Re: Mon ip failover ne marche pas ?
On 03/03/2009, at 9:38 PM, Gaulin Jérôme wrote: On 03/03/2009, at 9:21 PM, François TOURDE wrote: Le 14306ième jour après Epoch, Kevin Hinault écrivait: Le 3 mars 2009 09:27, François TOURDE a écrit : Le 14306ième jour après Epoch, Gaulin Jérôme écrivait: Bonjour la liste, J'ai une dedibox et il m'est impossible de la joindre via son ip failover. - Installation fraiche et classique d'une debian etch ( idem avec lenny ) - Configuration classique des interfaces: Pas si classique que ça. Tes deux interfaces sont sur le même network, et une seule gateway est configurée... Du coup, si tu ping vers dummy0, au mieux c'est eth0 qui va te répondre. Il faut faire du source-routing dans ce cas. Google est ton ami pour ça ... Et surtout je me souviens plus comment on fait :p Je ne vois pas l'inconvénient. L'IP de Fail Over est une adresse IP virtuelle attribuée à une même carte réseau physique donc le fait qu'il n'y ait qu'une gateway n'est pas un problème. Tout ce qui sort de la machine sortira par la même carte et arrivera sur le même routeur. Ce n'est pas ce que je voulais dire. En gros, si tu admets que tes paquets vont systématiquement sortir avec l'IP standard (parce que tu n'as pas mis en place le source-routing), net.ipv4.conf.all.accept_source_route = 1 net.ipv4.conf.default.accept_source_route = 1 net.ipv4.conf.lo.accept_source_route = 1 net.ipv4.conf.eth0.accept_source_route = 1 net.ipv4.conf.dummy0.accept_source_route = 1 Je repete c'est une etch "qui sort de la boite", sans rien d'exotique dessus. voilà ce qu'il peut se produire: stepMachine X Dedibox 1 ping (IPx, IPf) --> le ping est reçu 2 <-- reply (IPn, IPx) 3 le firewall va refuser, c'est pas ce qui est sorti A l'étape 1, une machine envoie un ping vers l'IP failover de la dedibox. Selon ton firewall et autres règles que tu as pû mettre en oeuvre, comme la réponse au ping va être marquée avec l'IP normale, soit c'est la dedibox qui la bloque elle-même, soit c'est la machine extérieure qui va recevoir une réponse à une requête qu'elle a pas émis. D'après son tcpdump, c'est bien sa machine X qui va filtrer ces réponses, puisque la dedibox reçoit et émet l'ICMP. D'apres mon un tcpdump icmp sur ta "machine X" elle ne filtre rien. Pour vérifier, il faudrait aussi lancer un tcpdump sur la machine qui émet le ping, de façon à être sûr de savoir d'où viens le souci. Il me semble qu'une option du ping permet de dire "j'ai reçu une réponse, mais c'est pas la bonne", mais je laisse le soin au PO de lire le man :) Je pencherai plus pour un probleme chez free. "In computer networking, source routing allows a sender of a packet to specify the route the packet takes through the network." Bon et bien le probleme venait bien de chez FREE. 20 jours pour reparer J'hesite a prendre une pro maintenant. Qui connait un bon hebergeur ou je puisse prendre deux trois machines pas trop chers qui puissent former un LAN sur leurs deuxieme cartes reseaux ? -- Jerome Gaulin jgau...@tescom-uplink.com -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: Mon ip failover ne marche pas ?
Le 14306ième jour après Epoch, Gaulin Jérôme écrivait: > On 03/03/2009, at 11:01 PM, Daniel Huhardeaux wrote: > >> Gaulin Jérôme a écrit : >>> [...] mtr -t -a 1.2.3.4 google.com >>> Resultat : aucun retour de paquets. >> Ok. Et si vous faites la même manipulation: >> . sur l'IP non failover >> . d'une autre machine vers l'IP failover > > Et bien logiquement, sur l'ip non failover cela fonctionne. > Le deuxieme point est justement mon soucis :) Ne pas arriver a joindre > la machine sur son ip failover. En résumé: Les paquets partant de chez toi vers la dedibox arrivent bien (tcpdump), les paquets de la dedibox semblent partir sans soucis (mtr -t -a xxx sans message d'erreur?). Donc, on peut raisonnablement en conclure que c'est le routage de ton fournisseur qui est en cause. L'idéal serait de faire le mtr de la dedibox vers chez toi, histoire de confirmer que le tcpdump ne voit rien venir. Après, tu peux aussi essayer de faire un mtr de ta dedibox vers elle-même, de son IP failover vers son IP normale. Dans ce cas, il est probable que les paquets pénètrent un peu dans les couches de type firewall et routage, tu en sauras plus. Et ensuite, ben j'ai plus d'idées ;) -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: Mon ip failover ne marche pas ?
