mikkoc
08.06.2010, 13.21
OT: mi confermate che ESXi versione free (dovrebbe essere quella fornita da ovh) riconosce solo 4 core al massimo?
In tal caso mi dovrei orientare su xen...
In tal caso mi dovrei orientare su xen...
Problemi con ESXi, IP Ripe e routing
mzuccala
08.06.2010, 09.37
Lo spero vivamente, sto perdendo giorni preziosi
DanieleVistalli
07.06.2010, 23.00
Ho lo stesso problema, IP Failover ok, IP Ripe non vanno.
Al momento ho un'altro ticket aperto su un problema diverso (due server dedicati uno Linux e un ESXi in cui le VM non riescono a comunicare con il server Linux dedicato) appena esco da quello ne apro uno anche sul problema RIPE.
Da mie verifiche il problema è di routing.
Ho fatto delle operazioni di traceroute da casa mia (ADSL Alice Telecom Italia) verso gli IP Ripe e i pacchetti si perdono molto prima di raggiungere le subnet assegnate.
Vediamo se il team OVH riesce ad uscirne.
Al momento ho un'altro ticket aperto su un problema diverso (due server dedicati uno Linux e un ESXi in cui le VM non riescono a comunicare con il server Linux dedicato) appena esco da quello ne apro uno anche sul problema RIPE.
Da mie verifiche il problema è di routing.
Ho fatto delle operazioni di traceroute da casa mia (ADSL Alice Telecom Italia) verso gli IP Ripe e i pacchetti si perdono molto prima di raggiungere le subnet assegnate.
Vediamo se il team OVH riesce ad uscirne.
mzuccala
02.06.2010, 09.30
Buongiorno, mi scuso fin da ora per la lunghezza del post ma non posso fare altrimenti, sto impazzendo.
Dunque, possiedo una macchina KIMSUFI con ESXi. Su questo host ho creato un vSwitch secondario come da diagramma:
http://zuc.4pres.net/ovh/01.png
Come potete vedere, il primo vSwitch ospita solo UNA scheda di rete di UNA macchina virtuale (nel mio caso SRV-FW01). Nel secondo vSwitch ho invece due VLAN e una porta TRUNK (oppure TAGGED, che dir si voglia) con tutte le VLAN taggate e la seconda scheda di SRV-FW01.
Alla fine non è niente di complesso, il mio intento è che l'unica VM "esposta" è, appunto, SRV-FW01, con attestati tutti i miei IP, e poi distribuisco tramite NAT questi IP alle mie macchine virtuali. Su SRV-FW01 è installata la distribuzione Unix pfSense, un derivato di M0n0wall.
Per quanto riguarda gli IP, io possiedo, oltre ai 3 IP di Failover e a quello dedicato all'host, 8 IP RIPE che, a seguito delle istruzioni del supporto OVH telefonico, ho provveduto a dividere in modo da ottenere una configurazione come quella che segue:
http://zuc.4pres.net/ovh/02.png
E già qua la cosa mi puzza, cioè, prima di dividere il blocco, gli IP utilizzabili erano solo 6 (8 meno quello di rete e di broadcast, quindi una subnet /29). Ora che li ho divisi il pannello me li fa usare come se appartenessero ad una subnet /24, cioè posso usarli tutti e 8 senza problemi.
Ma passiamo oltre. Tramite il Manager, ho configurato un MAC Virtuale che ho assegnato all'interfaccia "WAN" di SRV-FW01, cioè quella attestata al vSwitch0, che è legato alla scheda di rete fisica del mio Kimsufi.
Tale interfaccia è configurata come segue (ricordo che l'IP 94.23.73.X che vedete è uno dei miei IP di Failover dati da OVH insieme al server):
http://zuc.4pres.net/ovh/03.png
DOMANDA 1: questa configurazione è corretta?
Perchè su molte FAQ ho letto che bisogna usare come gateway l'IP reale dell'host KIMSUFI, non quello degli IP Failover. Comunque, così configurato, SRV-FW01 naviga bello tranquillo, e funziona bene.
