Virtualbox Debian 8.2 mode pont - Pb apt-get update

tbt · Février 21, 2016, 10:04pm

Bonjour,

Sur une machine VirtualBox avec une carte réseau configurée en mode pont, j’ai installé une serveur Debian 8.2.
Lorsque que j’exécute la commande apt-get update, j’ai d’abord ce message pendant 30 secondes environ

0% [Connexion à ftp2.fr.debian.org (194.2.0.36)] [Connexion à security.debian.org (212.211.132.250)]

Puis j’ai la série de messages suivante

Err ftp://ftp2.fr.debian.org jessie InRelease

Err ftp://ftp2.fr.debian.org jessie-updates InRelease

Err ftp://ftp2.fr.debian.org jessie Release.gpg
  Impossible de se connecter à ftp2.fr.debian.org:ftp : [IP : 2a01:c910:0:1::c202:24 21]
Err ftp://ftp2.fr.debian.org jessie-updates Release.gpg
  Impossible d'initialiser la connexion à ftp2.fr.debian.org: 21 (2a01:c910:0:1::c202:24). - connect (101: Le réseau n'est pas accessible) [IP : 2a01:c910:0:1::c202:24 21]
Err ftp://security.debian.org jessie/updates InRelease

Err ftp://security.debian.org jessie/updates Release.gpg
  Impossible d'initialiser la connexion à security.debian.org: 21 (2001:a78:5:0:216:35ff:fe7f:be4f). - connect (101: Le réseau n'est pas accessible) [IP : 2001:a78:5:0:216:35ff:fe7f:be4f 21]
Lecture des listes de paquets... Fait
W: Impossible de récupérer ftp://ftp2.fr.debian.org/debian/dists/jessie/InRelease

W: Impossible de récupérer ftp://security.debian.org/dists/jessie/updates/InRelease

W: Impossible de récupérer ftp://ftp2.fr.debian.org/debian/dists/jessie-updates/InRelease

W: Impossible de récupérer ftp://ftp2.fr.debian.org/debian/dists/jessie/Release.gpg  Impossible de se connecter à ftp2.fr.debian.org:ftp : [IP : 2a01:c910:0:1::c202:24 21]

W: Impossible de récupérer ftp://ftp2.fr.debian.org/debian/dists/jessie-updates/Release.gpg  Impossible d'initialiser la connexion à ftp2.fr.debian.org: 21 (2a01:c910:0:1::c202:24). - connect (101: Le réseau n'est pas accessible) [IP : 2a01:c910:0:1::c202:24 21]

W: Impossible de récupérer ftp://security.debian.org/dists/jessie/updates/Release.gpg  Impossible d'initialiser la connexion à security.debian.org: 21 (2001:a78:5:0:216:35ff:fe7f:be4f). - connect (101: Le réseau n'est pas accessible) [IP : 2001:a78:5:0:216:35ff:fe7f:be4f 21]

W: Le téléchargement de quelques fichiers d'index a échoué, ils ont été ignorés, ou les anciens ont été utilisés à la place.

Voici le contenu du fichier /etc/apt/sources.list

# deb cdrom:[Debian GNU/Linux 8.0.0 _Jessie_ - Official amd64 NETINST Binary-1 20150425-12:50]/ jessie main

deb ftp://ftp2.fr.debian.org/debian/ jessie main contrib non-free
deb-src ftp://ftp2.fr.debian.org/debian/ jessie main contrib non-free

deb ftp://security.debian.org/ jessie/updates main contrib non-free
deb-src ftp://security.debian.org/ jessie/updates main contrib non-free

# jessie-updates, previously known as 'volatile'
deb ftp://ftp2.fr.debian.org/debian/ jessie-updates main contrib non-free
deb-src ftp://ftp2.fr.debian.org/debian/ jessie-updates main contrib non-free

Je rajouterai les précisions suivantes :

le ping est opérationnel
il n’y a aucune règle dans Iptables
le firewall n’est pas activé sur la Box qui fait office de Dhcp
la commande avec un carte réseau configurée en mode NAT fonctionne correctement

Merci d’avance pour vos lumières.

