[technique] Problèmes de déconnexion machine Myrys

Laurent GUERBY laurent at guerby.net
Jeu 19 Juil 23:11:43 CEST 2012


On Thu, 2012-07-19 at 10:47 +0200, Laurent GUERBY wrote:
> On Wed, 2012-07-18 at 22:06 +0200, Solarus wrote:
> > Le 18/07/2012 09:14, Laurent GUERBY a écrit :
> > >
> > > La VM tetalab auquelle j'ai acces a bien un jenkins qui tourne, peut-etre c'est
> > > le cas sur les autres machines avec le probleme ? Peut-etre plusieurs
> > > Jenkins sur le meme LAN necessite quelques reglages ?
> > >
> > > Merci a tous,
> > >
> > > Laurent
> > >
> > >
> > 
> > Merci Laurent. Nous avons fait le nécessaire en bloquant le port 33898 
> > UDP sur iptables au niveau du port physique (VM Manager + VM) . On est 
> > en train de voir pour stopper le service Jenkins sur les différents OS 
> > si les problèmes continuent.
> > 
> > Je vous tiens au courant.
> 
> Salut,
> 
> D'apres les logs nagios le seul service qui avait des coupures
> avant et qui n'en a plus maintenant est une VM ou l'adhérent
> a simplement enlevé le service qui faisait de l'IGMP (avahi),
> apres avoir supprimé avahi un ping depuis h3 a tourné en continu
> toute la nuit sans perte :
> 
> 22943 packets transmitted, 22943 received, 0% packet loss, time
> 22976422ms
> 
> J'ai une piste maintenant pour les coupures, je vous tiens au courant
> mais en attendant stopper les services en question devrait
> retablir la connectivité sans coupure.

Bonsoir,

Avec une regle :

insmod ip_tables
insmod iptable_mangle
insmod xt_mac   
insmod ipt_LOG  
sysctl -w net.bridge.bridge-nf-call-iptables=1
iptables -t mangle -A PREROUTING -m mac --mac-source aa:00:00:a1:5e:f8 -j LOG --log-prefix TETAX3 

sur une nanostation du reseau j'ai observé

[364548.878000] TETAX3 IN=br0 OUT= PHYSIN=eth0
MAC=01:00:5e:4d:7c:d5:aa:00:00:a1:5e:f8:08:00:46:c0:00:20:00:00:40:00:01:02:86:4a:5b:e0:95:ca:ef:4d:7c:d5:94:04:00:00:16:00:7d:dc:ef:4d:7c:d5:00:00:40:00:01:02:86:4a:5b:e0:95:ca:ef:4d:a1:fd:63:0e SRC=91.224.149.202 DST=239.77.124.213 LEN=32 TOS=0x00 PREC=0xC0 TTL=1 ID=0 DF PROTO=2 

Donc un paquet multicast sur le cable ethernet (eth0, chez l'adhérent)
de source la MAC de la VM tetalab, je pense que c'est ce paquet qui fait
que le switch s3 en MAC learning se met a penser que la VM est sur le
reseau radio. Apres recherche l'equipement qui semble etre a la
source de ces paquets est une paire de CPL, en remplacant par
un cable les soucis disparaissent.

On a remis les CPL et j'ai mis un filtre MAC pour couper ces paquets sur
le nanobridge de Myrys (qui est apres s3) :

sysctl -w net.bridge.bridge-nf-call-iptables=0
ebtables -t nat -A PREROUTING -i ath0 -s aa:00:00:a1:5e:f8 -j DROP

et les NS du LAN du CPL :
ebtables -t nat -A PREROUTING -i eth0 -s aa:00:00:a1:5e:f8 -j DROP

Si vous avez des coupures reseaux donnez moi l'IP/MAC et 
je rajouterai des regles, elles sont en place pour proxmox et tetalab.

Merci a Matthieu et Fabien pour leur aide,

Sincèrement,

Laurent





Plus d'informations sur la liste de diffusion technique