Passiamo oltre: i restanti IP.
Ho aggiunto TUTTI gli altri IP di cui dispongo (quindi i restanti 2 di Failover più gli 8 del blocco RIPE) come Virtual IPs di tipo Proxy ARP su pfSense come da immagine che segue:
http://zuc.4pres.net/ovh/04.png
Ovviamente, tutti questi IP sono "ruotati" tramite Manager al corretto MAC Address virtuale attestato sulla WAN di SRV-FW01.
Detto questo, ho creato delle regole di NAT e sul Firewall in modo da provare a pubblicare qualche servizio utilizzando i miei IP.
In particolare, ho provato a nattare il secondo IP di Failover (per comodità lo chiameremo 94.23.73.B) sull'IP di una delle mie VM (10.10.1.1) attestate sul vSwitch1, cioè quello privato con le VLAN, e ho aperto la porta TCP/3389 per utilizzare il Remote Desktop di Windows. Tutto funziona alla perfezione.
Ho poi provato a fare la stessa cosa nattando un IP del blocco RIPE (per comodità lo chiameremo 178.33.10.C) sulla porta TCP/80 dell'IP privato di un'altra delle mie VM (10.10.0.2) attestate sempre sul vSwitch1, anche se appartenente ad un'altra VLAN.
Per tutte queste regole ho creato relative eccezioni sul firewall e altrettante regole di Outbound NAT, così come segue:
http://zuc.4pres.net/ovh/05.png
http://zuc.4pres.net/ovh/06.png
http://zuc.4pres.net/ovh/07.png
NB: le reti interne (quindi le due VLAN) possono accedere alla WAN senza alcuna limitazione.
Arriviamo, finalmente, al vero, grosso problema: FUNZIONANO SOLO GLI IP FAILOVER E NON QUELLI RIPE!!!
Mi spiego meglio, delle due regole solo quella con IP Pubblico 94.23.73.B funziona, mentre i pacchetti destinati a 178.33.10.C è come se non capissero da che parte devono entrare/uscire.
DOMANDA 2: cosa c'è che non funziona in tutto ciò? Dove ho sbagliato??
Ho fatto anche tutte le prove "inverse", cioè invertendo i due IP esterni in modo che la colpa non fosse delle VM, ho provato a usare altri IP, ma niente da fare.
Sicuramente ho omesso di dirvi qualcosa perchè ho fatto veramente molti tentativi, ma se vi mancano informazioni per aiutarmi chiedete pure.
Vi prego, datemi una mano perchè sono disperato, sono 2 giorni che ci sbatto la testa e sono cose che ho fatto migliaia di volte, ma non si decidono a funzionare
Buona settimana
MZ
PS: nel caso si collegasse qualche membro del TEAM OVH, lascio il mio Rif. cliente: BT22593-OVH
Dunque, possiedo una macchina KIMSUFI con ESXi. Su questo host ho creato un vSwitch secondario come da diagramma:
http://zuc.4pres.net/ovh/01.png
Come potete vedere, il primo vSwitch ospita solo UNA scheda di rete di UNA macchina virtuale (nel mio caso SRV-FW01). Nel secondo vSwitch ho invece due VLAN e una porta TRUNK (oppure TAGGED, che dir si voglia) con tutte le VLAN taggate e la seconda scheda di SRV-FW01.
Alla fine non è niente di complesso, il mio intento è che l'unica VM "esposta" è, appunto, SRV-FW01, con attestati tutti i miei IP, e poi distribuisco tramite NAT questi IP alle mie macchine virtuali. Su SRV-FW01 è installata la distribuzione Unix pfSense, un derivato di M0n0wall.
