Vlan et loopback

Message par **poulpito** » lun. 25 juil. 2016 10:52

Bonjour tout le monde

a mon tour de vous embêter
j'avoue être une quiche de première en réseau si j'ai pigé vaguement les concepts la mise en pratique me pose quelques soucis

j'aimerai isoler mes VMs du réseau domestique dans des Vlan
vlan 100 : prod
vlan 66 : lab
chacun ayant sa propre zone dhcp gérée par l'erl3
192.168.x.1-253 ou x étant l'id du vlan

j'ai donc créé dans mon erl3 des interfaces vlan liées au eth0 (qui est mon port lan)
et j'ai donc eth0, eth0.66 et eth0.100
j'ai bien créé le serveur dhcp associé ça c'est OK

côté serveur j'ai préparé mes esxi avec chacun une zone dite prod / lab associée au vlan qui va bien
et j'ai ma tite vm dedans linux sans conf particulière niveau réseau

entre deux, un switch DGS12-10 manageable sur lequel, en plus du vlan1 de base untagged sur tt les ports, j'ai rajouté mes vlan66/100 en tagged sur les ports de l'erl3, et de l'interconnect avec le réseau qui part vers les vmware (entre les machines et le DGS j'ai un switch linksys sr2016)
(j'ai du activer le vlan asymmetrique sinon aucun des tests suivants ne passe)

donc
> si je lance ma VM qui est sur la zone lab de l'esxi j'ai bien une ip attribuée par le dhcp66 on va dire
> si je change la zone et que je fais un down/up je retrouve bien une ip attribuée par le dhcp100

> si je fait un test depuis mon pc fixe je ping les ips qu'elles soient en vlan66/100 mais je n'ai accès à rien du tout à part le ping

> si je test depuis l'erl3 je peux bien faire un ssh par exemple que ce soit vers le réseau classique, une machine du vlan66 et une machine du vlan100

maintenant sur mon erl3 je rajoute une règle NAT disant
que tout ce qui arrive du WAN sur le port xx part vers cette VM du vlan66 sur port 80 (nginx de base pour tester)

le nat se fait bien depuis l'extérieur, aucun soucis j'ai bien ma page web

mais depuis l'interne

pas moyen
je pense qu'il doit y avoir un soucis avec le loopback ou je ne sais quoi c'est pas net

si vous avez des idées / remarques / explications sur ma solution et le fait d'être obligé d'activer l'asymmetrique vlan pour que tout fonctionne

voici en gros l'install

(je suis obligé de passer par le tplink du salon pour aller sur le reste des équipements car soucis de passage de cable)
entre le dgs et le linksys on passe au garage

Message par **gizmo78** » lun. 25 juil. 2016 11:01

truc con, depuis ton pc quand tu veux aller sur le 80 de ta vm, tu vois les paquets arriver?

avec tcpdump par exemple.

Si oui c'est que ca repart pas de ta vm, sinon c'est sur l'erl que ca chie

Message par **poulpito** » lun. 25 juil. 2016 11:01

je vais testiculer ca de suite

Message par **poulpito** » lun. 25 juil. 2016 11:11

j'ai du louper un truc la
corrigez moi mais bon but c'est que soit isolé et que seuls les ports NATés puissent passer entre les vlan
hors la si je tcpdump sur ma vm

si je fais un appel via dns:82 la vm ne recoit rien du tout
si je fais un appel via ip 66.101 de ma vm : tcpdump voit bien passer des trames mais le pc ne récup rien

c'est l'envers de ce que je veux mdr !

je suis vraiment nul en réseau faut vraiment que je me mette à jour

pourquoi ce con d'erl il me fait une moitié de routage entre les vlan je lui ai pas demandé ca

Message par **gizmo78** » lun. 25 juil. 2016 11:14

alors la ca dépasse mes compétences

Message par **dsebire** » lun. 25 juil. 2016 11:14

c'est quoi ton netmask ?
si tu me dis 255.255.255.0, j'appelle biour pour qu'il te flagelle a coup de câble RJ45

