[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Mon ip failover ne marche pas ?


On 03/03/2009, at 9:21 PM, François TOURDE wrote:


Le 14306ième jour après Epoch,
Kevin Hinault écrivait:
Le 3 mars 2009 09:27, François TOURDE <fra-duf-no-spam@tourde.org> a écrit : 
Le 14306ième jour après Epoch,
Gaulin Jérôme écrivait:


Bonjour la liste,

J'ai une dedibox et il m'est impossible de la joindre via son ip
failover.

- Installation fraiche et classique d'une debian etch  ( idem avec
lenny )

- Configuration classique des interfaces:
Pas si classique que ça. Tes deux interfaces sont sur le même network, 
et une seule gateway est configurée...

Du coup, si tu ping vers dummy0, au mieux c'est eth0 qui va te
répondre. Il faut faire du source-routing dans ce cas. Google est ton 
ami pour ça ... Et surtout je me souviens plus comment on fait :p


Je ne vois pas l'inconvénient. L'IP de Fail Over est une adresse IP
virtuelle attribuée à une même carte réseau physique donc le fait
qu'il n'y ait qu'une gateway n'est pas un problème. Tout ce qui sort
de la machine sortira par la même carte et arrivera sur le même
routeur.


Ce n'est pas ce que je voulais dire. En gros, si tu admets que tes
paquets vont systématiquement sortir avec l'IP standard (parce que tu
n'as pas mis en place le source-routing),


net.ipv4.conf.all.accept_source_route = 1
net.ipv4.conf.default.accept_source_route = 1
net.ipv4.conf.lo.accept_source_route = 1
net.ipv4.conf.eth0.accept_source_route = 1
net.ipv4.conf.dummy0.accept_source_route = 1
Je repete c'est une etch "qui sort de la boite", sans rien d'exotique dessus. 


voilà ce qu'il peut se
produire:

step    Machine X           Dedibox
1      ping (IPx, IPf) --> le ping est reçu
2                      <-- reply (IPn, IPx)
3      le firewall va
      refuser, c'est pas
      ce qui est sorti

A l'étape 1, une machine envoie un ping vers l'IP failover de la
dedibox. Selon ton firewall et autres règles que tu as pû mettre en
oeuvre, comme la réponse au ping va être marquée avec l'IP normale,
soit c'est la dedibox qui la bloque elle-même, soit c'est la machine
extérieure qui va recevoir une réponse à une requête qu'elle a pas
émis.

D'après son tcpdump, c'est bien sa machine X qui va filtrer ces
réponses, puisque la dedibox reçoit et émet l'ICMP.



D'apres mon un tcpdump icmp sur ta "machine X" elle ne filtre rien.


Pour vérifier, il faudrait aussi lancer un tcpdump sur la machine qui
émet le ping, de façon à être sûr de savoir d'où viens le souci. Il me
semble qu'une option du ping permet de dire "j'ai reçu une réponse,
mais c'est pas la bonne", mais je laisse le soin au PO de lire le man
:)



Je pencherai plus pour un probleme chez free.
"In computer networking, source routing allows a sender of a packet to specify the route the packet takes through the network." 

--
J. Gaulin
jgaulin@tescom-uplink.com
Reply to: