Forum Linux.général ip fallback

Posté par . Licence CC by-sa.
0
24
juil.
2014

Bonjour.

Pour ceux qui ne veulent pas connaître le contexte, voici la question:
Au taf, on m'a autorisé à installer un serveur (je ne suis pas admin) et conformément à la demande expresse de l' "administrateur", je l'ai configuré à contre-cœur pour dépendre de dhcp, sachant qu'il m'a associé une IP fixe.
J'ai plusieurs raisons de n'avoir aucune confiance en le serveur central (con trolleur de domaine Microsoft Windows Server 2012) et donc je souhaiterais que, au cas ou il tombe, je puisse retomber moi-même sur une IP fixe (celle qu'on m'a associée à l'origine, une que je sais appartenir à une plage non utilisée par le DHCP, ou une récupérée par un script, je peux de toute façon toujours identifier cette machine via nmap grâce aux ports ouverts).

Quelqu'un sait-il comment faire, de préférence avec le fichier /etc/network/interfaces (que j'utilise déjà en général, pour faire des trucs pas trop complexes)?

Pour le contexte:
J'ai monté—avec un certain nombre de cafouillages, il faut bien l'admettre, mais je ne suis vraiment pas un admin de métier…—un serveur pour héberger divers services pour le service de dev (git, redmine, VMs, apt-cacher-ng) de la SSII ou je bosse.

Tout marche nickel, mais j'ai commis une erreur critique: j'ai suivi le conseil de la personne qui se fait passer pour un admin pro. Les raisons qui font que je le descend sont assez nombreuses, et pas le sujet. Le conseil en question étant de lui faire confiance pour les IPs et de basculer le serveur que j'ai monté en IP dynamique.

Mais voila, le contrôleur de domaine s'est (encore) cassé la gueule, entraînant la perte de plusieurs services, dont le DHCP. J'avoue ne pas y avoir pensé quand j'ai mis à jour le kernel de "mon" serveur que j'ai donc rebooté… du coup je n'ai plus d'IP, et il m'est impossible de joindre cette machine, ce qui inclue l'impossibilité d'utiliser les dépôts git qui sont dessus.

Dans les faits, présentement, ce n'est pas hyper grave: git est décentralisé, le redmine n'est en place que depuis peu et donc pas encore vraiment exploité (bien que j'aurai bien ajouté quelques infos sur le redmine au sujet d'un projet sur lequel on m'a débrief), il n'y à pas de dev en cours sur les VMs que j'ai faites (mais j'aurai bien monté une VM pour la DB du projet sur lequel on m'a briefé en fait) et apt-cacher-ng est désactivé le temps que je répare l'une de mes erreurs à ce sujet (merdé sur le formatage de /var, et du coup pas assez d'inodes, et il faudrait sûrement que j'affine la config).
Maintenant, ce genre de pannes arrivent régulièrement depuis qu'il à touché à tout, et j'aimerai pouvoir ne pas être entièrement dépendant d'un serveur central: comme je m'en aperçois aujourd'hui à moindres frais, faire reposer tout un édifice sur une seule pierre, c'est pas intelligent, et un jour ça pourrait causer des dégâts encore plus importants (là, on à "juste" plus de mails de manière générale, plus mon serveur sur lequel j'ai merdé qu'on ne peut plus joindre).

  • # Pas tout compris

    Posté par . Évalué à 2.

    Mais si tu as une IP fixe tu peux toi même te l'attribuer sans passer par une requete DHCP.

    • [^] # Re: Pas tout compris

      Posté par . Évalué à 5.

      Il explique que bien qu'on lui ait réservé une IP fixe, l'administrateur lui demande quand même de faire en sorte que ce soit le DHCP qui lui attribue, probablement pour pouvoir facilement en changer si le besoin s'en faisait sentir, sans avoir à intervenir sur la configuration d'un serveur tiers.

      Il explique également n'avoir aucune confiance dans le serveur DHCP et souhaiter mettre en place une procédure de fallback qui pour s'attribuer soi-même l'IP fixe par défaut si jamais le serveur est parti faire un tour au bistrot.