Message par **poulpito** » lun. 25 juil. 2016 11:17

bah si
dans mon idée il a pas de raison d'être plus que ça puisque chaque sous réseau est indépendant hors de l'erl3
(encore une fois autant des sous réseau je vois mais la avec l'isolation via vlan je vois pas pk mon masque devrait être moindre enfin je me comprends puisque c'est l'erl qui est en charge de faire tout le taff)
si tu as le temps dseb je veux bien un bout d'explique pour me coucher moins con

Message par **dsebire** » lun. 25 juil. 2016 11:26

bah oui et justement, tu aurais du comprendre que tes 2 réseaux sont différents et qui tu ne dois pas natter uniquement WAN-> 66 mais aussi 100->66 et n'importe lequel -> 66

Message par **kalistyan** » lun. 25 juil. 2016 11:27

Yo

Attention, si ton switch est seulement de niveau 2. Le routage inter-vlan va devoir être configuré dans l'ERL.

Message par **biour** » lun. 25 juil. 2016 11:30

je peux aller fouetter?

Message par **poulpito** » lun. 25 juil. 2016 11:32

je vois toujours pas le rapport avec le subnet pour le nat ouai je pensai à ca mais j'ai pas trouvé encore dans mes options pour le faire correctement
pour kali euhhh ouai mais la je vois pas (malgré le fait que le switch ait des options L3 il ne l'est pas - ils jouent sur le mot smart

)

Message par **biour** » lun. 25 juil. 2016 11:34

bha c'est loin pour moi plus de 10 ans, mais si tu laisse 255.255.255.0
Pour lui que ce soit 192.168.1.1 ou 100.1 c'est pareil

Message par **dsebire** » lun. 25 juil. 2016 11:41

il faut laisser 255.255.255.0 puisque tu définis les VLAN comme ça.
mais 192.168.1.1 et 192.168.100.1 ne sont du coup pas dans le même réseau (tu as un reseau 192.168.1.0 et un autre 192.168.100.0) et donc il faut router et nater

Message par **poulpito** » lun. 25 juil. 2016 12:29

le routage intervlan et les nat dont on parle

aucune idée de comment faire sur l'erl3 c'est pas très explicite

bref complètement perdu

dans ces histoires de vlan/routage
va me falloir une sacré mise à jour

Message par **poulpito** » lun. 25 juil. 2016 12:38

va fouiner
https://help.ubnt.com/hc/en-us/articles ... e-Topology

Message par **poulpito** » lun. 25 juil. 2016 13:09

capture depuis le net (11.28) http://nomdns:82

tcpdump -n port 80
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ens192, link-type EN10MB (Ethernet), capture size 262144 bytes
13:01:56.113140 IP x.11.28.60802 > 192.168.66.101.80: Flags [S], seq 4265042360, win 16384, options [mss 1380,unknown-34 0x01000ac5fe8c], length 0
13:01:56.113212 IP 192.168.66.101.80 > x.11.28.60802: Flags [S.], seq 2098799210, ack 4265042361, win 29200, options [mss 1460], length 0
13:01:56.133978 IP x.11.28.60802 > 192.168.66.101.80: Flags [.], ack 1, win 16560, length 0
13:01:56.134002 IP x.11.28.60802 > 192.168.66.101.80: Flags [P.], seq 1:633, ack 1, win 16560, length 632: HTTP: GET / HTTP/1.0
13:01:56.134063 IP 192.168.66.101.80 > x.11.28.60802: Flags [.], ack 633, win 30336, length 0
13:01:56.135298 IP 192.168.66.101.80 > x.11.28.60802: Flags [.], seq 1:2761, ack 633, win 30336, length 2760: HTTP: HTTP/1.1 200 OK
13:01:56.135314 IP 192.168.66.101.80 > x.11.28.60802: Flags [P.], seq 2761:3526, ack 633, win 30336, length 765: HTTP
13:01:56.157674 IP x.11.28.60802 > 192.168.66.101.80: Flags [.], ack 3526, win 14415, length 0
13:01:56.207240 IP x.11.28.60802 > 192.168.66.101.80: Flags [P.], seq 633:1266, ack 3526, win 16560, length 633: HTTP: GET /icons/ubuntu-logo.png HTTP/1.0
13:01:56.207548 IP 192.168.66.101.80 > x.11.28.60802: Flags [.], seq 3526:6286, ack 1266, win 31650, length 2760: HTTP: HTTP/1.1 200 OK
13:01:56.207564 IP 192.168.66.101.80 > x.11.28.60802: Flags [P.], seq 6286:7149, ack 1266, win 31650, length 863: HTTP
13:01:56.230557 IP x.11.28.60802 > 192.168.66.101.80: Flags [.], ack 7149, win 14317, length 0
^C
12 packets captured
12 packets received by filter
0 packets dropped by kernel