On 03/03/2009, at 11:14 PM, Kevin Hinault wrote: Le 3 mars 2009 11:48, François TOURDE a écrit : La gateway unique sur la config l'admet à ta place, si le source routing n'est pas correctement configuré. N'est ce pas le comportement par défaut ? Si si. La debian est fraichement installée. -- J. Gaulin jgau...@tescom-uplink.com -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: Mon ip failover ne marche pas ?
On 03/03/2009, at 11:01 PM, Daniel Huhardeaux wrote: Gaulin Jérôme a écrit : [...] mtr -t -a 1.2.3.4 google.com Resultat : aucun retour de paquets. Ok. Et si vous faites la même manipulation: . sur l'IP non failover . d'une autre machine vers l'IP failover Et bien logiquement, sur l'ip non failover cela fonctionne. Le deuxieme point est justement mon soucis :) Ne pas arriver a joindre la machine sur son ip failover. -- J. Gaulin jgau...@tescom-uplink.com -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: Mon ip failover ne marche pas ?
Le 3 mars 2009 11:48, François TOURDE a écrit : > La gateway unique sur la config l'admet à ta place, si le source > routing n'est pas correctement configuré. N'est ce pas le comportement par défaut ? -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: Mon ip failover ne marche pas ?
Gaulin Jérôme a écrit : [...] J'ai précisé adresse IP _pas_ nom de l'interface ;-) mtr -t -a 1.2.3.4 google.com Oops :) Il est un peu tard a sydney... Resultat : aucun retour de paquets. Ok. Et si vous faites la même manipulation: . sur l'IP non failover . d'une autre machine vers l'IP failover cela donne quoi? -- Daniel -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: Mon ip failover ne marche pas ?
On 03/03/2009, at 10:44 PM, Daniel Huhardeaux wrote: Gaulin Jérôme a écrit : On 03/03/2009, at 10:30 PM, daniel huhardeaux wrote: François TOURDE a écrit : [...] Sinon, il me semble que traceroute possède un paramètre permettant de choisir l'interface de sortie, [...] avec mtr il s'agit de l'option -a extrait man: Use this option to bind outgoing packets’ socket to specific interface, so that any packet will be sent through this interface. NOTE that this option doesn’t apply to DNS requests (which could be and could not be what you want). Merci pour les infos, mtr -a dummy0 google.com mtr: bad interface address: dummy0 mtr: Couldn't set interface address. Interface virtuelle. J'ai précisé adresse IP _pas_ nom de l'interface ;-) mtr -t -a 1.2.3.4 google.com Oops :) Il est un peu tard a sydney... Resultat : aucun retour de paquets. -- J. Gaulin jgau...@tescom-uplink.com -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: Mon ip failover ne marche pas ?
Gaulin Jérôme a écrit : On 03/03/2009, at 10:30 PM, daniel huhardeaux wrote: François TOURDE a écrit : [...] Sinon, il me semble que traceroute possède un paramètre permettant de choisir l'interface de sortie, [...] avec mtr il s'agit de l'option -a extrait man: Use this option to bind outgoing packets’ socket to specific interface, so that any packet will be sent through this interface. NOTE that this option doesn’t apply to DNS requests (which could be and could not be what you want). Merci pour les infos, mtr -a dummy0 google.com mtr: bad interface address: dummy0 mtr: Couldn't set interface address. Interface virtuelle. J'ai précisé adresse IP _pas_ nom de l'interface ;-) mtr -t -a 1.2.3.4 google.com -- Daniel -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: Mon ip failover ne marche pas ?
On 03/03/2009, at 10:30 PM, daniel huhardeaux wrote: François TOURDE a écrit : [...] Sinon, il me semble que traceroute possède un paramètre permettant de choisir l'interface de sortie, [...] avec mtr il s'agit de l'option -a extrait man: Use this option to bind outgoing packets’ socket to specific interface, so that any packet will be sent through this interface. NOTE that this option doesn’t apply to DNS requests (which could be and could not be what you want). Merci pour les infos, mtr -a dummy0 google.com mtr: bad interface address: dummy0 mtr: Couldn't set interface address. Interface virtuelle. -- J. Gaulin jgau...@tescom-uplink.com -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: Mon ip failover ne marche pas ?
