Forum Linux.général ip fallback

Posté par freem le 24 juillet 2014 à 17:57. Licence CC By‑SA.

Étiquettes :

juil.

2014

Bonjour.

Pour ceux qui ne veulent pas connaître le contexte, voici la question:
Au taf, on m'a autorisé à installer un serveur (je ne suis pas admin) et conformément à la demande expresse de l' "administrateur", je l'ai configuré à contre-cœur pour dépendre de dhcp, sachant qu'il m'a associé une IP fixe.
J'ai plusieurs raisons de n'avoir aucune confiance en le serveur central (con trolleur de domaine Microsoft Windows Server 2012) et donc je souhaiterais que, au cas ou il tombe, je puisse retomber moi-même sur une IP fixe (celle qu'on m'a associée à l'origine, une que je sais appartenir à une plage non utilisée par le DHCP, ou une récupérée par un script, je peux de toute façon toujours identifier cette machine via nmap grâce aux ports ouverts).

Quelqu'un sait-il comment faire, de préférence avec le fichier /etc/network/interfaces (que j'utilise déjà en général, pour faire des trucs pas trop complexes)?

Pour le contexte:
J'ai monté—avec un certain nombre de cafouillages, il faut bien l'admettre, mais je ne suis vraiment pas un admin de métier…—un serveur pour héberger divers services pour le service de dev (git, redmine, VMs, apt-cacher-ng) de la SSII ou je bosse.

Tout marche nickel, mais j'ai commis une erreur critique: j'ai suivi le conseil de la personne qui se fait passer pour un admin pro. Les raisons qui font que je le descend sont assez nombreuses, et pas le sujet. Le conseil en question étant de lui faire confiance pour les IPs et de basculer le serveur que j'ai monté en IP dynamique.

Mais voila, le contrôleur de domaine s'est (encore) cassé la gueule, entraînant la perte de plusieurs services, dont le DHCP. J'avoue ne pas y avoir pensé quand j'ai mis à jour le kernel de "mon" serveur que j'ai donc rebooté… du coup je n'ai plus d'IP, et il m'est impossible de joindre cette machine, ce qui inclue l'impossibilité d'utiliser les dépôts git qui sont dessus.

Dans les faits, présentement, ce n'est pas hyper grave: git est décentralisé, le redmine n'est en place que depuis peu et donc pas encore vraiment exploité (bien que j'aurai bien ajouté quelques infos sur le redmine au sujet d'un projet sur lequel on m'a débrief), il n'y à pas de dev en cours sur les VMs que j'ai faites (mais j'aurai bien monté une VM pour la DB du projet sur lequel on m'a briefé en fait) et apt-cacher-ng est désactivé le temps que je répare l'une de mes erreurs à ce sujet (merdé sur le formatage de /var, et du coup pas assez d'inodes, et il faudrait sûrement que j'affine la config).
Maintenant, ce genre de pannes arrivent régulièrement depuis qu'il à touché à tout, et j'aimerai pouvoir ne pas être entièrement dépendant d'un serveur central: comme je m'en aperçois aujourd'hui à moindres frais, faire reposer tout un édifice sur une seule pierre, c'est pas intelligent, et un jour ça pourrait causer des dégâts encore plus importants (là, on à "juste" plus de mails de manière générale, plus mon serveur sur lequel j'ai merdé qu'on ne peut plus joindre).

# Pas tout compris

Posté par Graveen le 24 juillet 2014 à 19:04. Évalué à 2.

Mais si tu as une IP fixe tu peux toi même te l'attribuer sans passer par une requete DHCP.
- [^] # Re: Pas tout compris
  
  Posté par Obsidian le 24 juillet 2014 à 19:38. Évalué à 5.
  
  Il explique que bien qu'on lui ait réservé une IP fixe, l'administrateur lui demande quand même de faire en sorte que ce soit le DHCP qui lui attribue, probablement pour pouvoir facilement en changer si le besoin s'en faisait sentir, sans avoir à intervenir sur la configuration d'un serveur tiers.
  
  Il explique également n'avoir aucune confiance dans le serveur DHCP et souhaiter mettre en place une procédure de fallback qui pour s'attribuer soi-même l'IP fixe par défaut si jamais le serveur est parti faire un tour au bistrot.
# IPv6

Posté par GG (site web personnel) le 24 juillet 2014 à 19:34. Évalué à 4.

