Ip failover sur VM bridgée qui ne fonctionne pas

AdrienG21 2020-10-28 15:54:40 UTC #1

Bonjour,
Je rencontre un problème avec un serveur SYS-B-3 sur lequel je souhaite faire de la virtualisation avec libvirt/qemu.
debootstrap buster /path/to/rootfs
configuration minimum du système (interface réseau, grub, mot de passe)
reboot
apt --no-install-recommends --yes install qemu-kvm libvirt-clients libvirt-daemon-system libvirt-daemon-driver-storage-zfs ovmf dnsmasq-base dnsmasq rsync netcat-openbsd
iptables -P FORWARD ACCESS
iptables -P OUTPUT ACCESS
iptables -P INPUT ACCESS
note : la conf firewall est volontairement désactivée pour éliminer tout doute sur cette partie. Pas de règle non plus sur ebtables
Puis je créé une VM avec pour seul changement notable la mac associée à l'ip de failover et un boot sur un live cd (sysrescuecd 5.3.2 en l'occurence) puis configuration réseau sur la VM suivant les recommandations d'OVH docs ovh : net bridging
ifconfig eth0 aaa.bbb.ccc.ddd broadcast aaa.bbb.ccc.ddd
route add aaa.bbb.ccc.254 dev eth0
route add default gw aaa.bbb.ccc.254
Mais les pings répondent systématiquement Destination Host Unreachable
Si je remplace le masque et le broadcast pour passer en /24, même résultat pour le ping.

Nouveau test, je réinstalle la machine avec le template proxmox 6 VE d'OVH, aucune modification sur l'hôte, je créé une VM avec comme seul paramètre spécifié l'adresse mac de l'ip failover, je boot là aussi sur un livecd, je remet la configuration réseau décrite ci dessus, même résultat

J'avais 2 autres serveurs chez SYS (des e3-sat-2-32) qui utilisent le même setup d'install (avec un firewall configuré) sans le moindre problème.
J'en ai rendu un (grosse erreur manifestement) mais avant cela, j'ai répliqué (zfs send) les datasets systèmes sur le SYS-B-3, où j'ai juste modifié l'adresse ip et la passerelle pour correspondre aux paramètres définis pour le SYS-B-3. Je boot sur les datasets en question (après avoir éteint le serveur d'où vient le dataset bien sûr), puis je relance mon test avec la vm en livecd et l'ip failover, même résultat.
Je prend un autre serveur en location, un e3-sat-2-32, je déroule mon install debian décrite ci dessus, je déplace l'ip failover, je lance ma vm, refais la config réseau de celle ci comme décrit ci dessus, et tout fonctionne.
J'ai aussi fais des traces réseaux sur l'hôte et la VM, lorsque je ping de l'extérieur vers l'ip failover, le paquet arrive bien sur l'hôte mais n'est jamais vu sur la VM. Si je trace le ping depuis la vm vers l'extérieur (par exemple vers 8.8.8.8) on voit l'icmp echo request sur la trace de la vm mais jamais sur celle de l'hôte.
J'ai aussi tenté de jouer sur toutes les entrées /proc/sys/net/bridge/bridge-nf-* mises à 0 puis à 1, sans amélioration observée
idem pour /proc/sys/net/ipv4/ip_forward mis à 0 puis 1

si je résume :
srvA (e3-sat-2-32) : tout fonctionne sans problème avec l'install debian décrite ci dessus, toujours en service.
srvB (e3-sat-2-32): tout fonctionnait sans problème avec l'install debian décrite ci dessus, dataset transférés sur le sys-b-3
srvC (SYS-B-3) : install debian KO, install template proxmox KO, boot dataset srvB KO
srvD (e3-sat-2-32 : tout fonctionne sans problème avec l'install debian décrite ci dessus, serveur rendu car juste utilisé pour refaire une vérification.