François TOURDE a écrit : [...] Sinon, il me semble que traceroute possède un paramètre permettant de choisir l'interface de sortie, [...] avec mtr il s'agit de l'option -a extrait man: Use this option to bind outgoing packets’ socket to specific interface, so that any packet will be sent through this interface. NOTE that this option doesn’t apply to DNS requests (which could be and could not be what you want). -- Daniel -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: Mon ip failover ne marche pas ?
Le 14306ième jour après Epoch, Gaulin Jérôme écrivait: > Je pencherai plus pour un probleme chez free. > "In computer networking, source routing allows a sender of a packet to > specify the route the packet takes through the network." Pour en être sûr, tu peux essayer une manip du genre: - Configurer le FW pour faire du SNAT sur les paquets ICMP echo request - Faire un ping depuis la Dedibox vers ta machine et regarder si ça arrive et ce qui arrive. Sinon, il me semble que traceroute possède un paramètre permettant de choisir l'interface de sortie, mais je ne suis pas sûr que ça cadre dans le cas d'une seule interface physique. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: Mon ip failover ne marche pas ?
Le 14306ième jour après Epoch, Kevin Hinault écrivait: > Non justement. La réponse se fait bien avec l'adresse IPf et non > IPn. Ben chez toi, je sais pas, je parlais de la config du posteur originel... > Il n'y a aucune raison pour que soudainement la machine réponde avec > une autre adresse IP sur un ping. Je n'admets nulle part que les > paquets vont *systematiquement* sortir avec l'adresse IP standard La gateway unique sur la config l'admet à ta place, si le source routing n'est pas correctement configuré. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: Mon ip failover ne marche pas ?
Le 14306ième jour après Epoch, Daniel Huhardeaux écrivait: > Pardon, j'ai par la suite compris que j'avais mal interprété tes > écrits. Désolé :-[ Ouais, bon, faut pas en faire un drame non plus, hein? Ça aurait été vendredi j'aurais râlé comme un malpropre en t'insultant copieusement, mais là j'ai juste mis un smiley ;) -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: Mon ip failover ne marche pas ?
On 03/03/2009, at 9:21 PM, François TOURDE wrote: Le 14306ième jour après Epoch, Kevin Hinault écrivait: Le 3 mars 2009 09:27, François TOURDE a écrit : Le 14306ième jour après Epoch, Gaulin Jérôme écrivait: Bonjour la liste, J'ai une dedibox et il m'est impossible de la joindre via son ip failover. - Installation fraiche et classique d'une debian etch ( idem avec lenny ) - Configuration classique des interfaces: Pas si classique que ça. Tes deux interfaces sont sur le même network, et une seule gateway est configurée... Du coup, si tu ping vers dummy0, au mieux c'est eth0 qui va te répondre. Il faut faire du source-routing dans ce cas. Google est ton ami pour ça ... Et surtout je me souviens plus comment on fait :p Je ne vois pas l'inconvénient. L'IP de Fail Over est une adresse IP virtuelle attribuée à une même carte réseau physique donc le fait qu'il n'y ait qu'une gateway n'est pas un problème. Tout ce qui sort de la machine sortira par la même carte et arrivera sur le même routeur. Ce n'est pas ce que je voulais dire. En gros, si tu admets que tes paquets vont systématiquement sortir avec l'IP standard (parce que tu n'as pas mis en place le source-routing), net.ipv4.conf.all.accept_source_route = 1 net.ipv4.conf.default.accept_source_route = 1 net.ipv4.conf.lo.accept_source_route = 1 net.ipv4.conf.eth0.accept_source_route = 1 net.ipv4.conf.dummy0.accept_source_route = 1 Je repete c'est une etch "qui sort de la boite", sans rien d'exotique dessus. voilà ce qu'il peut se produire: stepMachine X Dedibox 1 ping (IPx, IPf) --> le ping est reçu 2 <-- reply (IPn, IPx) 3 le firewall va refuser, c'est pas ce qui est sorti A l'étape 1, une machine envoie un ping vers l'IP failover de la dedibox. Selon ton firewall et autres règles que tu as pû mettre en oeuvre, comme la réponse au ping va être marquée avec l'IP normale, soit c'est la dedibox qui la bloque elle-même, soit c'est la machine extérieure qui va recevoir une réponse à une requête qu'elle a pas émis. D'après son tcpdump, c'est bien sa machine X qui va filtrer ces réponses, puisque la dedibox reçoit et émet l'ICMP. D'apres mon un tcpdump icmp sur ta "machine X" elle ne filtre rien. Pour vérifier, il faudrait aussi lancer un tcpdump sur la machine qui émet le ping, de façon à être sûr de savoir d'où viens le souci. Il me semble qu'une option du ping permet de dire "j'ai reçu une réponse, mais c'est pas la bonne", mais je laisse le soin au PO de lire le man :) Je pencherai plus pour un probleme chez free. "In computer networking, source routing allows a sender of a packet to specify the route the packet takes through the network." -- J. Gaulin jgau...@tescom-uplink.com -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: Mon ip failover ne marche pas ?
