OVH Community, your new community space.

disparition de paquets ESP


red0queen
08/03/2014, 14h32
Même pas un petit bout de piste ?

red0queen
07/03/2014, 08h47
Bonjour,

Mercredi, je mettais en place des tunnels ipsec entre des pfsense virtualisés entre un kimsufi et ma connexion ADSL. Tout fonctionnait bien, jusqu'a quelques heures après ou les pings entre les sites distants se mirent à ne plus donner de réponses (alors que les tunnels se montent toujours correctement). Après avoir suivi tout le cheminement des paquets, il s'avère qu'ils sont bien émis en sortie des pfSense (celui de l'ADSL est relié à internet directement en PPPOE) mais du côté kimsufi les choses se gâtent. Mais avant tout un petit schéma du bazar sur mon kimsufi

internet <=> eth0 <=>vmbr0<=>tap100i0[pfsense]tap100i1<=>lan
J'ai quelques règles netfilter agissant au niveau de l'eth0 pour transférer (nat) les données arrivant d'internet à pfsense via le vmbr0 (qui ne comporte que l'addresse du bridge et le WAN de pfsense) et masquer le traffic en sortie du bridge à direction d'internet. Ces règles étaient en place et fonctionnent bien sur un autre serveur (de plus elle ne sont plus configurés pour dropper quoi que ce soit).

Armé de tcpdump, je lance une capture sur vmbr0 qui m'indique que des paquets ESP arrivent de mon ADSL à mon attention. Mais quand je regarde sur vmbr0, plus rien ! Idem dans l'autre sens, des paquets ESP sortent bien de tap100iO, arrivent sur vmbr0 mais ne sortent jamais d'eth0.

L'une des dernière modif sur l'hyperviseur a été de désactiver ipv6 (echo "options ipv6 disable=1" > /etc/modprobe.d/disable-ipv6.conf), mais j'ai bien sûr commenté cela pour revenir en arrière. L'ipv4 forward est bien activé.

Vraiment, je ne sais plus quoi faire, donc je suis preneur pour n'importe quel piste !
Merci

edit : Pour info, mes autres tunnels IPsec depuis l'ADSL fonctionnent correctement, notamment à destination d'un autre serveur. Ce dernier ayant aussi perdu la connexion avec le kimsufi.