Salut,
Je viens de configurer une nouvelle machine avec trois interfaces physiques

[code]root@canelle:~# cat /etc/network/interfaces
auto lo
iface lo inet loopback

Interface LAN

allow-hotplug eth0
iface eth0 inet static
address 10.9.11.107
netmask 255.255.252.0
gateway 10.9.8.254

Interface WAN

auto eth1
iface eth1 inet manual
up ifconfig eth1 up

Interface Hotspot

auto eth2
iface eth2 inet manual
up ifconfig eth2 up[/code]

[code]root@canelle:~# ifconfig
eth0 Link encap:Ethernet HWaddr 00:13:74:00:5c:38
inet adr:10.9.11.107 Bcast:10.9.11.255 Masque:255.255.252.0
adr inet6: fe80::213:74ff:fe00:5c38/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:19008155 errors:0 dropped:0 overruns:0 frame:0
TX packets:6972331 errors:0 dropped:0 overruns:0 carrier:5
collisions:0 lg file transmission:1000
RX bytes:12519509247 (11.6 GiB) TX bytes:2231344552 (2.0 GiB)
Mémoire:dffc0000-e0000000

eth1 Link encap:Ethernet HWaddr 00:e0:4c:69:0b:b1
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1923634 errors:0 dropped:0 overruns:0 frame:0
TX packets:2170185 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:1348621106 (1.2 GiB) TX bytes:822813794 (784.6 MiB)
Interruption:17 Adresse de base:0xa800

eth2 Link encap:Ethernet HWaddr 00:1d:1a:01:23:00
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:8343995 errors:0 dropped:0 overruns:0 frame:0
TX packets:68 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:521779965 (497.6 MiB) TX bytes:3528 (3.4 KiB)
Interruption:21 Adresse de base:0xec00

lo Link encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:154295 errors:0 dropped:0 overruns:0 frame:0
TX packets:154295 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:221713496 (211.4 MiB) TX bytes:221713496 (211.4 MiB)[/code]

Jusque là tout va bien.
Mais au bout d’un moment… mon réseau commence à déconner…
Raison:

# netdiscover ... 10.9.11.107 00:1d:1a:01:23:00 05 300 OvisLink S.A. 10.9.11.107 00:13:74:00:5c:38 09 540 Atheros Communications, Inc. ...

Ma machine a deux fois la même IP… eth2 prend l’IP de eth0
Après quelques minutes, ça revient à la normale…

A votre avis, qu’est-ce qui pourrait pousser eth2 à prendre tout d’un coup une IP (déjà attribuée de surcroît…) ?
Comme je n’ai accès à cette machine que par ssh, ça n’arrange pas mes affaires…

Je comprends pas bien ta configuration pour eth1 et eth2 …

Quel est l’intérêt de mettre ces interfaces en manuel, et lorsque qu’elle montent (Donc suite à un ifconfig up), leur faire exécuter ifconfig up. De plus, où ces interfaces récupèrent-elles leurs configurations ?

Je ne connais pas du tout ce système (Qui ne me parait pas logique du tout), mais si tu as une doc sur ce que tu essaie de faire, je me ferais un plaisir de me ‘culturer’.

et tu n’as qu’une box??et tu configure trois lignes en les dediant specifiquement grace au firewall??..c’est bien ca?tu filtres les entrées aussi??

c’est juste pour voir si je vois juste

pour moi c’est quand tu “up” que l’ip change et se configure

il ya peut-etre une autre facon de configurer ces fichiers qui eviterait ce “leger” desagrement de changement d’ip

il faudrait peut-etre attribuer directement les differents “ip”

en faite le pc n’a qu’une ip et par la suite tu en rajoutes mais…pas directement comme l’est l"ip" principal

Salut,

Effectivement une explication est nécessaire.
Les trois interfaces sont pontées par des VM (virtualbox).

Eth0 Lan privé
Eth1 Internet
Eth2 LAN publique

2 VM pontent les interfaces (une passerelle - pont sur les trois interfaces - et un serveur - pont sur eth0).

La machine physique ne communique que sur le LAN privé: Eth0. C’est pourquoi elle a une IP, et c’est pourquoi je souhaite que les deux autres interfaces restent muettes.

Eth2 n’est pas censée se réveiller… d’ailleurs eth1 ne bronche pas (enfin je crois, il faudrait que je fasse un netdiscover sur Internet… ) alors que la configuration est la même.

Ce n’est pas normal!

PS: je n’ai pas de “box”, je suis connecté directement à la passerelle de mon FAI.

Tu impose une IP fixe, et les 2 autres , je ne comprends pas non plus comment elles prennent leurs adresses. Par DHCP ?
Si c’est le cas, il faut absolument que ton serveur DHCP soit configuré pour ne jamais attribuer l’adresse que tu as forcé en manuel (10.9.11.107).

Salut,

[quote=“piratebab”]Tu impose une IP fixe, et les 2 autres , je ne comprends pas non plus comment elles prennent leurs adresses. Par DHCP ?
Si c’est le cas, il faut absolument que ton serveur DHCP soit configuré pour ne jamais attribuer l’adresse que tu as forcé en manuel (10.9.11.107).[/quote]

Une IP fixe et deux cartes sans IP. Ce sont les VM qui pontent les cartes sans IP (et les IP pour ces cartes sont dans les VM).
Oui pas de soucis côté dhcp, et la plage libre est entre 10.9.11.150 et 200.

Ce n’est pas dramatique en fait, je perd l’accès à la machine physique, mais il n’y a aucun service dessus: tout est dans les VM - Et elles fonctionnent bien…

C’est peut-être matériel. Si ça recommence, je change de carte.