Regarde si tu peux avoir une IPv6 pour ton serveur.
Si personne n'utilise d'IPv6, tu seras tranquille, et tu pourras toujours joindre ton serveur via l'IPv6.
Cela t'aidera aussi pour les tests.

A+

Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html
- [^] # Re: IPv6
  
  Posté par freem le 25 juillet 2014 à 15:39. Évalué à 2.
  
  Pas bête, effectivement, je serai extrêmement surpris que quelqu'un utilise des IPv6… voire même qu'elles soient attribuées en fait. Faudra que je teste avec nmap… et puis ça serait l'occase de me mettre à la v6, en plus.
# Pourquoi pas les deux

Posté par \o/ le 24 juillet 2014 à 22:11. Évalué à 3.

Pourquoi ne pas monter l'IP de "fallback" en permanence sur une interface virtuelle? L'IP du DHCP est fournie, par le DHCP et le serveur répond aussi sur l'IP qui ne fait pas partie de la plage….
- [^] # Re: Pourquoi pas les deux
  
  Posté par freem le 25 juillet 2014 à 15:42. Évalué à 1.
  
  Disons que même si je n'ai absolument pas confiance dans le DHCP, j'essaie quand même d'être discret. Avoir deux IP pour un serveur c'est pas super de ce point de vue la. Pas envie qu'il se mettre à fouiner trop. Mais effectivement ce serait une solution si je ne trouve rien d'autre.
# dans /etc/network/interfaces

Posté par NeoX le 25 juillet 2014 à 00:56. Évalué à 3.
```
auto eth0:1
iface eth0:1 inet static
   address 172.16.0.1
   netmask 255.255.255.0
```
va te creer une interface eth0:1 quand eth0 sera active
ce eth0:1 aura comme IP 172.16.0.1/24 qui a de grande chance d'etre dispo (c'est une classe privée, souvent utilisée pour des interconnexions VPNs)
ton admin a du utiliser 192.168.X.Y ou 10.X.Y.Z comme reseau interne.
- [^] # Re: dans /etc/network/interfaces
  
  Posté par freem le 25 juillet 2014 à 15:46. Évalué à 1.
  
  ton admin a du utiliser
  
  Ce n'est pas lui qui à monté le réseau, mais lui qui en a la charge maintenant… (comprendre: quand je suis arrivé, il n'était pas là et personne se plaignait du réseau. Il est arrivé 2 mois plus tard, et maintenant les gens dans le domaine n'osent même plus éteindre leurs machines le soir de peur de pas pouvoir se reconnecter… XD)
  
  Enfin, peu importe.
  La plage d'IPs utilisée par le LAN de nos machines c'est 172.20.14.0/24, je ne sais pas par contre s'il existe d'autres LANs pour les serveurs de certains clients. Mais je devrais pouvoir le vérifier ceci dit.
# L'option fixed-address

Posté par glennie (site web personnel) le 25 juillet 2014 à 08:17. Évalué à 10.

Bonjour,
Il est possible de définir une ip en fallback en utilisant fixed-address dans le fichier dhclient.conf.
Voir http://superuser.com/questions/389488/default-to-static-ip-when-no-dhcp-is-found.
A+
- [^] # Re: L'option fixed-address
  
  Posté par freem le 25 juillet 2014 à 15:48. Évalué à 1.
  
  Merci! Ça à l'air d'être exactement ce que je recherche!
  - [^] # Re: L'option fixed-address
    
    Posté par freem le 28 juillet 2014 à 17:31. Évalué à 1.
    