@+
Thierry

PascalHambourg · Février 21, 2016, 10:04pm

Qu’affichent les commandes suivantes ?

ip -4 addr ip -4 route tcptraceroute ftp2.debian.org 21 tcptraceroute security.debian.org 21

tbt · Février 21, 2016, 10:04pm

ip -4 addr

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    inet 192.168.1.205/24 brd 192.168.1.255 scope global eth0
       valid_lft forever preferred_lft forever

ip -4 route

default via 192.168.1.254 dev eth0
192.168.1.0/24 dev eth0  proto kernel  scope link  src 192.168.1.205

tcptraceroute ftp2.fr.debian.org 21

traceroute to ftp2.fr.debian.org (194.2.0.36), 30 hops max, 60 byte packets
 1  * * *
 2  * * *
 3  * * *
 4  * * *
 5  * * *
 6  * * *
 7  * * *
 8  * * *
 9  * * *
10  * * *
11  * * *
12  * * *
13  * * *
14  * * *
15  * * *
16  * * *
17  * * *
18  * * *
19  * * *
20  * * *
21  * * *
22  * * *
23  * * *
24  * * *
25  * * *
26  * * *
27  * * *
28  * * *
29  * * *
30  * * *

tcptraceroute security.debian.org 21

traceroute to security.debian.org (212.211.132.250), 30 hops max, 60 byte packets
 1  * * *
 2  * * *
 3  * * *
 4  * * *
 5  * * *
 6  * * *
 7  * * *
 8  * * *
 9  * * *
10  * * *
11  * * *
12  * * *
13  * * *
14  * * *
15  * * *
16  * * *
17  * * *
18  * * *
19  * * *
20  * * *
21  * * *
22  * * *
23  * * *
24  * * *
25  * * *
26  * * *
27  * * *
28  * * *
29  * * *
30  * * *

PascalHambourg · Février 21, 2016, 10:05pm

A quelle machine correspond l’adresse de passerelle par défaut 192.168.1.254 ? La box ?
Vu le résultat du traceroute je dirais que soit il y a du filtrage quelque part, soit le routage ou le pontage est mal configuré. Mais alirs c’est à ce demander comment la résolution DNS est opérationnelle.
Quand tu écrivais que “le ping est opérationnel”, que voulais-tu dire exactement ?

avram · Février 21, 2016, 10:05pm

bonjour.

Euh,au risque de dire une connerie mais l’expression "deb ftp"dans le sources.list ne devrait elle pas être remplacée par “deb http” ?

PascalHambourg · Février 21, 2016, 10:05pm

APT supporte les deux protocoles, et la plupart des miroirs Debian aussi.
En revanche en fonction des restrictions de l’accès internet, l’un ou l’autre peut ne pas fonctionner.

avram · Février 21, 2016, 10:05pm

[quote=“PascalHambourg”]APT supporte les deux protocoles, et la plupart des miroirs Debian aussi.
En revanche en fonction des restrictions de l’accès internet, l’un ou l’autre peut ne pas fonctionner.[/quote]

autant pour moi.

tbt · Février 21, 2016, 10:05pm

[quote=“PascalHambourg”]A quelle machine correspond l’adresse de passerelle par défaut 192.168.1.254 ? La box ?
Vu le résultat du traceroute je dirais que soit il y a du filtrage quelque part, soit le routage ou le pontage est mal configuré. Mais alirs c’est à ce demander comment la résolution DNS est opérationnelle.
Quand tu écrivais que “le ping est opérationnel”, que voulais-tu dire exactement ?[/quote]

L’adresse de passerelle par défaut 192.168.1.254 est bien celle de la box.

Le ping fonctionne aussi bien avec une adresse IP ou un nom.
Donc oui effectivement la résolution DNS fonctionne correctement.

Au cas où voici ce que me retourne la commande iptables -L

Chain INPUT (policy ACCEPT)
target     prot opt source               destination
fail2ban-ssh  tcp  --  anywhere             anywhere             multiport dports ssh

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain fail2ban-ssh (1 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere

PascalHambourg · Février 21, 2016, 10:05pm

Et dans la table nat ?

tbt · Février 21, 2016, 10:05pm

# Generated by iptables-save v1.4.21 on Tue Nov 24 15:14:17 2015
*filter
:INPUT ACCEPT [9459:600683]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [9514:2963716]
:fail2ban-ssh - [0:0]
-A INPUT -p tcp -m multiport --dports 22 -j fail2ban-ssh
-A fail2ban-ssh -j RETURN
COMMIT
# Completed on Tue Nov 24 15:14:17 2015

tbt · Février 21, 2016, 10:05pm

Mon problème est vraiment mystérieux.

Je viens de faire le test sur une autre VM avec LinuxMint et j’ai exactement le même souci.
Sur cette VM, la consultation de site via Firefox fonctionne correctement.