François TOURDE a écrit : Le 14306ième jour après Epoch, Daniel Huhardeaux écrivait: Je suis comme François: quel est l'intérêt d'une adresse failover sur la même carte physique et sur le même réseau? Ah non, j'ai jamais dis ça :) Pardon, j'ai par la suite compris que j'avais mal interprété tes écrits. Désolé :-[ [...] -- Daniel -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: Mon ip failover ne marche pas ?
Le 3 mars 2009 11:21, François TOURDE a écrit : > Le 14306ième jour après Epoch, > Kevin Hinault écrivait: > >> Le 3 mars 2009 09:27, François TOURDE a écrit : >>> Le 14306ième jour après Epoch, >>> Gaulin Jérôme écrivait: >>> Bonjour la liste, J'ai une dedibox et il m'est impossible de la joindre via son ip failover. - Installation fraiche et classique d'une debian etch ( idem avec lenny ) - Configuration classique des interfaces: >>> >>> Pas si classique que ça. Tes deux interfaces sont sur le même network, >>> et une seule gateway est configurée... >>> >>> Du coup, si tu ping vers dummy0, au mieux c'est eth0 qui va te >>> répondre. Il faut faire du source-routing dans ce cas. Google est ton >>> ami pour ça ... Et surtout je me souviens plus comment on fait :p >> >> Je ne vois pas l'inconvénient. L'IP de Fail Over est une adresse IP >> virtuelle attribuée à une même carte réseau physique donc le fait >> qu'il n'y ait qu'une gateway n'est pas un problème. Tout ce qui sort >> de la machine sortira par la même carte et arrivera sur le même >> routeur. > > Ce n'est pas ce que je voulais dire. En gros, si tu admets que tes > paquets vont systématiquement sortir avec l'IP standard (parce que tu > n'as pas mis en place le source-routing), voilà ce qu'il peut se > produire: > > step Machine X Dedibox > 1 ping (IPx, IPf) --> le ping est reçu > 2 <-- reply (IPn, IPx) > 3 le firewall va > refuser, c'est pas > ce qui est sorti > Non justement. La réponse se fait bien avec l'adresse IPf et non IPn. Il n'y a aucune raison pour que soudainement la machine réponde avec une autre adresse IP sur un ping. Je n'admets nulle part que les paquets vont *systematiquement* sortir avec l'adresse IP standard, je dis : Les réponses aux requêtes externe vers la mahcine se font avec l'adresse sur lequel la machine a reçu la requête. Les requêtes vers l'extérieur initiées par la machine se font, elles, sur la sortie standard. > A l'étape 1, une machine envoie un ping vers l'IP failover de la > dedibox. Selon ton firewall et autres règles que tu as pû mettre en > oeuvre, comme la réponse au ping va être marquée avec l'IP normale, > soit c'est la dedibox qui la bloque elle-même, soit c'est la machine > extérieure qui va recevoir une réponse à une requête qu'elle a pas > émis. > > D'après son tcpdump, c'est bien sa machine X qui va filtrer ces > réponses, puisque la dedibox reçoit et émet l'ICMP. > > Pour vérifier, il faudrait aussi lancer un tcpdump sur la machine qui > émet le ping, de façon à être sûr de savoir d'où viens le souci. Il me > semble qu'une option du ping permet de dire "j'ai reçu une réponse, > mais c'est pas la bonne", mais je laisse le soin au PO de lire le man > :) J'ai bien vérifié et c'est l'adresse IP de destination qui me répond. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: Mon ip failover ne marche pas ?
