Fedora-Fr - Communauté francophone Fedora - Linux

Communauté francophone des utilisateurs de la distribution Linux Fedora.

  

Dernière news : Venez tester la Fedora 33 Beta

#1 25/03/2015 00:13:10

titiFedoraNasIpcop
Membre
Lieu : Orléans
Inscription : 24/03/2015
Messages : 10

Fedora VM NAS IPCOP - Retour d'expérience ?

Bonjour,

Je suis en train de construire mon serveur pour la maison. Dans cette maison, tout est centralisé au niveau du tableau de communication, situé dans une pièce isolée.
Je travail sur RedHat une partie de mon temps de travail, principalement pour exécuter des jobs et écrire des scripts. Par contre, mes connaissances en réseau ne sont pas top.
J'ai vu que Fedora était un cousin proche de RedHat. Du coup, je me dis qu'en choisissant Fedora, je ne serai quand même pas trop perdu (je suis en train de le télécharger).

Ces derniers temps, j'ai un peu bidouillé sur des VM, le paramétrage de routeurs et de switches, différents serveurs NAS (FreeNas+Plex, ubuntu server+Plex, Xpenology), et en parallèle j'ai testé Ipcop et Pfsense. Tout ça s'est bien déroulé de façon indépendante.
idea Je me suis dit "Pourquoi ne pas mettre ipcop et le nas sur la même machine en utilisant une seule machine physique ?" idea
C'est surtout pour minimiser l'utilisation hardware, limiter l'encombrement, la consommation et avoir un seul accès ssh pour la configuration.

Maintenant se pose la question de la faisabilité sous Fedora.
Mon "projet", c'est de créer, sur un serveur Fedora, un nas avec Amahi (+ samba il reste au moins ça quand le reste ne marche plus) + une VM qui contiendrait ipcop. Et faire qu'IPCOP surveille le réseau.

Niveau hardware, il y aurait 3 cartes réseaux sur la machine physique. Le schéma serait celui ci :

Internet => Freebox => switch <=> serveur Fedora (je passe sur le détail des VLAN)
                                     ||
                                     V
                                  Clients

Au niveau du serveur :
- 1 carte Ethernet qui reçoit le WAN de la freebox (ports 1 et 2 du switch) , associée à la carte WAN d'IPCOP installé dans la VM
- 1 carte Ethernet qui renvoie le LAN sur le port 3 du switch, associée à la carte LAN d'IPCOP installé dans la VM
- 1 carte Ethernet associée à Fedora/Amahi sur le port 4 du switch

Avez-vous déjà monté quelque chose de ce genre avec Fedora ? Y a-t-il quelque chose qui vous semble infaisable hammer ?
Au passage, y a-t-il une préférence pour l'add-on qui permette de gérer les VM pour Fedora ?

Merci big_smile.


Intel Xeon E3-1230 V2 QuadCore 3.3GHz - SuperMicro X9SCI-LN4F-0 - Kingston KVR1333D3E9S 8Go ECC - 2  WD 1To Green - LAN 4x GbE
Netgear JGS516PE
Intel i5 4670k - MSI Z87-G45 GAMING - NVIDIA GeForce GTX 660 - KINGSTON SH103S3120G - KINGSTON SV300S37A60G

Hors ligne

#2 25/03/2015 00:36:13

VINDICATORs
RédactWikix and the graphicatorix!
Modérateur
Lieu : Toulouse(31) France
Inscription : 23/11/2004
Messages : 18 043
Site Web

Re : Fedora VM NAS IPCOP - Retour d'expérience ?

Fedora n'est pas le cousin, mais la distrib laboratoire sur lequel ce base redhat/centos.

Et oui ça tourne très bien. Mais je préfère centos si c'est en prod perso.


AMD R7 2700X, MSI Pro Carbon X470, 32Go DDR4 3200@3333Mhz Gskill TridentZ CL14, RX 5700XT MSI Watercooling OC
SSD: 1x 970 EVO NVME 500Go + 1x500Go BX500 + 1x500Go 860 EVO, 3x1To 860 Evo, HDD 1x2To WD black, 1x4to WD Black, 1x3To WD Red, GMT BeQuiet Dark 900+Lepa 800W 80+gold
AMD R5 2600, Asus A320, 16Go DDR4 2400Mhz Gskill AEGIS, 1x250GO SSD EVO, 3x 2To RAID 5 WD Blue, Gigabyte 400W+Cube Chieftec/ AMD R3 2200g + 32Go DDR4 2933+1xSSD Evo 500Go , 3x1To QVO RAID5

Hors ligne

#3 25/03/2015 00:48:27

philippe_PMA
Membre
Inscription : 06/03/2006
Messages : 2 004

Re : Fedora VM NAS IPCOP - Retour d'expérience ?

titiFedoraNasIpcop a écrit :

...
idea Je me suis dit "Pourquoi ne pas mettre ipcop et le nas sur la même machine en utilisant une seule machine physique ?" idea
...

