne vois personne faire d’appel au meurtre de leur développeurs. > Pourrais-tu élaborer là-dessus ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] iptables me rendra fou
On 27/01/2019 16:53, Johan Fleury wrote: Pour le nommage des interfaces, c’est la même saloperie que sous les BSD pourtant je ne vois personne faire d’appel au meurtre de leur développeurs. Et puis bon, pour le désactiver c’est une histoire de 13 caractères à rajouter dans la configuration de Grub. OK pour la partie c'est facile à désactiver. Par contre personnelemnt je trouve cela très bien la manière de faire BSD, tant le nommage que l'init (KISS quoi). -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] iptables me rendra fou
Le 26/01/2019 à 10:33, Jérôme Nicolle a écrit : > Bon, on est plus exactement trolldi > Dis le mec qui passe le reste de son mail à écrire SytemD/Linux. Je ne suis pas un grand fan ni de networkd, ni de resolvd, mais il faut reconnaître que ce dernier a des features intéressantes : validation DNSSEC, DNS over TLS avec fallback, etc. D’ailleurs resolved n’est pas activé par défaut dans Debian, pas plus que networkd et de son côté, timesyncd est désactivé dès qu’un autre service NTP est installé. Pour le nommage des interfaces, c’est la même saloperie que sous les BSD pourtant je ne vois personne faire d’appel au meurtre de leur développeurs. Et puis bon, pour le désactiver c’est une histoire de 13 caractères à rajouter dans la configuration de Grub. Au passage, ça s’écrit en lowercase : systemd. -- Johan Fleury PGP Key ID : 0x5D404386805E56E6 signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [TECH] iptables me rendra fou
Le 26/01/2019 à 20:48, Raphael Mazelier a écrit : On 26/01/2019 20:37, Alarig Le Lay wrote: J’ai récemment découvert que l’on peut passer net.ifnames=0 et biosdevname=0 au kernel pour désactiver ça : https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/networking_guide/sec-disabling_consistent_network_device_naming Intéressant... y'a moyen de virer networkd dans debian9 et de retrouver le réseau 'normal' ? Vu l'heure et le jour, en cas de repas de famille, je propose une palika pour la digestion (enfin pour ceux qui sont pas de permanence ou d'astreinte :) PS Le détail de l'histoire et ça peut aussi donner des idées (dans les deux sens)... Me suis fait un setup des fagots sous debian 8 pour utiliser toutes les IP d'un bloc (sans en perdre 3 à chaque fois) avec n domU Xen+xl (donc tout le setup réseau à la mano + des n intranets de communication inter domus). Le network/interfaces fait quelques lignes et c'est idem pour le script iptables, j'en ai un peu ch... à débugguer la partie réseau, n'étant pas un pro (plus 2/3 rescues :). Par contre le résultat est là, j'évite une vm pour un routeur : maniper trois fichiers interfaces, iptables et sysctl.conf dans l'hyperviseur, et ça roule. Chaque VM a son propre firewall sur ses interfaces. Les débits extranet et intranet sont furieux. C'est fiable et projetable. Dernièrement (n'ayant rien contre la nouveauté) j'ai réussi à comprendre comment faire avec debian9/networkd avec n domU Xen+xl (donc encore tout le setup réseau à la mano) mais là c'était une seule IP en frontal (pour l'hyperviseur et toutes les vm, ce qui n'est pas mon cas général). J'appréhende (par manque de temps) la galère pour passer au niveau suivant avec networkd (soit toutes les IP d'un bloc utilisables sans en perdre 3 à chaque fois) pour autant de domu. Cette manip est un peu verbeuse dans interfaces (on pourrait la scripter pour de plus gros blocs) mais je ne retrouve pas toutes les fonctions d'interface dans networkd... En particulier, comme ça, je vois pas comment implémenter avec networkd un paramètre zarbi (et indispensable dans ce cas) comme "pointopoint". Donc... ...s'il y avait moyen de virer proprement networkd sans péter systemd en restant fiable pour de la prod, ça serait très intéressant (en attendant d'avoir un peu plus de temps... surtout que dans pas longtemps, on va aussi se retrouver avec un autre remue-méninges pour ne pas vieillir : le remplaçant d'iptables :) ou (bonus extraballe, pardon... extrabouteille) ...une bonne âme pour me donner la soluce avec networkd (auquel cas, un soudoyage aggravé à base de wodka à la pomme de terre de l'île de ré ou de gin à base d'algues d'oléron -selon dispo et goût- est furieusement prévu, et ce sont des produits très goûtus :) Copie ci-dessous du netword/interfaces et du bout correspondant dans iptables. Une IP pour l'hyperviseur : *.*.140.63 UN /28 pour les VMs *.*.150.160 -> *.*.150.175 # # Interfaces - Configuration réseau pour v2 # # # Interface locale # auto lo iface lo inet loopback # # Interface physique du serveur et de l'hyperviseur dom0 # auto eth0 iface eth0 inet static address *.*.140.63 netmask 255.255.255.0 network *.*.140.0 broadcast *.*.140.255 gateway *.*.140.254 pointopoint *.*.140.254 # # Interfaces ponts pour les eth0 des domUs - bloc de /28 # auto br001 iface br001 inet static address 192.168.175.1 <- fake ip netmask 255.255.255.0 pre-up brctl addbr $IFACE post-up route add -host *.*.150.175 $IFACE post-down brctl delbr $IFACE ... ==== 14 définitions de ponts coupées auto br240 iface br240 inet static address 192.168.167.1 netmask 255.255.255.0 pre-up brctl addbr $IFACE post-up route add -host *.*.150.167 $IFACE post-down brctl delbr $IFACE # # Interfaces virtuelles pour les eth1, eth2, ethX des domUs # auto dummy0 iface dummy0 inet manual auto veth1 iface veth1 inet static address 192.168.1.254 netmask 255.255.255.0 network 192.168.1.0