Le 14306ième jour après Epoch, Daniel Huhardeaux écrivait: > Je suis comme François: quel est l'intérêt d'une adresse failover sur > la même carte physique et sur le même réseau? Ah non, j'ai jamais dis ça :) J'ai juste fait remarquer que ce n'était pas une config triviale. Par contre, failover n'est pas synonyme de panne matérielle... Ça peut très bien être utilisé pour des switch applicatifs. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: Mon ip failover ne marche pas ?
Le 14306ième jour après Epoch, Kevin Hinault écrivait: > Le 3 mars 2009 09:27, François TOURDE a écrit : >> Le 14306ième jour après Epoch, >> Gaulin Jérôme écrivait: >> >>> Bonjour la liste, >>> >>> J'ai une dedibox et il m'est impossible de la joindre via son ip >>> failover. >>> >>> - Installation fraiche et classique d'une debian etch ( idem avec >>> lenny ) >>> >>> - Configuration classique des interfaces: >> >> Pas si classique que ça. Tes deux interfaces sont sur le même network, >> et une seule gateway est configurée... >> >> Du coup, si tu ping vers dummy0, au mieux c'est eth0 qui va te >> répondre. Il faut faire du source-routing dans ce cas. Google est ton >> ami pour ça ... Et surtout je me souviens plus comment on fait :p > > Je ne vois pas l'inconvénient. L'IP de Fail Over est une adresse IP > virtuelle attribuée à une même carte réseau physique donc le fait > qu'il n'y ait qu'une gateway n'est pas un problème. Tout ce qui sort > de la machine sortira par la même carte et arrivera sur le même > routeur. Ce n'est pas ce que je voulais dire. En gros, si tu admets que tes paquets vont systématiquement sortir avec l'IP standard (parce que tu n'as pas mis en place le source-routing), voilà ce qu'il peut se produire: stepMachine X Dedibox 1 ping (IPx, IPf) --> le ping est reçu 2 <-- reply (IPn, IPx) 3 le firewall va refuser, c'est pas ce qui est sorti A l'étape 1, une machine envoie un ping vers l'IP failover de la dedibox. Selon ton firewall et autres règles que tu as pû mettre en oeuvre, comme la réponse au ping va être marquée avec l'IP normale, soit c'est la dedibox qui la bloque elle-même, soit c'est la machine extérieure qui va recevoir une réponse à une requête qu'elle a pas émis. D'après son tcpdump, c'est bien sa machine X qui va filtrer ces réponses, puisque la dedibox reçoit et émet l'ICMP. Pour vérifier, il faudrait aussi lancer un tcpdump sur la machine qui émet le ping, de façon à être sûr de savoir d'où viens le souci. Il me semble qu'une option du ping permet de dire "j'ai reçu une réponse, mais c'est pas la bonne", mais je laisse le soin au PO de lire le man :) -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: Mon ip failover ne marche pas ?
L'intéret des adresses IP fail over "virtuelle" est de pouvoir basculer un service en un temps record. L'IP fail over peut être déplacé d'un serveur à l'autre, le déplacement ce fait en moins d'une minute (chez OVH) et tous le trafic est redirigé vers une autre machine. Il n'y a pas besoin, avec l'IP fail over, de modifier des entrée DNS et d'attendre plusieurs heures pour que les données DNS soit propagées à tous les clients. Le but de l'IP fail over est de pallié à un problème logiciel sur le serveur est question et non à un problème matériel du fournisseur de service. En pratique, tu configure cet ip-failover sur plusieurs machine de la même façon et ensuite avec l'interface du fournisseur tu choisi la machine qui sera utilisée. Julien Le mardi 03 mars 2009 à 10:33 +0100, Kevin Hinault a écrit : > Le 3 mars 2009 10:18, Daniel Huhardeaux a écrit : > > > Je suis comme François: quel est l'intérêt d'une adresse failover sur la > > même carte physique et sur le même réseau? Si l'un de ces éléments tombe en > > panne la failover ne sert à rien, alors que si elle est sur eth1 et sur un > > autre réseau il faut que du plus lourd tombe en panne pour que la machine > > soit inaccessible. Aujourd'hui tout serveur digne de ce nom possède 2 ports > > ethernet d'origine. > > Je n'ai pas dit le contraire. Je ne fait que dire ce que j'ai > constaté, l'IP Fail Over chez OVH est une adresse IP virtuelle. Je > suis bien d'accord que si la carte ou le routeur tombe, ça ne résoudra > rien bien évidemment. Personnellement, je m'en sers pour séparer deux > services bien différents mais l'intérêt n'est pas bien grand hors de > ça. > OVH ne fait pas payer l'ip supplémentaire. Je les soupçonne de vouloir > épuiser les adresses IPv4 pour récupérer le marché de l'IPv6. Je suis > sur que eux sont prêt contrairement à de gros FAI. > -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: Mon ip failover ne marche pas ?
