CentOS libvirt - Проблема с virbr0 - не работает сеть, нет forward

centos, network, troubleshooting, виртуализация

0

2

Не могу понять в чем же проблема.

Итак имеется свежеустановленная центос 7, установлены пакеты виртуализации.

Адрес машины 192.168.1.100 Шлюз 192.168.1.1

Создан по умолчанию virbr0, режим nat.

Создаю новую машину, получаю по dhcp адрес. Могу пинговать 192.168.1.100, а шлюз не могу пинговать.

Смотрел на правила фаервола, там запрета нет.

Пока решил проблему создав мост на сетевой карте. И все виртуальные машины получают адреса 192.168.1.

Как разобраться с этой проблемой???

Ссылка

←	Состояние процессов

Объединение 2х роутеров

→

cat /proc/sys/net/ipv4/ip_forward что говорит?

anc ★★★★★
(19.07.20 18:08:29 MSK)

Ответ на: комментарий от anc 19.07.20 18:08:29 MSK

это в первую очередь проверил.

Nurmukh ★★★
(20.07.20 09:59:21 MSK) автор топика

Ответ на: комментарий от Nurmukh 20.07.20 09:59:21 MSK

Тогда все-таки смотреть правила fw + расчехлять tcpdump

anc ★★★★★
(20.07.20 21:04:31 MSK)

Ответ на: комментарий от anc 20.07.20 21:04:31 MSK

Это уже во вторую очередь. Отключил фаервол и начал смотреть tcpdump - пусто

Nurmukh ★★★
(21.07.20 13:10:47 MSK) автор топика

У тебя виртуальная NAT-сеть 192.168.1.0/24, что ли?

anonymous
(21.07.20 13:13:23 MSK)

Ссылка

Ответ на: комментарий от Nurmukh 21.07.20 13:10:47 MSK

Отключил фаервол

Как именно отключили? NAT точно настроен?

получаю по dhcp адрес.

Какие сетевые настройки у новой машины?

и начал смотреть tcpdump - пусто

Где именно? На хосте или на виртуальной машине? И на каких интерфейсах?

Serge10 ★★★★★
(21.07.20 16:00:13 MSK)

Ответ на: комментарий от Serge10 21.07.20 16:00:13 MSK

Состояние фаервола на filter & nat.

Настройки sudo firewall-cmd –list-all-zones.

Настройки virsh net-dump.

TCPDUMP показывает, что пакет возник на виртуальной машине с источником = адрес виртуальной машины, назначение = роутер. и больше этот пакет никуда не появляется

Nurmukh ★★★
(22.07.20 08:02:27 MSK) автор топика
Последнее исправление: Nurmukh 22.07.20 08:07:39 MSK (всего исправлений: 2)

Ответ на: комментарий от Nurmukh 22.07.20 08:02:27 MSK

И какой адрес у роутера?

anonymous
(22.07.20 08:13:29 MSK)

Ответ на: комментарий от anonymous 22.07.20 08:13:29 MSK

192.168.1.1

Nurmukh ★★★
(22.07.20 09:16:36 MSK) автор топика

Создан по умолчанию virbr0

bridge name=‘virbr1’

Ммм?

~~aalst~~
(22.07.20 10:15:43 MSK)

Ответ на: комментарий от Nurmukh 22.07.20 09:16:36 MSK

Они в разных сетях, и маршрута до этого шлюза наверняка нет (и не надо). Виртуалка точно все параметры получает по DHCP? Шлюз не прописан руками?

anonymous
(22.07.20 10:25:01 MSK)

Ссылка

Ответ на: комментарий от aalst 22.07.20 10:15:43 MSK

Сори я его грохнул

Nurmukh ★★★
(22.07.20 12:39:06 MSK) автор топика

Ссылка

~~@Zbert~~, болезный, ты совсем головой заскорбел? Тут был ответ про iptables, нахера его удалять было? Если всё так плохо с головой - сперва в ней порядок наводить надо, а потом уже за форумы браться.