    J'ai utilisé cette solution sur ma machine de travail, et ça semble fonctionner. Du moins, en présence de DHCP, ça marche correctement.
    Maintenant… j'hésite à l'appliquer sur un serveur de production, parce que je ne connaît aucun moyen de tester réellement (c'est à dire, de pouvoir faire comme si le DHCP était down). Aurais-tu une solution pour ça (débrancher le câble ne fonctionne pas, j'imagine qu'il doit y avoir une détection quelque part)?
    - [^] # Re: L'option fixed-address
      
      Posté par freem le 28 juillet 2014 à 17:39. Évalué à 1.
      Umpf… timeout de…
      
      Aussi, il semble que la commande utilisée par la personne pour demander un nouveau bail (/etc/init.d/networking stop;sleep 5;/etc/init.d/networking start;) ne fonctionne pas:
      sur ma machine, j'ai un avertissement qu'il est impossible de déconfigurer le réseau parce que le système de fichier réseau est encore monté. Comment on peut démonter ça (je n'étais même pas au courant qu'il y avait un système de fichier réseau… enfin, c'est pas plus mal d'apprendre des choses comme ça)?
      Parce que du coup, quand il essaie de démarrer, ben pareil, problème.
      
      En utilisant restart, et non stop/sleep/start, j'ai des résultats, mais je ne sais pas s'ils sont normaux?
      
      /etc/init.d# ./networking restart [warn] Running ./networking restart is deprecated because it may not re-enable some interfaces ... (warning). [....] Reconfiguring network interfaces...Internet Systems Consortium DHCP Client 4.3.0 Copyright 2004-2014 Internet Systems Consortium. All rights reserved. For info, please visit https://www.isc.org/software/dhcp/ Listening on LPF/eth0/78:e3:b5:89:df:ea Sending on LPF/eth0/78:e3:b5:89:df:ea Sending on Socket/fallback DHCPRELEASE on eth0 to 172.20.14.254 port 67 send_packet: Network is unreachable send_packet: please consult README file regarding broadcast address. dhclient.c:2286: Failed to send 300 byte long packet over fallback interface. Removed VLAN -:eth0.1:- Cannot find device "eth0.1" Set name-type for VLAN subsystem. Should be visible in /proc/net/vlan/config Internet Systems Consortium DHCP Client 4.3.0 Copyright 2004-2014 Internet Systems Consortium. All rights reserved. For info, please visit https://www.isc.org/software/dhcp/ Listening on LPF/eth0/78:e3:b5:89:df:ea Sending on LPF/eth0/78:e3:b5:89:df:ea Sending on Socket/fallback DHCPDISCOVER on eth0 to 255.255.255.255 port 67 interval 4 DHCPDISCOVER on eth0 to 255.255.255.255 port 67 interval 8 DHCPREQUEST on eth0 to 255.255.255.255 port 67 DHCPOFFER from 172.20.14.254 DHCPACK from 172.20.14.254 bound to 172.20.14.170 -- renewal in 283316 seconds. done.
      
      Network unreachable? De quel réseau il parle?
      - [^] # Re: L'option fixed-address
        
        Posté par nono14 (site web personnel) le 29 juillet 2014 à 13:59. Évalué à 2.
        
        ebtables pour filtrer les paquets vers le serveur dhcp ?
        
        configuration vlan d'après les logs ?
        
        Système - Réseau - Sécurité Open Source
        
        [^] # Re: L'option fixed-address
        
        Posté par freem le 29 juillet 2014 à 14:30. Évalué à 1.
        
        ebtables pour filtrer les paquets vers le serveur dhcp ?
        
        Je ne connais pas cet outil (pas surprenant en même temps), mais un rapide coup d'œil à aptitude semble indiquer qu'il s'agit d'une sorte d'iptables qui joue avec les @MAC. Je ne vois pas le rapport avec DHCP, puisque pour acquérir une @IP via dhcp, c'est un broadcast si je ne me trompe pas?
        
        configuration vlan d'après les logs ?
        
        Oui, j'utilise vlan pour pouvoir accéder à des VMs. Avec quelques redirections de ports, ces VMs sont accessibles du véritable LAN (172.20.14.*) et ne pourrissent donc pas la plage d'IP de travail. Ça me semblait la meilleure solution considérant que ces VMs sont en fait des VMs de dev, et qu'au fut et à mesure il y en aura de plus en plus: je ne vais pas demander à chaque fois une nouvelle IP… (bon, je pourrais demander une plage, je te l'accorde, mais je préfère garder un maximum d'isolation) du coup ce serveur à la fois héberge les VMs et se comporte comme un routeur.
        C'est la meilleure solution que j'ai trouvée, mais bon, je ne doute pas une seule seconde qu'il y ait mieux.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.