PascalHambourg · Février 21, 2016, 10:05pm

HTTP (web) utilise le port 80 alors que FTP utilise le port 21 (et d’autres).
Il faut faire plus de tests pour caractériser la connectivité, ce qui passe et ne passe pas.
Un navigateur web est le pire outil pour cela car il est trop complexe et on ne sait pas ce qu’il fait. Il faut utiliser des outils élémentaires comme ping (ICMP), traceroute (UDP), tcptraceroute (TCP), host (DNS)…

tbt · Février 21, 2016, 10:05pm

Test ping OK
Test traceroute KO
Test tcptraceroute KO
Test host OK

PascalHambourg · Février 21, 2016, 10:05pm

A mon avis il y a du filtrage quelque part, je ne vois pas d’autre explication.
As-tu essayé différents ports classiques avec tcptraceroute ?
J’aurais quand même préféré le détail des commandes et résultats pour les interpréter.

tbt · Février 21, 2016, 10:05pm

Qu’entends tu par différents ports classique avec tcptraceroute exactement ?

Voici le détail des commandes demandées

ping

PING security.debian.org (212.211.132.32) 56(84) bytes of data. 64 bytes from villa.debian.org (212.211.132.32): icmp_seq=1 ttl=58 time=37.6 ms 64 bytes from villa.debian.org (212.211.132.32): icmp_seq=2 ttl=58 time=35.8 ms 64 bytes from villa.debian.org (212.211.132.32): icmp_seq=3 ttl=58 time=37.8 ms 64 bytes from villa.debian.org (212.211.132.32): icmp_seq=4 ttl=58 time=35.3 ms 64 bytes from villa.debian.org (212.211.132.32): icmp_seq=5 ttl=58 time=34.0 ms 64 bytes from villa.debian.org (212.211.132.32): icmp_seq=6 ttl=58 time=34.7 ms

traceroute

traceroute to security.debian.org (195.20.242.89), 30 hops max, 60 byte packets 1 * * * 2 * * * 3 * * * 4 * * * 5 * * * 6 * * * 7 * * * 8 * * * 9 * * * 10 * * * 11 * * * 12 * * * 13 * * * 14 * * * 15 * * * 16 * * * 17 * * * 18 * * * 19 * * * 20 * * * 21 * * * 22 * * * 23 * * * 24 * * * 25 * * * 26 * * * 27 * * * 28 * * * 29 * * * 30 * * *

tcptraceroute

traceroute to security.debian.org (212.211.132.32), 30 hops max, 60 byte packets 1 * * * 2 * * * 3 * * * 4 * * * 5 * * * 6 * * * 7 * * * 8 * * * 9 * * * 10 * * * 11 * * * 12 * * * 13 * * * 14 * * * 15 * * * 16 * * * 17 * * * 18 * * * 19 * * * 20 * * * 21 * * * 22 * * * 23 * * * 24 * * * 25 * * * 26 * * * 27 * * * 28 * * * 29 * * * 30 * * *

host

host security.debian.org
security.debian.org has address 195.20.242.89
security.debian.org has address 212.211.132.32
security.debian.org has address 212.211.132.250
security.debian.org has IPv6 address 2001:a78:5:0:216:35ff:fe7f:be4f
security.debian.org has IPv6 address 2001:a78:5:1:216:35ff:fe7f:6ceb
security.debian.org mail is handled by 10 mailly.debian.org.
security.debian.org mail is handled by 10 muffat.debian.org.

PascalHambourg · Février 21, 2016, 10:05pm

[mono]tcptraceroute[/mono] envoie des paquets avec le protocole TCP, il y a donc un port de destination. Par défaut le port est 80 (HTTP) mais on peut spécifier un autre port à la suite de la commande, par exemple 21 pour FTP, 22 pour SSH, 443 pour HTTPS… Un filtrage peut bloquer certains ports et en autoriser certains autres.

tbt · Février 21, 2016, 10:05pm

Merci pour l’info…

Mais aucun port ne fonctionne

PascalHambourg · Février 21, 2016, 10:05pm

Y compris depuis la VM Mint qui peut afficher des pages web ?

Là, à part faire des captures de paquets sur toutes les interfaces impliquées (eth de la VM ; vif/tap/vmnet, br et eth de l’hôte) pour essayer de voir où ça bloque, je ne vois pas quoi faire.

tbt · Février 21, 2016, 10:05pm

Merci Pascal de ton aide.

Après un nouvel essai la navigation Internet sur la VM Mint ne fonctionne pas…

J’ai cependant identifié le problème : Le pare-feu d’AVG sur le Host !

Il me reste maintenant à ajouter les bonnes règles à ce pare-feu.

PascalHambourg · Février 21, 2016, 10:05pm

Je le soupçonnais depuis le début. Quand tu parlais des règles iptables, je pensais qu’il s’agissait de celles de la machine hôte (puisque ça marche en mode NAT) en supposant que celle-ci tournait sous Linux aussi.