Les intégristes en sécurité d'Ixus te diraient qu'un firewall ne doit faire que firewall et de ne pas héberger d'autres composants (fonctions) sur une machine qui fait firwall et encore moins être dans une VM.
Pourquoi pas dans une VM ? Car si une autre de tes VM est "intrusée" (ou ton host) c'est prendre un risque pour tes autres VM.
Pourquoi pas d'autres composants (fonctions) ? Car si un autre de tes composants (fonction) est "intrusée" c'est prendre un risque pour tes autres composants (fonctions).

Ils sont assez rigoristes mais ils savent de quoi ils parlent.

Maintenant, tu es chez toi, tu fais ce que tu veux wink

Dernière modification par philippe_PMA (25/03/2015 00:49:25)


Gigabyte Z77-D3H+core i5 3550+8Go DDR3-12800 (1333MHz) / ASUS P5B+Quad core Q9550+CG ASUS X1950 PRO+8Go DDR2-5300 (667MHz).
Boitier Antec remote fusion black+ASUS P5Q-EM+core 2 duo 6600+Intel GMA X4500HD+2Go DDR2-5300 (667MHz).
ASUS EeePC 1005PE, CPU atom N450, 2Go SoDIMM DDR2-5300 (667MHz).

Hors ligne

#4 25/03/2015 01:29:12

titiFedoraNasIpcop
Membre
Lieu : Orléans
Inscription : 24/03/2015
Messages : 10

Re : Fedora VM NAS IPCOP - Retour d'expérience ?

VINDICATORs a écrit :

Et oui ça tourne très bien.

Tu parles de Fedora en général ou de mon cas particulier ?

philippe_PMA a écrit :

Ixus

Merci pour le lien. Une seule VM.


Sinon, un peu plus d'éléments sur la configuration, niveau pratique ?


Intel Xeon E3-1230 V2 QuadCore 3.3GHz - SuperMicro X9SCI-LN4F-0 - Kingston KVR1333D3E9S 8Go ECC - 2  WD 1To Green - LAN 4x GbE
Netgear JGS516PE
Intel i5 4670k - MSI Z87-G45 GAMING - NVIDIA GeForce GTX 660 - KINGSTON SH103S3120G - KINGSTON SV300S37A60G

Hors ligne

#5 25/03/2015 15:00:53

philippe_PMA
Membre
Inscription : 06/03/2006
Messages : 2 004

Re : Fedora VM NAS IPCOP - Retour d'expérience ?

Je dirais tu as deux choix :
- Ton firewall sur ton host et le reste dans tes VM, et surtout rien d'autre sur ton host.
- Tout dans des VM avec le firewall dans une VM séparée du reste.


Gigabyte Z77-D3H+core i5 3550+8Go DDR3-12800 (1333MHz) / ASUS P5B+Quad core Q9550+CG ASUS X1950 PRO+8Go DDR2-5300 (667MHz).
Boitier Antec remote fusion black+ASUS P5Q-EM+core 2 duo 6600+Intel GMA X4500HD+2Go DDR2-5300 (667MHz).
ASUS EeePC 1005PE, CPU atom N450, 2Go SoDIMM DDR2-5300 (667MHz).

Hors ligne

#6 25/03/2015 15:20:39

VINDICATORs
RédactWikix and the graphicatorix!
Modérateur
Lieu : Toulouse(31) France
Inscription : 23/11/2004
Messages : 18 043
Site Web

Re : Fedora VM NAS IPCOP - Retour d'expérience ?

Fedora tourne bien, mais bon pour de la prod en serveur c'est pas l'idéal car le support est court (19/24 mois). Sans compter que ça reste un laboratoire et que tout les paquets ne sont pas hyper fiabilisés.

Pour le Pare feu je rappel aussi que vous en avez sur vos modem-routeur( vos machins box si vous préférez), du coup cela fait double emploi voir plus d'en mettre à d'autres endroits, même si c'est préférable pour avoir un contrôle plus interne.


AMD R7 2700X, MSI Pro Carbon X470, 32Go DDR4 3200@3333Mhz Gskill TridentZ CL14, RX 5700XT MSI Watercooling OC
SSD: 1x 970 EVO NVME 500Go + 1x500Go BX500 + 1x500Go 860 EVO, 3x1To 860 Evo, HDD 1x2To WD black, 1x4to WD Black, 1x3To WD Red, GMT BeQuiet Dark 900+Lepa 800W 80+gold
AMD R5 2600, Asus A320, 16Go DDR4 2400Mhz Gskill AEGIS, 1x250GO SSD EVO, 3x 2To RAID 5 WD Blue, