Re: Mon ip failover ne marche pas ?

To: debian-user-french@lists.debian.org
Subject: Re: Mon ip failover ne marche pas ?
From: fra-duf-no-spam@tourde.org (François TOURDE)
Date: Tue, 03 Mar 2009 11:21:05 +0100
Message-id: <[🔎] 87hc2arjou.fsf@fermat.tourde.home>
In-reply-to: <[🔎] ecd2a87a0903030048q733e9634ybc1ecba8a9dc4eb0@mail.gmail.com> (Kevin Hinault's message of "Tue\, 3 Mar 2009 09\:48\:26 +0100")
References: <[🔎] 022A8CAD-7F1A-46D4-A085-0504FD2FA5E2@tescom-uplink.com> <[🔎] 87ljrnqads.fsf@fermat.tourde.home> <[🔎] ecd2a87a0903030048q733e9634ybc1ecba8a9dc4eb0@mail.gmail.com>

Le 14306ième jour après Epoch,
Kevin Hinault écrivait:

> Le 3 mars 2009 09:27, François TOURDE <fra-duf-no-spam@tourde.org> a écrit :
>> Le 14306ième jour après Epoch,
>> Gaulin Jérôme écrivait:
>>
>>> Bonjour la liste,
>>>
>>> J'ai une dedibox et il m'est impossible de la joindre via son ip
>>> failover.
>>>
>>> - Installation fraiche et classique d'une debian etch  ( idem avec
>>> lenny )
>>>
>>> - Configuration classique des interfaces:
>>
>> Pas si classique que ça. Tes deux interfaces sont sur le même network,
>> et une seule gateway est configurée...
>>
>> Du coup, si tu ping vers dummy0, au mieux c'est eth0 qui va te
>> répondre. Il faut faire du source-routing dans ce cas. Google est ton
>> ami pour ça ... Et surtout je me souviens plus comment on fait :p
>
> Je ne vois pas l'inconvénient. L'IP de Fail Over est une adresse IP
> virtuelle attribuée à une même carte réseau physique donc le fait
> qu'il n'y ait qu'une gateway n'est pas un problème. Tout ce qui sort
> de la machine sortira par la même carte et arrivera sur le même
> routeur.

Ce n'est pas ce que je voulais dire. En gros, si tu admets que tes
paquets vont systématiquement sortir avec l'IP standard (parce que tu
n'as pas mis en place le source-routing), voilà ce qu'il peut se
produire:

step    Machine X           Dedibox
1      ping (IPx, IPf) --> le ping est reçu
2                      <-- reply (IPn, IPx)
3      le firewall va
       refuser, c'est pas
       ce qui est sorti

A l'étape 1, une machine envoie un ping vers l'IP failover de la
dedibox. Selon ton firewall et autres règles que tu as pû mettre en
oeuvre, comme la réponse au ping va être marquée avec l'IP normale,
soit c'est la dedibox qui la bloque elle-même, soit c'est la machine
extérieure qui va recevoir une réponse à une requête qu'elle a pas
émis.

D'après son tcpdump, c'est bien sa machine X qui va filtrer ces
réponses, puisque la dedibox reçoit et émet l'ICMP.

Pour vérifier, il faudrait aussi lancer un tcpdump sur la machine qui
émet le ping, de façon à être sûr de savoir d'où viens le souci. Il me
semble qu'une option du ping permet de dire "j'ai reçu une réponse,
mais c'est pas la bonne", mais je laisse le soin au PO de lire le man
:)

Reply to:

Follow-Ups:
- Re: Mon ip failover ne marche pas ?
  - From: Kevin Hinault <hinault@gmail.com>
- Re: Mon ip failover ne marche pas ?
  - From: Gaulin Jérôme <jerome.gaulin@tescom-uplink.com>

References:
- Mon ip failover ne marche pas ?
  - From: Gaulin Jérôme <jerome.gaulin@tescom-uplink.com>
- Re: Mon ip failover ne marche pas ?
  - From: fra-duf-no-spam@tourde.org (François TOURDE)
- Re: Mon ip failover ne marche pas ?
  - From: Kevin Hinault <hinault@gmail.com>

Prev by Date: Passage de Etch à Lenny : Pb mise à jour de Mantis
Next by Date: Re: Mon ip failover ne marche pas ?
Previous by thread: Re: Mon ip failover ne marche pas ?
Next by thread: Re: Mon ip failover ne marche pas ?
Index(es):
- Date
- Thread