Per quanto riguarda gli IP, io possiedo, oltre ai 3 IP di Failover e a quello dedicato all'host, 8 IP RIPE che, a seguito delle istruzioni del supporto OVH telefonico, ho provveduto a dividere in modo da ottenere una configurazione come quella che segue:
http://zuc.4pres.net/ovh/02.png
E già qua la cosa mi puzza, cioè, prima di dividere il blocco, gli IP utilizzabili erano solo 6 (8 meno quello di rete e di broadcast, quindi una subnet /29). Ora che li ho divisi il pannello me li fa usare come se appartenessero ad una subnet /24, cioè posso usarli tutti e 8 senza problemi.
Ma passiamo oltre. Tramite il Manager, ho configurato un MAC Virtuale che ho assegnato all'interfaccia "WAN" di SRV-FW01, cioè quella attestata al vSwitch0, che è legato alla scheda di rete fisica del mio Kimsufi.
Tale interfaccia è configurata come segue (ricordo che l'IP 94.23.73.X che vedete è uno dei miei IP di Failover dati da OVH insieme al server):
http://zuc.4pres.net/ovh/03.png
DOMANDA 1: questa configurazione è corretta?
Perchè su molte FAQ ho letto che bisogna usare come gateway l'IP reale dell'host KIMSUFI, non quello degli IP Failover. Comunque, così configurato, SRV-FW01 naviga bello tranquillo, e funziona bene.
Passiamo oltre: i restanti IP.
Ho aggiunto TUTTI gli altri IP di cui dispongo (quindi i restanti 2 di Failover più gli 8 del blocco RIPE) come Virtual IPs di tipo Proxy ARP su pfSense come da immagine che segue:
http://zuc.4pres.net/ovh/04.png
Ovviamente, tutti questi IP sono "ruotati" tramite Manager al corretto MAC Address virtuale attestato sulla WAN di SRV-FW01.
Detto questo, ho creato delle regole di NAT e sul Firewall in modo da provare a pubblicare qualche servizio utilizzando i miei IP.
In particolare, ho provato a nattare il secondo IP di Failover (per comodità lo chiameremo 94.23.73.B) sull'IP di una delle mie VM (10.10.1.1) attestate sul vSwitch1, cioè quello privato con le VLAN, e ho aperto la porta TCP/3389 per utilizzare il Remote Desktop di Windows. Tutto funziona alla perfezione.
Ho poi provato a fare la stessa cosa nattando un IP del blocco RIPE (per comodità lo chiameremo 178.33.10.C) sulla porta TCP/80 dell'IP privato di un'altra delle mie VM (10.10.0.2) attestate sempre sul vSwitch1, anche se appartenente ad un'altra VLAN.
Per tutte queste regole ho creato relative eccezioni sul firewall e altrettante regole di Outbound NAT, così come segue:
http://zuc.4pres.net/ovh/05.png
http://zuc.4pres.net/ovh/06.png
http://zuc.4pres.net/ovh/07.png
NB: le reti interne (quindi le due VLAN) possono accedere alla WAN senza alcuna limitazione.
Arriviamo, finalmente, al vero, grosso problema: FUNZIONANO SOLO GLI IP FAILOVER E NON QUELLI RIPE!!!
Mi spiego meglio, delle due regole solo quella con IP Pubblico 94.23.73.B funziona, mentre i pacchetti destinati a 178.33.10.C è come se non capissero da che parte devono entrare/uscire.
DOMANDA 2: cosa c'è che non funziona in tutto ciò? Dove ho sbagliato??
Ho fatto anche tutte le prove "inverse", cioè invertendo i due IP esterni in modo che la colpa non fosse delle VM, ho provato a usare altri IP, ma niente da fare.
Sicuramente ho omesso di dirvi qualcosa perchè ho fatto veramente molti tentativi, ma se vi mancano informazioni per aiutarmi chiedete pure.
Vi prego, datemi una mano perchè sono disperato, sono 2 giorni che ci sbatto la testa e sono cose che ho fatto migliaia di volte, ma non si decidono a funzionare
Buona settimana
MZ
PS: nel caso si collegasse qualche membro del TEAM OVH, lascio il mio Rif. cliente: BT22593-OVH