OVH Community, votre nouvel espace communautaire.

Openvpn et vrack (differents datacenter).


xavinsky
14/01/2016, 15h20
Merci encore, bonne journée.

captainadmin
14/01/2016, 15h01
J'étais en train de te répondre

Il manquait bien une route sur le serveur destination.
Ce que j'ai oublié de t'indiquer dans le debug c'est d'écouter ce qui se passe sur la machine destination
tcpdump -ni any icmp

comme ca tu vois ce qui se passe, en l'occurrence le paquet arrive mais ne partait pas au bon endroit.

Bonne journée
http://www.captainadmin.com

xavinsky
14/01/2016, 14h58
Resolu en ajoutant a la conf du nouveau serveur :
post-up /sbin/route add -net 10.0.8.0/24 gw 172.16.0.2 dev eth1
pre-down /sbin/route del -net 10.0.8.0/24 gw 172.16.0.2 dev eth1

- - - Mise à jour - - -

Resolu en ajoutant a la conf du nouveau serveur :
post-up /sbin/route add -net 10.0.8.0/24 gw 172.16.0.2 dev eth1
pre-down /sbin/route del -net 10.0.8.0/24 gw 172.16.0.2 dev eth1

xavinsky
13/01/2016, 15h04
Ah, Oui effectivement depuis l'interface du openvpn, je ne ping que l'ancien serveur...

Code:
[2.2.5-RELEASE][root@parefeu.localdomain]/root: ping -S 10.0.8.1 172.16.0.50
64 bytes from 172.16.0.50: icmp_seq=0 ttl=64 time=0.229 ms
1 packets transmitted, 1 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 0.229/0.229/0.229/0.000 ms
[2.2.5-RELEASE][root@parefeu.localdomain]/root: ping -S 10.0.8.1 172.18.1.1
PING 172.18.1.1 (172.18.1.1) from 10.0.8.1: 56 data bytes
3 packets transmitted, 0 packets received, 100.0% packet loss
- - - Mise à jour - - -

Ah, Oui effectivement depuis l'interface du openvpn, je ne ping que l'ancien serveur...

Code:
[2.2.5-RELEASE][root@parefeu.localdomain]/root: ping -S 10.0.8.1 172.16.0.50
64 bytes from 172.16.0.50: icmp_seq=0 ttl=64 time=0.229 ms
1 packets transmitted, 1 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 0.229/0.229/0.229/0.000 ms
[2.2.5-RELEASE][root@parefeu.localdomain]/root: ping -S 10.0.8.1 172.18.1.1
PING 172.18.1.1 (172.18.1.1) from 10.0.8.1: 56 data bytes
3 packets transmitted, 0 packets received, 100.0% packet loss

xavinsky
12/01/2016, 18h05
Merci pour ta reponse captainadmin.

le vpn est sur un freebsd (pfsense) je remplace donc -I par -S
le ping depuis l'interface lan du vpn marche toujours (vers ancien et nouveau serveur dédié)

Code:
# en ssh sur l'openpvn (ip lan=172.16.0.2):
ping -S 172.16.0.2 172.18.1.1  # nouveau serveur dédié
64 bytes from 172.18.1.1: icmp_seq=0 ttl=64 time=0.203 ms
round-trip min/avg/max/stddev = 0.203/0.223/0.243/0.020 ms
ping -S 172.16.0.2 172.16.0.50 # ancien serveur dédié
64 bytes from 172.16.0.50: icmp_seq=0 ttl=64 time=0.238 ms
round-trip min/avg/max/stddev = 0.238/0.238/0.238/0.000 ms
(Le ping ne marche pas (sur ancien ou nouveau) si j'utilise l'IP WAN au lieu de l'IP LAN de l'openvpn en source, ce qui me parait plutôt logique)

> Tu ne peux pas te connecter sur le nouveau serveur avec ton vpn ou c'est le serveur qui ne peux se connecter au vpn ?
La connexion openvpn est etablie sans probleme.
Je peux ping ou ssh l'ancien serveur dédié depuis mon poste ou dans une session ssh sur le serveur openvpn.
Je ne peux pas ping ou ssh le nouveau serveur dédié depuis mon poste
par contre je peux le ping ou faire un ssh sur le nouveau serveur dédié depuis le serveur openvpn.