capture depuis mon pc fixe 1.40 (en tapant la même chose à savoir http://nomdns:82

tcpdump -n port 80
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ens192, link-type EN10MB (Ethernet), capture size 262144 bytes
13:02:15.789179 IP 192.168.1.40.64807 > 192.168.66.101.80: Flags [S], seq 1571474878, win 8192, options [mss 1460,nop,wscale 4,nop,nop,sackOK], length 0
13:02:15.789235 IP 192.168.66.101.80 > 192.168.1.40.64807: Flags [S.], seq 527361242, ack 1571474879, win 29200, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0
13:02:15.790052 IP 192.168.1.40.64807 > 192.168.66.101.80: Flags [.], ack 1, win 4106, length 0
13:02:15.790284 IP 192.168.1.40.64807 > 192.168.66.101.80: Flags [P.], seq 1:396, ack 1, win 4106, length 395: HTTP: GET / HTTP/1.1
13:02:15.790324 IP 192.168.66.101.80 > 192.168.1.40.64807: Flags [.], ack 396, win 237, length 0
13:02:15.791393 IP 192.168.66.101.80 > 192.168.1.40.64807: Flags [P.], seq 1:3526, ack 396, win 237, length 3525: HTTP: HTTP/1.1 200 OK
13:02:15.792151 IP 192.168.1.40.64807 > 192.168.66.101.80: Flags [.], ack 1, win 4106, options [nop,nop,sack 1 {2921:3526}], length 0
13:02:15.795808 IP 192.168.66.101.80 > 192.168.1.40.64807: Flags [.], seq 1:1461, ack 396, win 237, length 1460: HTTP: HTTP/1.1 200 OK
13:02:15.795827 IP 192.168.66.101.80 > 192.168.1.40.64807: Flags [.], seq 1461:2921, ack 396, win 237, length 1460: HTTP
13:02:15.999813 IP 192.168.66.101.80 > 192.168.1.40.64807: Flags [.], seq 1:1461, ack 396, win 237, length 1460: HTTP: HTTP/1.1 200 OK
13:02:16.407836 IP 192.168.66.101.80 > 192.168.1.40.64807: Flags [.], seq 1:1461, ack 396, win 237, length 1460: HTTP: HTTP/1.1 200 OK
13:02:17.223813 IP 192.168.66.101.80 > 192.168.1.40.64807: Flags [.], seq 1:1461, ack 396, win 237, length 1460: HTTP: HTTP/1.1 200 OK
13:02:18.859829 IP 192.168.66.101.80 > 192.168.1.40.64807: Flags [.], seq 1:1461, ack 396, win 237, length 1460: HTTP: HTTP/1.1 200 OK
13:02:20.796624 IP 192.168.66.101.80 > 192.168.1.40.64807: Flags [F.], seq 3526, ack 396, win 237, length 0
13:02:20.797249 IP 192.168.1.40.64807 > 192.168.66.101.80: Flags [.], ack 1, win 4106, options [nop,nop,sack 1 {2921:3526}], length 0
13:02:22.131884 IP 192.168.66.101.80 > 192.168.1.40.64807: Flags [.], seq 1:1461, ack 396, win 237, length 1460: HTTP: HTTP/1.1 200 OK
^C

