- État Fermée
- Pourcentage achevé
- Type Anomalie
- Catégorie Services locaux → VM
- Assignée à Personne
- Système d'exploitation Freebox Server V7 (Delta)
- Sévérité Moyenne
- Priorité Très Basse
- Basée sur la version 4.5.3
- Due pour la version Non décidée
-
Échéance
Non décidée
- Votes
- Privée
Ouverte par nbanba - 04/12/2021
Dernière modification par Thibaut Freebox - 07/03/2022
FS#36058 - Mode promiscuous sur l'interface virtio des VM KVM de la DELTA
Bonjour
Je n'arrive pas à implémenter 'macvlan' dans les VM de la Freebox Delta.
Les tests sur d'autres instances 'iso software' mais pas 'iso hardware' présentes sur le même réseau n'ont pas ce problème.
L'analyse montre que même quand je met la carte réseau en promiscuous sous linux dans la VM,, la VM n'est pas capable de voir tous les paquets qui passent sur le segment réseau.
Le carte réseau VirtIO émulée par le driver KVM de la couche physique ne supporte pas d'avoir plusieurs MAC adresses sur la même carte.
Pourriez vous SVP ajouter un 'tic box' dans la configuration des VM permettant de passer la carte réseau VirtIO en mode promiscuous ?
PS :
Dans l'implémentation 'ip net' du noyaux linux, ipvlan est très similaire à macvlan sauf qu'avec ipvlan, toutes les interfaces (sources et filles) ont la même adresse MAC. C'est très bien expliqué en français ici : https://static.cinay.eu/htmldoc/Introduction%20aux%20interfaces%20Linux%20pour%20la%20mise%20en%20r%C3%A9seau%20virtuelle.html et ici :
https://www.kernel.org/doc/html/latest/networking/ipvlan.html#example-configuration
ipvlan fonctionne correctement dans les VM, mais pas macvlan qui à pour prérequis que la carte 'physique' VirtIO soit en promiscuous pour supporter le multi MAC addresses.
En vous remerciant d'avance,
Cordialement
nbanba
Chargement...
Activer les raccourcis clavier
- Alt + ⇧ Shift + l Se connecter/Se déconnecter
- Alt + ⇧ Shift + a Ouvrir une tâche
- Alt + ⇧ Shift + m Mes recherches
- Alt + ⇧ Shift + t Rechercher par ID de tâche
Liste des tâches
- o Ouvrir la tâche sélectionnée
- j Déplacer le curseur vers le bas
- k Déplacer le curseur vers le haut
Détails de la tâche
- n Tâche suivante
- p Tâche précédente
- Alt + ⇧ Shift + e ↵ Enter Modifier cette tâche
- Alt + ⇧ Shift + w Surveiller
- Alt + ⇧ Shift + y Fermer cette tâche
Édition de la tâche
- Alt + ⇧ Shift + s Enregistrer la tâche
Bonjour
En fait, ça fonctionne dans certaines conditions particulières.
L'interface des VM est donc bien en promiscuous au niveau de KVM.
Désolé pour le ticket.
Pour que 'macvlan' fonctionne sur une VM de la delta, il ne faut pas que la VM utilise des interfaces réseaux virtuels (vlan).
Le port du switch sur lequel est connecté la freebox doit être en mode access (pvid) sur le réseau de la freebox pour que l'on puisse utiliser macvlan dans les VM.
Donc on ne peut avoir des interfaces macvlan routables dans les VM que sur le subnet local de la box 192.168.xxx.xxx .
D'autre part, on ne peut pas avoir une interface macvlan et une interface ipvlan qui soient attachés à la même interface physique.
Pour faire coexister des interfaces macvlan et ipvlan dans les VM de la delta, il faut 'enslave' l'interface macvlan avec comme master l'interface physique de la VM et il faut mettre le port du switch sur lequel est branché la delta en trunk avec le réseau local de la box comme PVID, puis laisser passer d'autres vlans en trunk. Ensuite, sur la VM vous pourrez créer des interfaces vlan sur les vlans taggués que vous avez laisser passer sur le switch, et vous pourrez créer des interfaces ipvlan sur ces subnets (dans des container réseau netns par exemple) en attachant les interfaces ipvlan aux interfaces vlan que vous aurez précédemment créer.
Pour pouvoir router des flux au travers d'interfaces macvlan attachées à d'autres réseaux, il faudrait un réel support du réseau virtuel au sein de la delta permettant de mettre plusieurs cartes réseaux dans les VM, connectées en mode access (PVID) sur différents réseaux.
Je demande donc la clôture de ce ticket et l'ajout d'un véritable support de 802.1Q dans la Delta, au moins pour les VM.
Cordialement
nbanba