Ils semblent pourtant avoir la même config réseau,
et être dans le même vrack
avec rien de spécifique dans la config openpvn a propos de l'ancien serveur ou du nouveau serveur.

ping depuis mon poste de travail linux (10.0.8.38)
Code:
xavinsky@debian-xavinsky:/W$ ping -I 10.0.8.38 172.16.0.50  # ancien serveur dedie
64 bytes from 172.16.0.50: icmp_seq=1 ttl=63 time=5.40 ms
xavinsky@debian-xavinsky:/W$ ping -I 10.0.8.38 172.18.1.1  # nouveau serveur dedie
3 packets transmitted, 0 received, 100% packet loss, time 2017ms
pour info, ifconfig sur l'openvpn (pfsense) :
Code:
vmx0: flags=8843 metric 0 mtu 1500
        options=600098
        ether ****
        inet6 ****%vmx0 prefixlen 64 scopeid 0x1
        inet **** netmask 0xffffff00 broadcast ****
        nd6 options=21
        media: Ethernet autoselect
        status: active
vmx1: flags=8843 metric 0 mtu 1500
        options=600098
        ether ****
        inet6 ****%vmx1 prefixlen 64 scopeid 0x2
        inet 172.16.0.2 netmask 0xfff00000 broadcast 172.31.255.255
        nd6 options=21
        media: Ethernet autoselect
        status: active
pflog0: flags=100 metric 0 mtu 33144
pfsync0: flags=0<> metric 0 mtu 1500
        syncpeer: 224.0.0.240 maxupd: 128 defer: on
        syncok: 1
lo0: flags=8049 metric 0 mtu 16384
        options=600003
        inet 127.0.0.1 netmask 0xff000000
        inet6 ::1 prefixlen 128
        inet6 ****%lo0 prefixlen 64 scopeid 0x5
        nd6 options=21
enc0: flags=0<> metric 0 mtu 1536
        nd6 options=21
ovpns1: flags=8051 metric 0 mtu 1500
        options=80000
        inet6 *****%ovpns1 prefixlen 64 scopeid 0x7
        inet 10.0.8.1 --> 10.0.8.2 netmask 0xffffffff
        nd6 options=21

xavinsky
12/01/2016, 18h03
Merci pour ta reponse captainadmin.

le vpn est sur un freebsd (pfsense) je remplace donc -I par -S
le ping depuis l'interface lan du vpn marche toujours (vers ancien et nouveau serveur dédié)

Code:
# en ssh sur l'openpvn (ip lan=172.16.0.2):
ping -S 172.16.0.2 172.18.1.1  # nouveau serveur dédié
64 bytes from 172.18.1.1: icmp_seq=0 ttl=64 time=0.203 ms
round-trip min/avg/max/stddev = 0.203/0.223/0.243/0.020 ms
ping -S 172.16.0.2 172.16.0.50 # ancien serveur dédié
64 bytes from 172.16.0.50: icmp_seq=0 ttl=64 time=0.238 ms
round-trip min/avg/max/stddev = 0.238/0.238/0.238/0.000 ms
(Le ping ne marche pas (sur ancien ou nouveau) si j'utilise l'IP WAN au lieu de l'IP LAN de l'openvpn en source, ce qui me parait plutôt logique)

> Tu ne peux pas te connecter sur le nouveau serveur avec ton vpn ou c'est le serveur qui ne peux se connecter au vpn ?
La connexion openvpn est etablie sans probleme.
Je peux ping ou ssh l'ancien serveur dédié depuis mon poste ou dans une session ssh sur le serveur openvpn.
Je ne peux pas ping ou ssh le nouveau serveur dédié depuis mon poste
par contre je peux le ping ou faire un ssh sur le nouveau serveur dédié depuis le serveur openvpn.

Ils semblent pourtant avoir la même config réseau,
et être dans le même vrack
avec rien de spécifique dans la config openpvn a propos de l'ancien serveur ou du nouveau serveur.

