Salut

Le 14/08/2019 à 11:50, SERRUT Arnaud a écrit :
Salut

Sur un pare-feu, j'étais tombé sur un paramètre activé par défaut qui, si un paquet arrivait d'un vlan  qui ne lui était pas connu, il le broadcastait à l'ensemble des ports. 

je n'ai aucun firewall dans la maquette.

Tes ports acceptent les vlan 10 et 66 tagués (donc pas par défaut), mais tes Vm font elles bien l'effort d'envoyer des paquets tagués à ton vswitch ?

Les VM envoient des paquets non tagués. C'est l'OVS qui doit mettre les tag, comme sur un switch normal.

cordialmeent


Le mer. 14 août 2019 à 11:45, Florent Nolot <fnolot@gmail.com> a écrit :

Bonjour

justement, je n'ai pas de routage en place, pas de proxy arp et les trames de broadcast atteigne VM3 depuis VM1

Sur mon host :

toto@ubuntu:~$ ip route show
default via 10.22.9.254 dev ens160 onlink
10.22.9.0/24 dev ens160 proto kernel scope link src 10.22.9.75

net.ipv4.ip_forward = 0
net.ipv4.conf.all.proxy_arp = 0

Sur les VM, je n'ai pas de route par défaut. Chaque VM est lancé ainsi

qemu-system-x86_64 -machine accel=kvm:tcg -cpu host -m 256 -hda alpine-lab1.img -net nic,macaddr=52:54:00:12:12:02 -net tap,script=no,ifname=lab1vm1 -vnc :2 -name lab1vm1 -localtime --daemonize

Ce que je n'explique pas, si je down eth0 eth1 de la VM2, les ping continue à marcher ! VM2 ne fait donc pas le routage. Visiblement, c'est le kernel du host qui relai les paquets. Mais pourquoi les tag vlan ne jouent pas leur rôle ?

Cordialement

Le 14/08/2019 à 04:44, VALOIS, Pascal a écrit :

bonjour,

Dans ton cas, je pense que tes vm1 2 et 3 ont chacune une route par défaut positionnée, et que l'équipement qui assure leur routage fait le lien  entre les deux vlans.

en gros, au niveau 2 tu est bien isolé, mais comme tu es dans un contexte de ping et de routage ip, et non plus d'une transation pure ethernet (niveau 2), ben tu as un chemin qui existe entre des vms.

A ce niveau la, il faut ajouter des ACLS sur ton équipement de routage, pour filtrer le niveau 3 (comme le ferai un firewall)

Cordialement.

Le 13/08/2019 à 23:23, Florent Nolot a écrit :

Bonjour

J'ai un problème d'isolation entre des VM connectés à un OpenVSwitch et utilisant des VLAN. Les vlan ne jouent pas leur rôle de cloisement. Je copie ci-dessous le post stackoverflow que j'ai effectué, resté sans réponse à ce jour.

I have 3 VM (qemu with tap interface), 2 on vlan 10 and 1 on vlan 66 on the same lab1 OpenVSwitch. The first VM is connected via a tap interface on port lab1vm1. The second has 2 network interfaces connected on port lab1dhcp and lab1dhcpmaster and the third VM on port dhcpmaster.

-------------   -----------------------  --------------
| VM 1      |   |        VM2          |  |   VM3      |
|10.10.10.3 |   |10.8.6.1  10.10.10.13|  | 10.10.10.2 |
-------------   -----------------------  --------------
   |                |           |             |
   |                |           |             |
------------------------------------------------------------------
|lab1vm1          lab1dhcp  lab1dhcpadm   dhcpmaster     OVS lab1|
|tag 10           tag 10     tag 66         tag 66               |
------------------------------------------------------------------

The OpenVSwitch is configured as follow :

    Bridge "lab1"
        Port "lab1vm1"
            tag: 10
            Interface "lab1vm1"
        Port "lab1"
            tag: 10
            Interface "lab1"
                type: internal
        Port "lab1dhcp"
            tag: 10
            Interface "lab1dhcp"
        Port "lab1dhcpadm"
            tag: 66
            Interface "lab1dhcpadm"
        Port dhcpmaster
            tag: 66
            Interface dhcpmaster
    ovs_version: "2.9.2"

The problem: VM1 can ping VM3!

  • If I power off VM2 or shutdown lab1dhcp or lab1dhcpadm interface, the ping doesn't work.
  • If I shutdown the two network interfaces of VM2, ping works !

Why VM2 relay ICMP packet from VM1 to VM3 ? The broadcast send by VM1 reach also VM3 ! for example, if I ask an address from dhcp client on VM1, VM3 receive the dhcp discover.

Merci pour votre aide.

Florent


_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/


_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/