On dépasse le cadre normal du support SYS, mais j'ai quand même ouvert un ticket, mais le support considère que le test suivant exécuté en mode rescue renvoi à un problème de configuration sur l'OS (VM ou hôte) :
ip link add name test-bridge link eth0 type macvlan
ip link set dev test-bridge address MAC_ADDRESS
ip link set test-bridge up
ip addr add FAILOVER_IP/32 dev test-bridge

Est ce que quelqu'un aurait une idée de ce qui pourrait poser problème ?
Les questions, remarques et suggestions sont les bienvenues.
Merci
Adrien

Proxmox ip failover problème reseau vers orange

AdrienG21 2020-10-30 11:15:10 UTC #2

Bonjour,
Un complément d'informations.
La même procédure d'installation a été utilisée sans problème sur :
- 4 e3-sat-2-32
- 2 e3-sat-1-16
- 1 sys-le-1
- 1 serveur chez un autre hébergeur outre Rhin
Si quelqu'un souhaite des précisions ou a une remarque sur les éléments évoqués, n'hésitez pas à poser vos questions.
Le support s'arqueboute sur un problème de configuration logicielle, mais vu les tests menés, je penche plutôt pour un problème sur le serveur.
D'avance merci pour votre aide.

AdrienG21 2020-11-02 11:20:27 UTC #3

Bonjour,
J'ai tenté d'utiliser la capacité SR-IOV de la carte Intel i350, sans succès.
hôte :
activation de l'iommu Intel (avec reboot de l'hôte bien entendu) :
dmesg | grep IOMMU
[ 0.237673] DMAR: IOMMU enabled
[ 0.337573] DMAR-IR: IOAPIC id 0 under DRHD base 0xfbffc000 IOMMU 0
[ 0.337574] DMAR-IR: IOAPIC id 2 under DRHD base 0xfbffc000 IOMMU 0
[ 1.105871] AMD IOMMUv2 driver by Joerg Roedel <jroedel@suse.de>
[ 1.105872] AMD IOMMUv2 functionality not available on this system

ajout des vf (dans la limite de ce qui est supporté par la carte i350 = 7) :
echo 7 > /sys/class/net/eno1/device/sriov_numvfs
modification de l'adresse mac de la première interface vf :
ip link set eno1 vf 0 mac 11:22:33:44:55:66
rechargement du module igbvf (nécessaire pour que la nouvelle adresse mac soit prise en compte) :
modprobe -r igbvf && sleep 10 && modprobe igbvf
ifconfig eno1v0
eno1v0: flags=4098<BROADCAST,MULTICAST> mtu 1500
ether 11:22:33:44:55:66 txqueuelen 1000 (Ethernet)
RX packets 0 bytes 0 (0.0 B)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 0 bytes 0 (0.0 B)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

ajout de la vf dans la vm de test :
virsh dumpxml just4test | grep -A 7 -m 1 hostdev
<hostdev mode='subsystem' type='pci' managed='yes'>
<driver name='vfio'/>
<source>
<address domain='0x0000' bus='0x04' slot='0x10' function='0x0'/>
</source>
<alias name='hostdev0'/>
<address type='pci' domain='0x0000' bus='0x00' slot='0x03' function='0x0'/>
</hostdev>

virsh dumpxml just4test | grep -c network
0

vm :
je retrouve bien mon interface réseau
ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: ens3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
link/ether 11:22:33:44:55:66 brd ff:ff:ff:ff:ff:ff
inet6 fe80::abcd:ef01:123:4567/64 scope link noprefixroute
valid_lft forever preferred_lft forever

ip addr add aaa.bbb.ccc.ddd/32 dev
ping 8.8.8.8
Network is unreachable
ip addr del aaa.bbb.ccc.ddd/32 dev
ip addr add aaa.bbb.ccc.ddd/24 dev
route add default gw aaa.bbb.ccc.254
ping -c 4 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(64) bytes of data.
From aaa.bbb.ccc.ddd icmp_seq=1 Destination Host Unreachable
From aaa.bbb.ccc.ddd icmp_seq=2 Destination Host Unreachable
From aaa.bbb.ccc.ddd icmp_seq=3 Destination Host Unreachable
From aaa.bbb.ccc.ddd icmp_seq=4 Destination Host Unreachable

--- 8.8.8.8 ping statistics ---
4 packets transmitted, 0 received, +4 errors, 100% packet loss, time 3057ms
pipe 2

sr-iov permet un dialogue direct entre la VM (dans le cas présent) et l'interface réseau physique.
A mon sens, ce test permet d'écarter tout problème de configuration sur l'hôte.
La VM n'a aucun firewall et le comportement des commandes exécutées pour tester la connectivité reseau est le même que celui observé précédemment sur ce serveur.

D'avance merci pour votre aide.

AdrienG21 2020-11-02 17:46:37 UTC #4

Re bonjour,
Sur les conseils d'un ami, j'ai suivi les paquets à destination/depuis la vm qui utilise l'ip fo.
Lorsque je configure l'ip fo en /32, j'obtiens systématiquement "connect: Network is unreachable" lorsque je tente de pinger une ip publique (8.8.8.8 par exemple).