Re: [FRnOG] [TECH] iptables me rendra fou
Dès que je peux je dégage systemd http://without-systemd.org/wiki/index.php/How_to_remove_systemd_from_a_Debian_Stretch_installation > Le 27 janv. 2019 à 16:26, Emmanuel DECAEN a > écrit : > > Bonjour, > >> Le 27/01/2019 à 10:07, Guillaume Tournat a écrit : >> Ça fonctionne. Sur Debian ca me permet de conserver des noms à l’ancienne : >> eth0, eth1... > C'est effectivement une bonne idée pour faire du debug et isoler cet aspect > dont le comportement est parfois surprenant. > D'autant que ce renommage avec systemd (240-2) peut aboutir à des choses pour > le moins inattendues côté réseau. > > Si on prend l'exemple ci-dessous, la partie L2 (VLAN 40) monte comme il faut > : xgbe1.40. > Malheureusement elle se trouve renommée en "rename5", et la partie L3 (IP) > échoue bêtement car le nom de l'interface a changé :-( > > Définition de l'interface: > iface xgbe1.40 inet static > address 192.168.40.218/24 > > $ sudo ifup xgbe1.40 > Cannot find device "xgbe1.40" > ifup: failed to bring up xgbe1.40 > > $ sudo dmesg > [ 56.446861] 8021q: adding VLAN 0 to HW filter on device xgbe1 > [ 56.449675] rename5: renamed from xgbe1.40 > > $ ip link > 3: xgbe1: [...] > 5: rename5@xgbe1: [...] > > Pour les curieux, le détail est ici: > https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=917128 > > Bon Week-End. > -- > Emmanuel DECAEN > E-Mail: e...@xsalto.com > > www.xsalto.com > Tél: 04 92 36 60 06 > Support: 04 92 36 60 07 > Fax: 04 92 36 19 75 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] iptables me rendra fou
Bonjour, Le 27/01/2019 à 10:07, Guillaume Tournat a écrit : > Ça fonctionne. Sur Debian ca me permet de conserver des noms à l’ancienne : > eth0, eth1... C'est effectivement une bonne idée pour faire du debug et isoler cet aspect dont le comportement est parfois surprenant. D'autant que ce renommage avec systemd (240-2) peut aboutir à des choses pour le moins inattendues côté réseau. Si on prend l'exemple ci-dessous, la partie L2 (VLAN 40) monte comme il faut : xgbe1.40. Malheureusement elle se trouve renommée en "rename5", et la partie L3 (IP) échoue bêtement car le nom de l'interface a changé :-( Définition de l'interface: iface xgbe1.40 inet static address 192.168.40.218/24 $ sudo ifup xgbe1.40 Cannot find device "xgbe1.40" ifup: failed to bring up xgbe1.40 $ sudo dmesg [ 56.446861] 8021q: adding VLAN 0 to HW filter on device xgbe1 [ 56.449675] rename5: renamed from xgbe1.40 $ ip link 3: xgbe1: [...] 5: rename5@xgbe1: [...] Pour les curieux, le détail est ici: https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=917128 Bon Week-End. -- *Emmanuel DECAEN* E-Mail: e...@xsalto.com www.xsalto.com Tél: 04 92 36 60 06 Support: 04 92 36 60 07 Fax: 04 92 36 19 75 --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] xconnect L2TPv3 et IP interface
On Sat, Jan 26, 2019, at 17:41, Sébastien 65 wrote: > Le xconnect ne me dit plus rien lorsque j'attache le bridge-group 1 sur > l'interface Fe0/1.15. Ce n'est pas pour autant que tu dois le faire. Le xconnect je le vois tres mal fonctionner en combination avec toute autre option: - soit le paquet est "asipre" par le xconnect pour etre transmis - soit il est traite en local (routage, bridging, ) Essaye donc avec xconnect et rien d'autre. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] iptables me rendra fou
Ça fonctionne. Sur Debian ca me permet de conserver des noms à l’ancienne : eth0, eth1... > Le 26 janv. 2019 à 20:37, Alarig Le Lay a écrit : > > Hello, > >> On sam. 26 janv. 16:33:37 2019, Jérôme Nicolle wrote: >> On peut pas builder des appliances NFV de façon industrielle >> (virtualisées ou dockerisées) avec un adressage et comportement >> déterministe en terme de stack et services réseau - au moins kernel-land >> à cause de son tas de merde. > > J’ai récemment découvert que l’on peut passer net.ifnames=0 et > biosdevname=0 au kernel pour désactiver ça : > https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/networking_guide/sec-disabling_consistent_network_device_naming > > Par contre, je n’ai encore jamais essayé de le faire. > > -- > Alarig > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/