et le détail des trames

13:03:04.366974 IP (tos 0x0, ttl 127, id 25174, offset 0, flags [DF], proto TCP (6), length 52)
    192.168.1.40.64826 > 192.168.66.101.80: Flags [S], cksum 0x2109 (correct), seq 995504204, win 8192, options [mss 1460,nop,wscale 4,nop,nop,sackOK], length 0
13:03:04.367023 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 52)
    192.168.66.101.80 > 192.168.1.40.64826: Flags [S.], cksum 0xc504 (incorrect -> 0xeb9e), seq 4076138576, ack 995504205, win 29200, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0
13:03:04.367760 IP (tos 0x0, ttl 127, id 25175, offset 0, flags [none], proto TCP (6), length 40)
    192.168.1.40.64826 > 192.168.66.101.80: Flags [.], cksum 0x8e77 (correct), ack 1, win 4106, length 0
13:03:04.368197 IP (tos 0x0, ttl 127, id 25176, offset 0, flags [none], proto TCP (6), length 435)
    192.168.1.40.64826 > 192.168.66.101.80: Flags [P.], cksum 0x1d06 (correct), seq 1:396, ack 1, win 4106, length 395: HTTP, length: 395
        GET / HTTP/1.1
        Host: NOMDNS:82
        User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:47.0) Gecko/20100101 Firefox/47.0
        Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
        Accept-Language: fr,fr-FR;q=0.8,en-US;q=0.5,en;q=0.3
        Accept-Encoding: gzip, deflate
        Cookie: ip_address_top_user_option=total_bytes; dashboard=["eth0.66","eth0"]
        Connection: keep-alive

13:03:04.368228 IP (tos 0x0, ttl 64, id 20708, offset 0, flags [DF], proto TCP (6), length 40)
    192.168.66.101.80 > 192.168.1.40.64826: Flags [.], cksum 0xc4f8 (incorrect -> 0x9c09), ack 396, win 237, length 0

effectivement tt les trames qui repartent du 66.x passent pas

c'est déjà un peu mieux faut que j'arrive à piger le truc des source nat rule (masquerade) et destination nat rule

Message par **poulpito** » lun. 25 juil. 2016 14:53

j'ai quand même des comportements bizarres

de base (depuis j'ai mis des limitations sur le vlan niveau firewall pour l'isoler complètement et ouvrir que ce dont j'ai besoin)
ssh vlan -> lan ok
ssh lan -> vlan ko
ping d'un sens à l'autre aucun soucis

>__ vlan

comment se fesse telnet echo juste les premiers paquets en retour ?

~# telnet 192.168.66.101 22
Trying 192.168.66.101...
Connected to 192.168.66.101.
Escape character is '^]'.
SSH-2.0-OpenSSH_7.2p2 Ubuntu-4ubuntu1

donc y'a bien quand même des trucs qui passent bordel de chaussette !

Message par **poulpito** » lun. 25 juil. 2016 15:04

ok .... de plus en plus bizarre
en faisant ca sur mon lan
echo 1 > /proc/sys/net/ipv4/tcp_mtu_probing
le ssh passe sans soucis

aurais je un soucis de mtu en plus du reste

Message par **poulpito** » mar. 26 juil. 2016 10:43

je vais profiter de remettre à plat mon erl3

si je peux (faut que je rebranche la livebox en direct sur l'ont pour faire le test) je vire le pppoe et je passe en ipv4 dhcp (l'ipv6 c'est pas au point encore chez orange pour tt le monde)

si ca marche dans ce cas je repare sur un raz de l'erl3 + upgrade (y'a pas mal de fix niveau vlan et routing) et je remet au propre dès le début ces histoires
ca me permettra aussi de virer des histoires de clamp mtu et cie du pppoe (+ décharger l'erl de tout ca)

hier j'ai fait un dd de l'usb de 4go qui se trouve dans l'erl pour avoir une copie au cas ou