On 03/03/2009, at 8:18 PM, Daniel Huhardeaux wrote: Kevin Hinault a écrit : Le 3 mars 2009 09:27, François TOURDE a écrit : Le 14306ième jour après Epoch, Gaulin Jérôme écrivait: Bonjour la liste, J'ai une dedibox et il m'est impossible de la joindre via son ip failover. - Installation fraiche et classique d'une debian etch ( idem avec lenny ) - Configuration classique des interfaces: Pas si classique que ça. Tes deux interfaces sont sur le même network, et une seule gateway est configurée... Du coup, si tu ping vers dummy0, au mieux c'est eth0 qui va te répondre. Il faut faire du source-routing dans ce cas. Google est ton ami pour ça ... Et surtout je me souviens plus comment on fait :p Je ne vois pas l'inconvénient. L'IP de Fail Over est une adresse IP virtuelle attribuée à une même carte réseau physique donc le fait qu'il n'y ait qu'une gateway n'est pas un problème. Tout ce qui sort de la machine sortira par la même carte et arrivera sur le même routeur. [...] C'est mon avis. Cela serait donc un soucis de config sur un routeur chez free... Je suis comme François: quel est l'intérêt d'une adresse failover sur la même carte physique et sur le même réseau? Si l'un de ces éléments tombe en panne la failover ne sert à rien, alors que si elle est sur eth1 et sur un autre réseau il faut que du plus lourd tombe en panne pour que la machine soit inaccessible. Aujourd'hui tout serveur digne de ce nom possède 2 ports ethernet d'origine. Je ne suis ni chez Dedibox ni chez OVH, mon hébergeur me permet de relier mes machines via un switch ou cable croisé. Eth1 de chaque machine est une adresse privée (192.168.x.x), j'ai un failover effectif. Merci pour l'info concernant OVH. Là on ne parle pas vraiment du meme type de machine le "serveur" dedibox que j'ai etant le plus petit de tous, à 30 euros. Il me sert à decouvrir l'offre de Free et ne possède qu'une seconde IP failover. J'essayerai l'offre pro qui comprend deux cartes réseaux plus tard. Concernant l'ip failover j'utilise Xen, et cela est utile pour l'attribution d'ip publique au(x) domU(s). -- J. Gaulin jgau...@tescom-uplink.com -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: Mon ip failover ne marche pas ?
Le 3 mars 2009 10:18, Daniel Huhardeaux a écrit : > Je suis comme François: quel est l'intérêt d'une adresse failover sur la > même carte physique et sur le même réseau? Si l'un de ces éléments tombe en > panne la failover ne sert à rien, alors que si elle est sur eth1 et sur un > autre réseau il faut que du plus lourd tombe en panne pour que la machine > soit inaccessible. Aujourd'hui tout serveur digne de ce nom possède 2 ports > ethernet d'origine. Je n'ai pas dit le contraire. Je ne fait que dire ce que j'ai constaté, l'IP Fail Over chez OVH est une adresse IP virtuelle. Je suis bien d'accord que si la carte ou le routeur tombe, ça ne résoudra rien bien évidemment. Personnellement, je m'en sers pour séparer deux services bien différents mais l'intérêt n'est pas bien grand hors de ça. OVH ne fait pas payer l'ip supplémentaire. Je les soupçonne de vouloir épuiser les adresses IPv4 pour récupérer le marché de l'IPv6. Je suis sur que eux sont prêt contrairement à de gros FAI. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: Mon ip failover ne marche pas ?
