[CONTOURNE] bridge intraversable, même avec bonne config

voilà, j’ai un prob avec une machine sur laquelle je veux bridger.
Voila par exemple ce que je mets dans mon /etc/network/interfaces:

iface br1 inet static address 192.168.x.y netmask 255.255.255.0
Quand je le fais sur une de mes machines, pas de prob, même sans préciser de physdev.
Par contre, sur celle que je veux configurer:

[quote]console@sarge20go:~$ sudo ifup br1
SIOCSIFADDR: No such device
br1: ERROR while getting interface flags: No such device
SIOCSIFNETMASK: No such device
br1: ERROR while getting interface flags: No such device
Failed to bring up br1.[/quote]
Et j’ai j’ai bien bridge-utils sur les deux machines.
quelqu’un a une idée quant à la raison de ce problême ?

j’ai fait un “modprobe bridge” (module manquant sur la machine qui rale), mais rien de mieux pr l’instant.

Bonjour MattOTop,
comme ton titre est suffisament générique, je voudrais en profiter pour te demander quelques précisions sur sit0, ou si tu as des liens bien faits pour comprendre sous la main …
Car, j’ai activé l’IPv6, et je me retrouve maintenant avec une interface sit0 qui n’est pourtant pas configurée dans …/interfaces, mais bien présente, dans firestarter, c’est lui d’ailleur qui me l’a indiqué (bien qu’aucun paquet de transite par mon sit0 bien entendu).
ps : je sors …

Pour répondre à ta question, non: je ne suis pas encore au point sur ipv6, et même je le blackliste en module pour eviter qu’il ne ralentisse la pile ip (sauf maintenant sur mes routeurs ou je le laisse causer quand même).
le sit0, je ne l’ai jamais vu configuré nulle part.
Sinon, pour mon problême en fait, déjà, je n’avais, contrairement à ce que je pensais, pas installé bridge-utils (j’avais oublié le s).
Mais comme j’etais pressé, je n’avais pas lu le message d’erreur d’aptitude
bon, mais même avec bridge ds /etc/modules, et bridge utils d’installé ca va pas.
Ce qui est bizarre, c’est que le brctl addbr fonctionne.
J’ai rebooté la machine comme un windowsien, maintenant que tout est à priori là, pour voir.

comme quoi les reflexes windows ont parfois du bon: ça marche nickel.
Allez, je crois que je vais aller me sustenter un brin…

bon, alors là, je ne piges plus, et ça fait une journée et demie de galère. J’ai fait remarcher une fois par hasard, mais ça se refuse à passer…
J’explique ma config openvpn:

• j’ai une config client.conf sur tap0 et server.conf sur tap0 qui à priori est correcte car elle a fonctionné et que je n’ai rien changé dedans,
• iptables est en accept total (vide de chez vide)sur les deux machines (j’aimerais d’ailleurs que ça ne dure pas trop longtemps), et je n’ai même plus de MASQ
• sur les deux machines, j’ai un br0 configurée en statique qui se monte automatiquement au boot avec juste l’eth0 (eth du lan) dedans.
• ensuite, j’effectue à la main les choses suivantes:sudo openvpn --mktun --dev tap0 sudo brctl addif br0 tap0 sudo ifconfig eth0 promisc up sudo ifconfig tap0 promisc up puis, dans /etc/openvnc, depuis le serveur: sudo openvpn server.conf et le client sudo openvpn client.conf.
  Le client se connecte et s’authentifie, l’initialisation se termine, l’adresse attribuée au client est bien dans un pool d’adresses libres sur le LAN du serveur, mais quand je pinge, rien !
  Qu’est ce que j’ai pu oublier ?
  Ca m’ennuie, ça fait deux jours que je devrais être en vacances, et aprés le vpn, j’ai encore du boulot…

ça n’inspire personne ?

Bé pas trop… enfin rien de précis précis.
Je l’avais installé ca marchait du premier coup en suivant les docs. Si je me rappele bien y a deux methode, bridge et ?
J’imagine que t’as:
regardé tes routes
regardé a l’analyseur de trames

?

Je viens de remonter mon interface wifi. Vu que j’ai rien a foutre maintenant au taff (désolé…), je vais essayer de mettre un vpn entre mon ethernet et mon wifi mais c’est un peu tordu comme idée (les deux interfaces sont sur la meme machine…)

je me proposais (mais c’est un autre sujet) de voir si on ne pouvait pas se monter collectivement un “bac à sable” logé chez un de nous pour y faire joujou avec des serveurs virtuels sur un lan interne virtuel (chacun notre machine). J’ai une idée d’une infra à monter pour répartir la charge cpu sur les machines des participants à ce réseau virtuel. Bon, mais c’est un autre sujet que j’aborderais une autre fois sur pause café.
Sinon, je suis en mode bridged, et c’est pour ça que j’utilises un tap.
Ce sont bien les instructions de tous les tutos, mais comprends pas, ça marche pas.
Alors tout à l’heure, ça s’est mis à marcher, au bout d’un certain temps, alors que je pensais que ça n’etait pas bon. Puis plus rien.

Pour les routes, normalement, en bridged, il n’y a rien à mettre vu que tout est sur le même brin réseau et que le client qui est aussi gateway pour le lan distant connait les deux réseaux en ip (j’ai d’ailleurs peur pour mes serveurs dhcp de chaque coté, il va falloir que je bloque ça).
Mais maintenant que tu me le dis, je vais peut être aller tripatouiller le routage du serveur pour lui dire de passer par le client pour orienter les pkts sur le lan remote en ip.

je reviens.

a marche pô.