  • # IPv6

    Posté par . Évalué à 4.

    Regarde si tu peux avoir une IPv6 pour ton serveur.
    Si personne n'utilise d'IPv6, tu seras tranquille, et tu pourras toujours joindre ton serveur via l'IPv6.
    Cela t'aidera aussi pour les tests.

    A+

    • [^] # Re: IPv6

      Posté par . Évalué à 2.

      Pas bête, effectivement, je serai extrêmement surpris que quelqu'un utilise des IPv6… voire même qu'elles soient attribuées en fait. Faudra que je teste avec nmap… et puis ça serait l'occase de me mettre à la v6, en plus.

  • # Pourquoi pas les deux

    Posté par . Évalué à 3.

    Pourquoi ne pas monter l'IP de "fallback" en permanence sur une interface virtuelle? L'IP du DHCP est fournie, par le DHCP et le serveur répond aussi sur l'IP qui ne fait pas partie de la plage….

    • [^] # Re: Pourquoi pas les deux

      Posté par . Évalué à 1.

      Disons que même si je n'ai absolument pas confiance dans le DHCP, j'essaie quand même d'être discret. Avoir deux IP pour un serveur c'est pas super de ce point de vue la. Pas envie qu'il se mettre à fouiner trop. Mais effectivement ce serait une solution si je ne trouve rien d'autre.

  • # dans /etc/network/interfaces

    Posté par . Évalué à 3.

    auto eth0:1
    iface eth0:1 inet static
       address 172.16.0.1
       netmask 255.255.255.0
    

    va te creer une interface eth0:1 quand eth0 sera active
    ce eth0:1 aura comme IP 172.16.0.1/24 qui a de grande chance d'etre dispo (c'est une classe privée, souvent utilisée pour des interconnexions VPNs)
    ton admin a du utiliser 192.168.X.Y ou 10.X.Y.Z comme reseau interne.

    • [^] # Re: dans /etc/network/interfaces

      Posté par . Évalué à 1.

      ton admin a du utiliser

      Ce n'est pas lui qui à monté le réseau, mais lui qui en a la charge maintenant… (comprendre: quand je suis arrivé, il n'était pas là et personne se plaignait du réseau. Il est arrivé 2 mois plus tard, et maintenant les gens dans le domaine n'osent même plus éteindre leurs machines le soir de peur de pas pouvoir se reconnecter… XD)

      Enfin, peu importe.
      La plage d'IPs utilisée par le LAN de nos machines c'est 172.20.14.0/24, je ne sais pas par contre s'il existe d'autres LANs pour les serveurs de certains clients. Mais je devrais pouvoir le vérifier ceci dit.

  • # L'option fixed-address

    Posté par (page perso) . Évalué à 10.

    Bonjour,
    Il est possible de définir une ip en fallback en utilisant fixed-address dans le fichier dhclient.conf.
    Voir http://superuser.com/questions/389488/default-to-static-ip-when-no-dhcp-is-found.
    A+

    • [^] # Re: L'option fixed-address

      Posté par . Évalué à 1.

      Merci! Ça à l'air d'être exactement ce que je recherche!

      • [^] # Re: L'option fixed-address

        Posté par . Évalué à 1.

        J'ai utilisé cette solution sur ma machine de travail, et ça semble fonctionner. Du moins, en présence de DHCP, ça marche correctement.
        Maintenant… j'hésite à l'appliquer sur un serveur de production, parce que je ne connaît aucun moyen de tester réellement (c'est à dire, de pouvoir faire comme si le DHCP était down). Aurais-tu une solution pour ça (débrancher le câble ne fonctionne pas, j'imagine qu'il doit y avoir une détection quelque part)?

        • [^] # Re: L'option fixed-address

          Posté par . Évalué à 1.