La VM passerelle, c’est un pont ou un routeur ? Pont entre eth0 et eth2 et routeur entre le pont et eth1 ?

Je pense que eth2 ne prend pas l’adresse IP d’eth0 (vérifier avec ifconfig / ip addr) mais simplement répond aux requêtes ARP pour cette adresse. Le comportement par défaut de la pile IPv4 de Linux, qu’on désigne par “weak host model”, fait que n’importe quelle interface répond aux requêtes ARP et accepte du trafic pour n’importe quelle adresse de la machine et pas seulement pour la sienne.
Cela implique que eth2 reçoit des requêtes ARP pour l’adresse d’eth0, et donc qu’il doit y avoir un pontage quelque part entre les réseaux d’eth0 et eth2.

Re,
c’est toujours ces ponts “à la con” style virtualbox…

Virtualbox “s’accroche” aux interfaces physiques (on choisi généralement NAT ou PONT) sans créer de “br” (en tout cas ce n’est pas visible) sur la machine physique.

Bref…
la VM qui nous intéresse est sous pfSence, elle sert de passerelle entre:

em0 interface virtuelle “pontée” par virtualbox sur eth0 (10.9.8.254/22) > LAN “privé”
em1 interface virtuelle “pontée” par virtualbox sur eth1 (IP fixe) > Internet
em2 interface virtuelle “pontée” par virtualbox sur eth2 (172.16.0.254/24) > LAN “public”

Evidemment LAN privé et LAN public sont sur le même réseau physique (je n’ai pas pu séparer au moment de la conception).
Est-ce que c’est ça qui poserait un problème ?

Pour l’instant j’ai débranché le câble pour ne plus avoir de conflit d’ip sur mon réseau.
Je vais tenter avec une autre carte tout de même pour tenter d’exclure un problème matériel.

Si je comprend bien ce que tu explique, effectivement il y a “pontage” dans la VM entre eth0 et eth2…
Tu parles de “weak host model”, il y a un moyen de contourner ça à part une autre VM ?

Bon, apparemment pas de pontage dans la VM passerelle.

[quote=“lol”]Evidemment LAN privé et LAN public sont sur le même réseau physique (je n’ai pas pu séparer au moment de la conception).
Est-ce que c’est ça qui poserait un problème ?[/quote]
Plutôt, oui. Elle est là, la liaison entre les deux interfaces : si elles sont sur le même réseau physique, elles reçoivent le même trafic broadcast, dont les requêtes ARP. Ce n’est pas un problème matériel, enfin pas au sens où tu l’entends.

On peut forcer une interface à répondre aux requêtes ARP pour ses adresses seulement avec sysctl net.ipv4.conf..arp_ignore=1 ou 2, voire 8 pour ne pas répondre du tout. Cf. Documentation/networking/ip-sysctl.txt dans la doc des sources du noyau.

Edit : accessoirement, quel est l’intérêt d’avoir deux interfaces dans le même réseau ?

[quote=“PascalHambourg”]Bon, apparemment pas de pontage dans la VM passerelle.

[quote=“lol”]Evidemment LAN privé et LAN public sont sur le même réseau physique (je n’ai pas pu séparer au moment de la conception).
Est-ce que c’est ça qui poserait un problème ?[/quote]
Plutôt, oui. Elle est là, la liaison entre les deux interfaces : si elles sont sur le même réseau physique, elles reçoivent le même trafic broadcast, dont les requêtes ARP. Ce n’est pas un problème matériel, enfin pas au sens où tu l’entends.

On peut forcer une interface à répondre aux requêtes ARP pour ses adresses seulement avec sysctl net.ipv4.conf..arp_ignore=1 ou 2, voire 8 pour ne pas répondre du tout. Cf. Documentation/networking/ip-sysctl.txt dans la doc des sources du noyau.

Edit : accessoirement, quel est l’intérêt d’avoir deux interfaces dans le même réseau ?[/quote]

C’est clair comme de l’eau de roche (pour un fois que je comprend…),

L’intérêt était de séparer le trafic sur la passerelle (ne pas appliquer les même règles pour tous les réseaux). C’était plus simple pour configurer le DHCP, le proxy, le parefeu, etc. Pour la plupart des utilisateurs ça revient à leur cacher une partie du réseau (pas pour les petits malins je sais…). Je n’imaginais pas que c’était une mauvaise idée…

Je vais tout de même creuser le commande arp_ignore ça m’a l’air d’être l’option qu’il me faut!

Merci beaucoup.

L’ennui, c’est qu’en pratique ça ne sépare pas grand chose. Si tu n’as qu’un LAN physique, tu n’as pas moyen de faire des VLAN pour séparer le LAN privé et le LAN public ?

L’ennui, c’est qu’en pratique ça ne sépare pas grand chose. Si tu n’as qu’un LAN physique, tu n’as pas moyens de faire des VLAN pour séparer le LAN privé et le LAN public ?[/quote]

Si mais j’ai eu jusqu’à présent le flemme de me pencher dessus… Je crois que je n’ai pas trop le choix finalement.
Un seul VLAN suffirait (un privé) ?

Difficile de répondre sans connaître l’architecture du réseau et les capacités VLAN des équipements.

je sais pas si je dis des betises mais le faite que ca plante est peut-etre due au respect du protocole? ca coince par securité!

Très hétéroclite…
Je ferais un essai à mon retour de vacances.

Merci.

Tu n’es pas obligé de mettre du VLAN partout. Par exemple si le LAN public passe obligatoirement à travers un équipement particulier, tu peux définir un VLAN juste pour celui-ci.

Salut,

Oui, c’est la solution.
Il y a des points d’accès précis (petits routeurs Wifi). Jusqu’à présent je les utilisaient de façon passive.
Je vais fouiller dans les paramètres.

Merci.