Re: Mon ip failover ne marche pas ?
Le 3 mars 2009 11:21, François TOURDE <fra-duf-no-spam@tourde.org> a écrit :
> Le 14306ième jour après Epoch,
> Kevin Hinault écrivait:
>
>> Le 3 mars 2009 09:27, François TOURDE <fra-duf-no-spam@tourde.org> a écrit :
>>> Le 14306ième jour après Epoch,
>>> Gaulin Jérôme écrivait:
>>>
>>>> Bonjour la liste,
>>>>
>>>> J'ai une dedibox et il m'est impossible de la joindre via son ip
>>>> failover.
>>>>
>>>> - Installation fraiche et classique d'une debian etch ( idem avec
>>>> lenny )
>>>>
>>>> - Configuration classique des interfaces:
>>>
>>> Pas si classique que ça. Tes deux interfaces sont sur le même network,
>>> et une seule gateway est configurée...
>>>
>>> Du coup, si tu ping vers dummy0, au mieux c'est eth0 qui va te
>>> répondre. Il faut faire du source-routing dans ce cas. Google est ton
>>> ami pour ça ... Et surtout je me souviens plus comment on fait :p
>>
>> Je ne vois pas l'inconvénient. L'IP de Fail Over est une adresse IP
>> virtuelle attribuée à une même carte réseau physique donc le fait
>> qu'il n'y ait qu'une gateway n'est pas un problème. Tout ce qui sort
>> de la machine sortira par la même carte et arrivera sur le même
>> routeur.
>
> Ce n'est pas ce que je voulais dire. En gros, si tu admets que tes
> paquets vont systématiquement sortir avec l'IP standard (parce que tu
> n'as pas mis en place le source-routing), voilà ce qu'il peut se
> produire:
>
> step Machine X Dedibox
> 1 ping (IPx, IPf) --> le ping est reçu
> 2 <-- reply (IPn, IPx)
> 3 le firewall va
> refuser, c'est pas
> ce qui est sorti
>
Non justement. La réponse se fait bien avec l'adresse IPf et non IPn.
Il n'y a aucune raison pour que soudainement la machine réponde avec
une autre adresse IP sur un ping. Je n'admets nulle part que les
paquets vont *systematiquement* sortir avec l'adresse IP standard, je
dis :
Les réponses aux requêtes externe vers la mahcine se font avec
l'adresse sur lequel la machine a reçu la requête.
Les requêtes vers l'extérieur initiées par la machine se font, elles,
sur la sortie standard.
> A l'étape 1, une machine envoie un ping vers l'IP failover de la
> dedibox. Selon ton firewall et autres règles que tu as pû mettre en
> oeuvre, comme la réponse au ping va être marquée avec l'IP normale,
> soit c'est la dedibox qui la bloque elle-même, soit c'est la machine
> extérieure qui va recevoir une réponse à une requête qu'elle a pas
> émis.
>
> D'après son tcpdump, c'est bien sa machine X qui va filtrer ces
> réponses, puisque la dedibox reçoit et émet l'ICMP.
>
> Pour vérifier, il faudrait aussi lancer un tcpdump sur la machine qui
> émet le ping, de façon à être sûr de savoir d'où viens le souci. Il me
> semble qu'une option du ping permet de dire "j'ai reçu une réponse,
> mais c'est pas la bonne", mais je laisse le soin au PO de lire le man
> :)
J'ai bien vérifié et c'est l'adresse IP de destination qui me répond.
Reply to: