<div dir="auto">Salut<div dir="auto"><br></div><div dir="auto">Sur un pare-feu, j'étais tombé sur un paramètre activé par défaut qui, si un paquet arrivait d'un vlan  qui ne lui était pas connu, il le broadcastait à l'ensemble des ports. </div><div dir="auto"><br></div><div dir="auto">Tes ports acceptent les vlan 10 et 66 tagués (donc pas par défaut), mais tes Vm font elles bien l'effort d'envoyer des paquets tagués à ton vswitch ?</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Le mer. 14 août 2019 à 11:45, Florent Nolot <<a href="mailto:fnolot@gmail.com">fnolot@gmail.com</a>> a écrit :<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
  
    
  
  <div text="#000000" bgcolor="#FFFFFF">
    <p>Bonjour</p>
    <p>justement, je n'ai pas de routage en place, pas de proxy arp et
      les trames de broadcast atteigne VM3 depuis VM1</p>
    <p>Sur mon host :</p>
    <p>toto@ubuntu:~$ ip route show<br>
      default via 10.22.9.254 dev ens160 onlink<br>
      <a href="http://10.22.9.0/24" target="_blank" rel="noreferrer">10.22.9.0/24</a> dev ens160 proto kernel scope link src 10.22.9.75<br>
    </p>
    <p>net.ipv4.ip_forward = 0<br>
      net.ipv4.conf.all.proxy_arp = 0<br>
    </p>
    <p>Sur les VM, je n'ai pas de route par défaut. Chaque VM est lancé
      ainsi <br>
    </p>
    <p>qemu-system-x86_64 -machine accel=kvm:tcg -cpu host -m 256 -hda
      alpine-lab1.img -net nic,macaddr=52:54:00:12:12:02 -net
      tap,script=no,ifname=lab1vm1 -vnc :2 -name lab1vm1 -localtime
      --daemonize<br>
    </p>
    <p>Ce que je n'explique pas, si je down eth0 eth1 de la VM2, les
      ping continue à marcher ! VM2 ne fait donc pas le routage.
      Visiblement, c'est le kernel du host qui relai les paquets. Mais
      pourquoi les tag vlan ne jouent pas leur rôle ?<br>
    </p>
    <p>Cordialement<br>
    </p>
    <div class="m_-5490903218000646091moz-cite-prefix">Le 14/08/2019 à 04:44, VALOIS, Pascal a
      écrit :<br>
    </div>
    <blockquote type="cite">
      
      <p>bonjour,<br>
      </p>
      <p>Dans ton cas, je pense que tes vm1 2 et 3 ont chacune une route
        par défaut positionnée, et que l'équipement qui assure leur
        routage fait le lien  entre les deux vlans.</p>
      <p>en gros, au niveau 2 tu est bien isolé, mais comme tu es dans
        un contexte de ping et de routage ip, et non plus d'une
        transation pure ethernet (niveau 2), ben tu as un chemin qui
        existe entre des vms.</p>
      <p>A ce niveau la, il faut ajouter des ACLS sur ton équipement de
        routage, pour filtrer le niveau 3 (comme le ferai un firewall)<br>
      </p>
      <div class="m_-5490903218000646091moz-cite-prefix">Cordialement.<br>
      </div>
      <div class="m_-5490903218000646091moz-cite-prefix"><br>
      </div>
      <div class="m_-5490903218000646091moz-cite-prefix">Le 13/08/2019 à 23:23, Florent Nolot
        a écrit :<br>
      </div>
      <blockquote type="cite">
        