Ok me rappele j’avais utilisé le mode routed.
Prk tu prends bridge?

Pour une de ces raisons?: ptet la troisieme…

[quote]I would recommend using routing unless you need a specific feature which requires bridging, such as:

* the VPN needs to be able to handle non-IP protocols such as IPX,
* you are running applications over the VPN which rely on network broadcasts (such as LAN games), or
* you would like to allow browsing of Windows file shares across the VPN without setting up a Samba or WINS server. [/quote]

Le truc c’est d’etre bien sur que tout est bridgé.
Ca a marché a certains moments?
Et l’ethereal ca donne rien?
Le traceroute?

Je regarde le howto…

c’est effectivement la 3e raison (mais je pourrais router le traffic tcp 137/139/443).
Sinon, ethereal je le connais encore trop mal en ligne de commande, et le ssh -X est beaucoup trop lent pour que je fasse du tethereal.

le traceroute ? bonne question, ça varie. J’ai vu des cas ou ça passait par la default gw, mais d’autre ou ça s’arrète à la machine elle même et ça ne donne plus rien.
ça gave, bientot deux jours (de 20h de boulot chaque) qu’il ne se passe plus rien de positif dans cette config nom de d’là !

[quote=“MattOTop”]c’est effectivement la 3e raison (mais je pourrais router le traffic tcp 137/139/443).
[/quote]
Me rappele plus trop de netbios mais si tu n’a pas de wins je crois qu’il faut utiliser les broadcast, qui vont pas passer un routeur.

Dommage pour le ethereal… tcpdump peut-etre?
Traceroute en fait en mode bridge, pas sur que ca aide.

AU fait, les pings, tu les fais d’abord sur le client ou serveur j’espere, pas directement depuis le lan? Progressivement quoi…
D’ailleurs sur ces deux embouts tu peux momentannément virer les default gateway, je vois pas trop prk ca passerait pas les default gw pour un meme brin eth.?

Un tcpdump sur CHAQUE embout (pr voir si c’est l’aller ou le retour qui coince) pourrait vraimment aider!

je crois que c’est dans la config client:
quand je ping depuis le serveur, j’ai pas d’echo (tous mes paquets sont “lost”)
quand c’est depuis le client par contre, j’ai un network unreachable, ce qui veut bien dire que mes paquets vont bien du serveur au client mais ne savent pas revenir.

Je vais essayer de ne pas bridger le client pour voir.

Plutot pas “d’echo reply” j’imagine.

[quote]
quand c’est depuis le client par contre, j’ai un network unreachable, ce qui veut bien dire que mes paquets vont bien du serveur au client mais ne savent pas revenir.

Je vais essayer de ne pas bridger le client pour voir.[/quote]

network unreachable??? c’est louche.
car un “network unreachable” ne peut etre envoyé que par une gateway IP donc ton client essaye de passer par un routeur qui n’a pas de route vers la destination.

Oui en fait je suis con, j’imagine que tu peux pas enlever les 2 default gateway des 2 embouts si tu travaille à distance sinon… pu de ssh…

sans bridge sur le client, ça pingue bien vers le lan du serveur.
mais du coup, comme je n’ai pas de bridge coté client, le serveur pingue bien l’adresse du client mais pas son lan.
Alors ça peut se règler en routage, d’autant plus que j’ai déjà un serveur wins configuré correctement des deux cotés, héritage d’un réseau en étoile pptp (les deux wins causaient entre eux en passant par le siège, l’horreur).
Bon, mais je vais rajouter une route, et je ferais plus propre en revenant de vacances.
Bon, ça marche avec la route. J’automatise, et je fais autre chose.
Mais ça m’enerve de pas avoir reussi à bridger complètement les deux lan.

[quote=“MattOTop”]sans bridge sur le client, ça pingue bien vers le lan du serveur.
mais du coup, comme je n’ai pas de bridge coté client, le serveur pingue bien l’adresse du client mais pas son lan.
Alors ça peut se règler en routage, d’autant plus que j’ai déjà un serveur wins configuré correctement des deux cotés, héritage d’un réseau en étoile pptp (les deux wins causaient entre eux en passant par le siège, l’horreur).
Bon, mais je vais rajouter une route, et je ferais plus propre en revenant de vacances.
Bon, ça marche avec la route. J’automatise, et je fais autre chose.
Mais ça m’enerve de pas avoir reussi à bridger complètement les deux lan.[/quote]

Ah c’est deja ca.
En attendant, j’ai trouvé ca, tu l’as ptet deja lu:
forums.gentoo.org/viewtopic-t-23 … envpn.html
et ca:
openvpn.net/faq.html#cant-ping

Sinon pour l’idée de faire un réseau virtuel oui pourquoi pas. J’avais essayé avec d’anciens potes mais ils ont jamais voulu ces nazes…
Enfin moi actuellement je suis derriere un firewall de fasciste, mais c’est bien si on a chacun une conf differente dans un sens.

je vais regarder tes liens quand je serais en vacances.
en attendant, j’ai un problême subsidiaire:
j’ai branché un script “client-connect” pour lever les routes, mais comme le serveur tourne en openvpn.openvpn, il n’a plus le droit de modifier les routes aprés son lancement.
Violemment, je me proposais de le changer de groupe, en attendant une solution plus sûre, mais est ce que tu sais quel groupe a le droit de modifier des routes ?

root:root seulement je crois bien…
Donc un pti sudoers sur un script…