          Umpf… timeout de…

          Aussi, il semble que la commande utilisée par la personne pour demander un nouveau bail (/etc/init.d/networking stop;sleep 5;/etc/init.d/networking start;) ne fonctionne pas:
          sur ma machine, j'ai un avertissement qu'il est impossible de déconfigurer le réseau parce que le système de fichier réseau est encore monté. Comment on peut démonter ça (je n'étais même pas au courant qu'il y avait un système de fichier réseau… enfin, c'est pas plus mal d'apprendre des choses comme ça)?
          Parce que du coup, quand il essaie de démarrer, ben pareil, problème.

          En utilisant restart, et non stop/sleep/start, j'ai des résultats, mais je ne sais pas s'ils sont normaux?

          /etc/init.d# ./networking restart
          [warn] Running ./networking restart is deprecated because it may not re-enable some interfaces ... (warning).
          [....] Reconfiguring network interfaces...Internet Systems Consortium DHCP Client 4.3.0
          Copyright 2004-2014 Internet Systems Consortium.
          All rights reserved.
          For info, please visit https://www.isc.org/software/dhcp/
          
          Listening on LPF/eth0/78:e3:b5:89:df:ea
          Sending on   LPF/eth0/78:e3:b5:89:df:ea
          Sending on   Socket/fallback
          DHCPRELEASE on eth0 to 172.20.14.254 port 67
          send_packet: Network is unreachable
          send_packet: please consult README file regarding broadcast address.
          dhclient.c:2286: Failed to send 300 byte long packet over fallback interface.
          Removed VLAN -:eth0.1:-
          Cannot find device "eth0.1"
          Set name-type for VLAN subsystem. Should be visible in /proc/net/vlan/config
          Internet Systems Consortium DHCP Client 4.3.0
          Copyright 2004-2014 Internet Systems Consortium.
          All rights reserved.
          For info, please visit https://www.isc.org/software/dhcp/
          
          Listening on LPF/eth0/78:e3:b5:89:df:ea
          Sending on   LPF/eth0/78:e3:b5:89:df:ea
          Sending on   Socket/fallback
          DHCPDISCOVER on eth0 to 255.255.255.255 port 67 interval 4
          DHCPDISCOVER on eth0 to 255.255.255.255 port 67 interval 8
          DHCPREQUEST on eth0 to 255.255.255.255 port 67
          DHCPOFFER from 172.20.14.254
          DHCPACK from 172.20.14.254
          bound to 172.20.14.170 -- renewal in 283316 seconds.
          done.
          

          Network unreachable? De quel réseau il parle?

          • [^] # Re: L'option fixed-address

            Posté par (page perso) . Évalué à 2.

            ebtables pour filtrer les paquets vers le serveur dhcp ?

            configuration vlan d'après les logs ?

            Système - Réseau - Sécurité Open Source

            • [^] # Re: L'option fixed-address

              Posté par . Évalué à 1.

              ebtables pour filtrer les paquets vers le serveur dhcp ?

              Je ne connais pas cet outil (pas surprenant en même temps), mais un rapide coup d'œil à aptitude semble indiquer qu'il s'agit d'une sorte d'iptables qui joue avec les @MAC. Je ne vois pas le rapport avec DHCP, puisque pour acquérir une @IP via dhcp, c'est un broadcast si je ne me trompe pas?

              configuration vlan d'après les logs ?

              Oui, j'utilise vlan pour pouvoir accéder à des VMs. Avec quelques redirections de ports, ces VMs sont accessibles du véritable LAN (172.20.14.*) et ne pourrissent donc pas la plage d'IP de travail. Ça me semblait la meilleure solution considérant que ces VMs sont en fait des VMs de dev, et qu'au fut et à mesure il y en aura de plus en plus: je ne vais pas demander à chaque fois une nouvelle IP… (bon, je pourrais demander une plage, je te l'accorde, mais je préfère garder un maximum d'isolation) du coup ce serveur à la fois héberge les VMs et se comporte comme un routeur.
              C'est la meilleure solution que j'ai trouvée, mais bon, je ne doute pas une seule seconde qu'il y ait mieux.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.