        <p>Bonjour</p>
        <p>J'ai un problème d'isolation entre des VM connectés à un
          OpenVSwitch et utilisant des VLAN. Les vlan ne jouent pas leur
          rôle de cloisement. Je copie ci-dessous le post stackoverflow
          que j'ai effectué, resté sans réponse à ce jour.</p>
        <p> </p>
        <div class="m_-5490903218000646091post-text">
          <p>I have 3 VM (qemu with tap interface), 2 on vlan 10 and 1
            on vlan 66 on the same lab1 OpenVSwitch. The first VM is
            connected via a tap interface on port lab1vm1. The second
            has 2 network interfaces connected on port lab1dhcp and
            lab1dhcpmaster and the third VM on port dhcpmaster.</p>
          <pre><code>-------------   -----------------------  --------------
| VM 1      |   |        VM2          |  |   VM3      |
|10.10.10.3 |   |10.8.6.1  10.10.10.13|  | 10.10.10.2 |
-------------   -----------------------  --------------
   |                |           |             |
   |                |           |             |
------------------------------------------------------------------
|lab1vm1          lab1dhcp  lab1dhcpadm   dhcpmaster     OVS lab1|
|tag 10           tag 10     tag 66         tag 66               |
------------------------------------------------------------------
</code></pre>
          <p>The OpenVSwitch is configured as follow :</p>
          <pre class="m_-5490903218000646091lang-sh m_-5490903218000646091prettyprint m_-5490903218000646091prettyprinted"><code><span class="m_-5490903218000646091pln">    </span><span class="m_-5490903218000646091typ">Bridge</span><span class="m_-5490903218000646091pln"> </span><span class="m_-5490903218000646091str">"lab1"</span><span class="m_-5490903218000646091pln">
        </span><span class="m_-5490903218000646091typ">Port</span><span class="m_-5490903218000646091pln"> </span><span class="m_-5490903218000646091str">"lab1vm1"</span><span class="m_-5490903218000646091pln">
            tag</span><span class="m_-5490903218000646091pun">:</span><span class="m_-5490903218000646091pln"> </span><span class="m_-5490903218000646091lit">10</span><span class="m_-5490903218000646091pln">
            </span><span class="m_-5490903218000646091typ">Interface</span><span class="m_-5490903218000646091pln"> </span><span class="m_-5490903218000646091str">"lab1vm1"</span><span class="m_-5490903218000646091pln">
        </span><span class="m_-5490903218000646091typ">Port</span><span class="m_-5490903218000646091pln"> </span><span class="m_-5490903218000646091str">"lab1"</span><span class="m_-5490903218000646091pln">
            tag</span><span class="m_-5490903218000646091pun">:</span><span class="m_-5490903218000646091pln"> </span><span class="m_-5490903218000646091lit">10</span><span class="m_-5490903218000646091pln">
            </span><span class="m_-5490903218000646091typ">Interface</span><span class="m_-5490903218000646091pln"> </span><span class="m_-5490903218000646091str">"lab1"</span><span class="m_-5490903218000646091pln">
                type</span><span class="m_-5490903218000646091pun">:</span><span class="m_-5490903218000646091pln"> internal
        </span><span class="m_-5490903218000646091typ">Port</span><span class="m_-5490903218000646091pln"> </span><span class="m_-5490903218000646091str">"lab1dhcp"</span><span class="m_-5490903218000646091pln">
            tag</span><span class="m_-5490903218000646091pun">:</span><span class="m_-5490903218000646091pln"> </span><span class="m_-5490903218000646091lit">10</span><span class="m_-5490903218000646091pln">
            </span><span class="m_-5490903218000646091typ">Interface</span><span class="m_-5490903218000646091pln"> </span><span class="m_-5490903218000646091str">"lab1dhcp"</span><span class="m_-5490903218000646091pln">
        </span><span class="m_-5490903218000646091typ">Port</span><span class="m_-5490903218000646091pln"> </span><span class="m_-5490903218000646091str">"lab1dhcpadm"</span><span class="m_-5490903218000646091pln">
            tag</span><span class="m_-5490903218000646091pun">:</span><span class="m_-5490903218000646091pln"> </span><span class="m_-5490903218000646091lit">66</span><span class="m_-5490903218000646091pln">
            </span><span class="m_-5490903218000646091typ">Interface</span><span class="m_-5490903218000646091pln"> </span><span class="m_-5490903218000646091str">"lab1dhcpadm"</span><span class="m_-5490903218000646091pln">
        </span><span class="m_-5490903218000646091typ">Port</span><span class="m_-5490903218000646091pln"> dhcpmaster
            tag</span><span class="m_-5490903218000646091pun">:</span><span class="m_-5490903218000646091pln"> </span><span class="m_-5490903218000646091lit">66</span><span class="m_-5490903218000646091pln">
            </span><span class="m_-5490903218000646091typ">Interface</span><span class="m_-5490903218000646091pln"> dhcpmaster
    ovs_version</span><span class="m_-5490903218000646091pun">:</span><span class="m_-5490903218000646091pln"> </span><span class="m_-5490903218000646091str">"2.9.2"</span></code></pre>
          <p>The problem: VM1 can ping VM3!</p>
          <ul>
            <li>If I power off VM2 or shutdown lab1dhcp or lab1dhcpadm
              interface, the ping doesn't work.</li>
            <li>If I shutdown the two network interfaces of VM2, ping
              works !</li>
          </ul>
          <p>Why VM2 relay ICMP packet from VM1 to VM3 ? The broadcast
            send by VM1 reach also VM3 ! for example, if I ask an
            address from dhcp client on VM1, VM3 receive the dhcp
            discover.<br>
          </p>
        </div>
        <p>Merci pour votre aide.</p>
        <p>Florent<br>
        </p>
        <br>
        <fieldset class="m_-5490903218000646091mimeAttachmentHeader"></fieldset>
        <pre class="m_-5490903218000646091moz-quote-pre">_______________________________________________
Liste de diffusion du FRsAG
<a class="m_-5490903218000646091moz-txt-link-freetext" href="http://www.frsag.org/" target="_blank" rel="noreferrer">http://www.frsag.org/</a></pre>
      </blockquote>
      <p><br>
      </p>
    </blockquote>
  </div>

_______________________________________________<br>
Liste de diffusion du FRsAG<br>
<a href="http://www.frsag.org/" rel="noreferrer noreferrer" target="_blank">http://www.frsag.org/</a></blockquote></div>