j'ai joué avec les règles d'isolation de vlan (en me basant sur ssh qui marche) et j'arrive à un set de règles qui me permet de faire l'isolation comme je le veux

a savoir que de base, l'erl3 (enfin les edgerouter ubi) fait le vlan inter routing et que tout est ouvert entre les vlan
a nous de créer des règles d'exclusion dans la partie firewall

j'y vois un peu plus clair

ps : du coup le pb de nat loopback n'en est pas un, avec le ssh qui marche zero soucis c'est juste le web qui répond pas donc je pense vraiment à un soucis de mon erl

ps2 (la meilleur ! avec le disque dur sur l'adapt réseau) : retesté ce matin sans rien changer aux paramètres .... le web marche

raf n'est plus la j'ai été contaminé !

Message par **biour** » mar. 26 juil. 2016 11:24

DNS !!!

Message par **poulpito** » mar. 26 juil. 2016 13:46

\o/ j'ai trouvé mon soucis
c'est PUREMENT DU MTU !

pour une raison particulière, j'ai une vm dans mon esxi qui avait un MTU de 1492 (pour info le pppoe est à 1492 et le reste de mon réseau en 1500)
et la dessus le web passait d'un vlan à l'autre sans aucun soucis

et sur les autres ... pas moyen
je l'ai vu avec tcpdump

marche > 13:32:15.492944 IP 192.168.1.31.56036 > 192.168.100.100.80: Flags [S], seq 485211474, win 8192, options [mss [#ff0000]1452[/#ff0000],nop,wscale 8,nop,nop,sackOK], length 0

marche pas > 192.168.1.124.49219 > 192.168.100.100.80: Flags [S], seq 2950005616, win 8192, options [mss [#ff0000]1460[/#ff0000],nop,wscale 8,nop,nop,sackOK], length 0

on change mtu et hop
marche > 192.168.1.124.49231 > 192.168.100.100.80: Flags [S], cksum 0x09a2 (correct), seq 1671122457, win 8192, options [mss [#ff0000]1452[/#ff0000],nop,nop,sackOK], length 0

1452 = MTU 1492

donc voila de base tout marcherai nickel si y'avais pas ces soucis de MTU
résultat cet aprem j'essaie de passer la livebox (en espérant qu'elle chope de l'ipv6 ce qui veut dire que je suis passé en dhcp)
et demain je reconfigure tout l'erl3 pour virer le pppoe \o/ et mes soucis de mtu 1492

Message par **poulpito** » mar. 26 juil. 2016 14:26

quelqu'un peut m'expliquer si le soucis vient des 4 bytes en plus pour les entêtes 802.1Q ?
bref un pro des vlan et mtu ?

edit : eth0 eth0.66 et .100 passés à 1504 MTU du coup ça me permet d'avoir des trames taggées de 1500 (au lieu de 1492) et que tout ce petit monde papote tranquille

dans le doute on finit toujorus par revenir à tcpdump et aux sources du protocole

Message par **kalistyan** » mar. 26 juil. 2016 14:37

Bien joué!

Le MTU c'est effectivement la merde!

Message par **biour** » mar. 26 juil. 2016 14:37

le mtu tu peu voir si cela passe par un Ping non fragmenter !
ping www.google.com -f -l xxxx
ou une adresse interne dans ton cas ! et une fois le max trouvé tu rajoute 20 pour les Header et 8 pour ICMP (donc 28 au total) la lb de memoire est a 1492 (avec les 28) la Freebox une mtu de 1500

(et 10min d'attente pour ta reponse a cause du Flood)

Message par **poulpito** » mar. 26 juil. 2016 14:39

ouai mais c'est pas si évident que ca car le MTU pour quelqu'un qui a pas de vlan c'est seulement le out qui est important
et pour les livebox c'est 1492 le max en PPPOE tout le reste de ton réseau peut être en n'importe quoi (jumbo frame par exemple)

mais la le fait de rajouter les vlan le 4 bytes de merde qui s'ajoute fait chier le monde

soucis ? hop enlarge your penis frame