ping depuis mon poste de travail linux (10.0.8.38)
Code:
xavinsky@debian-xavinsky:/W$ ping -I 10.0.8.38 172.16.0.50  # ancien serveur dedie
64 bytes from 172.16.0.50: icmp_seq=1 ttl=63 time=5.40 ms
xavinsky@debian-xavinsky:/W$ ping -I 10.0.8.38 172.18.1.1  # nouveau serveur dedie
3 packets transmitted, 0 received, 100% packet loss, time 2017ms
pour info, ifconfig sur l'openvpn (pfsense) :
Code:
vmx0: flags=8843 metric 0 mtu 1500
        options=600098
        ether ****
        inet6 ****%vmx0 prefixlen 64 scopeid 0x1
        inet **** netmask 0xffffff00 broadcast ****
        nd6 options=21
        media: Ethernet autoselect
        status: active
vmx1: flags=8843 metric 0 mtu 1500
        options=600098
        ether ****
        inet6 ****%vmx1 prefixlen 64 scopeid 0x2
        inet 172.16.0.2 netmask 0xfff00000 broadcast 172.31.255.255
        nd6 options=21
        media: Ethernet autoselect
        status: active
pflog0: flags=100 metric 0 mtu 33144
pfsync0: flags=0<> metric 0 mtu 1500
        syncpeer: 224.0.0.240 maxupd: 128 defer: on
        syncok: 1
lo0: flags=8049 metric 0 mtu 16384
        options=600003
        inet 127.0.0.1 netmask 0xff000000
        inet6 ::1 prefixlen 128
        inet6 ****%lo0 prefixlen 64 scopeid 0x5
        nd6 options=21
enc0: flags=0<> metric 0 mtu 1536
        nd6 options=21
ovpns1: flags=8051 metric 0 mtu 1500
        options=80000
        inet6 *****%ovpns1 prefixlen 64 scopeid 0x7
        inet 10.0.8.1 --> 10.0.8.2 netmask 0xffffffff
        nd6 options=21

captainadmin
12/01/2016, 17h00
hello

Ca semble être un petit problème de routage a premiere vue
Il faut pas simplement faire un ping mais un ping depuis l'ip du vpn
ping 172.18.1.1 -I "ipvpn"

Le résultat du ping est important, il faut voir si le paquet icmp arrive jusqu'au serveur et s'il ne repart ou pas

Ya juste un point que j'ai pas bien compris
Je ne peux pas me connecter via l'openvpn avec le nouveau serveur dédie
Tu ne peux pas te connecter sur le nouveau serveur avec ton vpn ou c'est le serveur qui ne peux se connecter au vpn ?

Bonne journée
http://www.captainadmin.com

xavinsky
11/01/2016, 17h10
Bonjour.

3 serveurs dans un vrack : un esxi, et deux autres serveurs dédies (un ancien et un nouveau).
l'esxi contient des vms
Une vm contient un pfsense avec un openvpn qui permet depuis l’extérieur, d’accéder au vrack.

L’accès openvpn fonctionne depuis longtemps avec :
- plein de vm sur cet esxi dans ce vrack.
- le premier serveur dédié dans ce vrack.

Mon problème : Je ne peux pas me connecter via l'openvpn avec le nouveau serveur dédie ..
Je peux pourtant faire du ssh sur ce nouveau serveur a partir de n'importe quelle instance dans le vrack.

Quelqu'un aurai une idée de ce que j'aurai pu oublié ? ou de comment comprendre mon problème ?

config du nouveau serveur fraîchement installé injoignable par l'openvpn
Code:
cat /etc/network/interfaces
auto lo
iface lo inet loopback

auto eth2
iface eth2 inet static
        address ******
        netmask 255.255.255.0
        network ******
        broadcast ******
        gateway *******

iface eth2 inet6 static
        address ******
        netmask 64
        post-up /sbin/ip -family inet6 route add **** dev eth2
        post-up /sbin/ip -family inet6 route add default via ****
        pre-down /sbin/ip -family inet6 route del default via ****
        pre-down /sbin/ip -family inet6 route del **** dev eth2

auto eth3
iface eth3 inet static
        address 172.18.1.1
        netmask 255.240.0.0
        broadcast 172.31.255.255
        dns-nameservers 172.16.0.2
        dns-search ******
Depuis le serveur pfsense qui à le serveur openpvn, on ping le nouveau serveur dans le vrack :
Code:
[2.2.5-RELEASE][xavierm@parefeu.localdomain]/home/xavierm: ping -c 2 172.18.1.1
PING 172.18.1.1 (172.18.1.1): 56 data bytes
64 bytes from 172.18.1.1: icmp_seq=0 ttl=64 time=0.171 ms
64 bytes from 172.18.1.1: icmp_seq=1 ttl=64 time=0.186 ms
Esxi et Ancien serveur dédié sur RBX 4
Nouveau serveur dédié sur RBX 6