anonymous
(22.07.20 14:37:43 MSK)

Ответ на: комментарий от anonymous 22.07.20 14:37:43 MSK

s/Zbert/@Zhbert/

anonymous
(22.07.20 14:38:16 MSK)

Ссылка

Ответ на: комментарий от Nurmukh 22.07.20 08:02:27 MSK

Для тестов вам достаточно.
1. Очистить все правила fw (не забыть про полиси в ACCEPT)
2. Добавить одно правило iptables -t nat -A POSTROUTING -j MASQUERADE

Далее.
Покажите
ip a
ip r s
как с хоста так и с виртуалки.

anc ★★★★★
(23.07.20 00:02:25 MSK)

Ответ на: комментарий от anc 23.07.20 00:02:25 MSK

ОК. сейчас по новой создам как было и напишу результат

Nurmukh ★★★
(23.07.20 08:41:22 MSK) автор топика

Ссылка

Ответ на: комментарий от anc 23.07.20 00:02:25 MSK

Потушил фаервол.

Создал новый интерфейс в libvirt.

Создал новую машину.

Создал новые правила filter, nat

Пинговал с виртуальной машины

Nurmukh ★★★
(23.07.20 13:59:24 MSK) автор топика

Ответ на: комментарий от Nurmukh 23.07.20 13:59:24 MSK

И все-таки
Покажите
ip a
ip r s
как с хоста так и с виртуалки.

anc ★★★★★
(23.07.20 18:33:17 MSK)

Ответ на: комментарий от anc 23.07.20 18:33:17 MSK

Гипервизор - ip a ls, ip r ls.

Виртуальная машина - ip a ls, ip r ls

Nurmukh ★★★
(23.07.20 19:41:05 MSK) автор топика

Ответ на: комментарий от Nurmukh 23.07.20 19:41:05 MSK

Хм. Вроде всё верно. А tcpdump с виртуалки и хоста одновременно, причем у хоста для начала c -i any

anc ★★★★★
(23.07.20 20:02:05 MSK)

Ответ на: комментарий от anc 23.07.20 20:02:05 MSK

я вот тоже вижу что все нормально. Может нужно какой либо модуль подгрузить или еще что сделать?

Nurmukh ★★★
(24.07.20 08:56:36 MSK) автор топика

Ответ на: комментарий от Nurmukh 24.07.20 08:56:36 MSK

Так а tcpdump что говорит?

anc ★★★★★
(25.07.20 12:23:17 MSK)

Ответ на: комментарий от anc 25.07.20 12:23:17 MSK

Кажется я понял в чем дело.

Вообщем я на этой машине еще и докер поднял - это тестовая машина - там возможно все и столкнулся с такой же проблемой.

Прочитал, что к snat-правилу нужно еще добавить правило разрешающее в INPUT цепочку. сделал и в докере все заработало.

теперь думаю надо еще раз подумать и понять как INPUT цепочка влияет на SNAT поавила.

Nurmukh ★★★
(27.07.20 06:08:31 MSK) автор топика

Ответ на: комментарий от Nurmukh 27.07.20 06:08:31 MSK

ЯННП Какое разрешающее правило если у вас и так всё разрешено?

anc ★★★★★
(27.07.20 09:14:36 MSK)

Ответ на: комментарий от anc 27.07.20 09:14:36 MSK

Вот нашел интересное. Оказывается, firewalld и libvirtd не общаются между собой при создание нового моста в libvirtd, firewalld не знает, что создан новый интерфейс и в какую именно зону ее отправить.

Nurmukh ★★★
(09.08.20 13:20:36 MSK) автор топика

Ответ на: комментарий от Nurmukh 09.08.20 13:20:36 MSK

ЯННП второй раз. :) Это уже как таковой постфактум, но изначально же проводились тесты с полным ACCEPT. Или последний уже не соответствовал CentOS libvirt - Проблема с virbr0 - не работает сеть, нет forward (комментарий) ?

anc ★★★★★
(09.08.20 19:14:10 MSK)