Kevin Hinault a écrit : Le 3 mars 2009 09:27, François TOURDE a écrit : Le 14306ième jour après Epoch, Gaulin Jérôme écrivait: Bonjour la liste, J'ai une dedibox et il m'est impossible de la joindre via son ip failover. - Installation fraiche et classique d'une debian etch ( idem avec lenny ) - Configuration classique des interfaces: Pas si classique que ça. Tes deux interfaces sont sur le même network, et une seule gateway est configurée... Du coup, si tu ping vers dummy0, au mieux c'est eth0 qui va te répondre. Il faut faire du source-routing dans ce cas. Google est ton ami pour ça ... Et surtout je me souviens plus comment on fait :p Je ne vois pas l'inconvénient. L'IP de Fail Over est une adresse IP virtuelle attribuée à une même carte réseau physique donc le fait qu'il n'y ait qu'une gateway n'est pas un problème. Tout ce qui sort de la machine sortira par la même carte et arrivera sur le même routeur. [...] Je suis comme François: quel est l'intérêt d'une adresse failover sur la même carte physique et sur le même réseau? Si l'un de ces éléments tombe en panne la failover ne sert à rien, alors que si elle est sur eth1 et sur un autre réseau il faut que du plus lourd tombe en panne pour que la machine soit inaccessible. Aujourd'hui tout serveur digne de ce nom possède 2 ports ethernet d'origine. Je ne suis ni chez Dedibox ni chez OVH, mon hébergeur me permet de relier mes machines via un switch ou cable croisé. Eth1 de chaque machine est une adresse privée (192.168.x.x), j'ai un failover effectif. -- Daniel -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: Mon ip failover ne marche pas ?
Le 3 mars 2009 09:27, François TOURDE a écrit : > Le 14306ième jour après Epoch, > Gaulin Jérôme écrivait: > >> Bonjour la liste, >> >> J'ai une dedibox et il m'est impossible de la joindre via son ip >> failover. >> >> - Installation fraiche et classique d'une debian etch ( idem avec >> lenny ) >> >> - Configuration classique des interfaces: > > Pas si classique que ça. Tes deux interfaces sont sur le même network, > et une seule gateway est configurée... > > Du coup, si tu ping vers dummy0, au mieux c'est eth0 qui va te > répondre. Il faut faire du source-routing dans ce cas. Google est ton > ami pour ça ... Et surtout je me souviens plus comment on fait :p Je ne vois pas l'inconvénient. L'IP de Fail Over est une adresse IP virtuelle attribuée à une même carte réseau physique donc le fait qu'il n'y ait qu'une gateway n'est pas un problème. Tout ce qui sort de la machine sortira par la même carte et arrivera sur le même routeur. L'adresse source d'une requête sortant du serveur, ça c'est un autre problème qui est dépendant des applications et des routes que l'on ajoute. Beaucoup d'applications sont bien incapables de proposer le paramétrage de l'adresse source cependant le problème de Jérôme est de joindre cette adresse IP depuis l'extérieur et donc c'est un problème de routage chez son fournisseur plutôt. J'ai aussi une adresse de IP Fail Over chez OVH, ma config est quasiment la même et ça marche bien : auto lo iface lo inet loopback auto eth0 iface eth0 inet static address 91.121.A.B netmask 255.255.255.0 network 91.121.A.0 broadcast 91.121.A.255 gateway 91.121.A.254 auto eth0:0 iface eth0:0 inet static address 91.121.B.C netmask 255.255.255.255 -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: Mon ip failover ne marche pas ?
Le 14306ième jour après Epoch, Gaulin Jérôme écrivait: > Bonjour la liste, > > J'ai une dedibox et il m'est impossible de la joindre via son ip > failover. > > - Installation fraiche et classique d'une debian etch ( idem avec > lenny ) > > - Configuration classique des interfaces: Pas si classique que ça. Tes deux interfaces sont sur le même network, et une seule gateway est configurée... > allow-hotplug eth0 > iface eth0 inet static > address 88.191.X.38 > netmask 255.255.0.0 > network 88.191.0.0 > broadcast 88.191.255.255 > gateway 88.191.96.1 > > auto dummy0 > iface dummy0 inet static > address 88.191.Y.148 > netmask 255.255.0.0 > network 88.191.0.0 > broadcast 88.191.255.255 Du coup, si tu ping vers dummy0, au mieux c'est eth0 qui va te répondre. Il faut faire du source-routing dans ce cas. Google est ton ami pour ça ... Et surtout je me souviens plus comment on fait :p -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org