Au niveau des traces, j'en ai lancé une sur l'hôte, sans restriction d'interface mais en filtrant sur la mac de l'ip fo.
Lorsque je lance le ping, la vm envoi une requête ARP pour savoir comment atteindre la passerelle de l'ip fo, on voit bien les paquets sur la trace de la vm et de l'hôte, mais jamais de réponse.
Idem, si je ping l'ip fo depuis l'extérieur, l'icmp echo request arrive sur l'hôte, atteint la vm qui de nouveau envoi une requête ARP (visible là aussi dans la trace de la vm et de l'hôte) pour savoir comment atteindre sa passerelle pour pouvoir répondre à l'icmp echo request, sans jamais avoir de réponse.

user@host $ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
link/ether 00:11:22:33:44:55 brd ff:ff:ff:ff:ff:ff
inet aaa.bbb.ccc.ddd/32 brd aaa.bbb.ccc.ddd scope global dynamic ens3
valid_lft forever preferred_lft forever
user@host $ route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 aaa.bbb.ccc.254 0.0.0.0 UG 0 0 0 ens3
aaa.bbb.ccc.254 0.0.0.0 255.255.255.255 UH 0 0 0 ens3

D'avance merci pour votre aide.

AdrienG21 2020-12-07 10:12:37 UTC #5

Bonjour,
Face au mutisme du support, j'ai poursuivi mes recherches et ai fini par trouver un contournement.
Dans les traces réseaux collectées depuis la vm et l'hôte, on voit bien les requêtes ARP (pour connaître la mac de la passerelle) sortir de la VM ET de l'hôte mais jamais aucune réponse ne parvient.
En ajoutant une entrée statique pour la passerelle dans la table arp de la vm, tout rentre dans l'ordre.
C'est un comportement déjà répertorié dans les incidents d'infrastructure OVH :
http://travaux.ovh.net/?do=details&id=34883
Malheureusement ce n'est pas une solution et le support SYS persiste à dire qu'il s'agit d'un problème de configuration sur le serveur. Mais ce n'est pas une solution et ce n'est pas fiable à long terme.
Pour mémoire, policies du firewall sur accept, le forward est activé et il n'y a aucun paramétrage d'arp filtering ou autre. Vu que de toute façon on voit dans la trace réseau que la requête ARP sort du serveur, pour moi le problème est chez OVH.
Quelqu'un aurait il un avis sur la question svp ? Je peux fournir des informations supplémentaires au besoin.
D'avance merci

Proxmox ip failover problème reseau vers orange

niko 2020-12-12 12:54:50 UTC #6

Bonjour,

Je confirme ce comportement. Par contre je ne me souviens plus si mettre en statique avait réglé le problème. Possible, mais le support ayant corrigé le problème finalement, je ne me souviens plus.

niko 2020-12-12 13:04:52 UTC #7

Une question : tu confirmes que tes IP sont des IP FO indépendantes ? (Pas issues d'un bloc ?)

AdrienG21 2020-12-12 13:58:52 UTC #8

Bonjour Niko,
Merci pour ta réponse, non en effet ce sont bien des ip fo indépendantes, aucun bloc.
Cordialement

AdrienG21 2021-01-18 09:40:17 UTC #9

Bonjour,
Pour information ce problème n'est toujours pas résolu.
Après plus d'un mois de silence, le support s'est décidé à me répondre pour me dire une fois de plus que tout allait bien de leur côté et à refaire un test en ip fo depuis le mode rescue ... pour leur fournir le résultat des commandes suivantes :
mtr -o 'J M X LSR NA B W V' -wzbc 50 x.x.x.x correspondant a l'ip des serveur que vous tentez de joindre.
ethtool -S ethX | grep error
Pour mémoire, le problème se résume au fait que la passerelle (d'ip failover) ne répond pas aux requêtes ARP envoyées par une VM bridgée (où se trouve l'ip failover), si j'ajoute une entrée statique dans la table arp de la vm avec la mac de la passerelle, tout fonctionne.

J'ai vraiment l'impression que c'est un dialogue de sourds ...

Propulsé par Discourse, le rendu est meilleur avec le JavaScript activé

OVH Community

Bienvenue sur votre espace communautaire. Posez des questions, recherchez des informations, publiez du contenu et interagissez avec d’autres membres OVH Community.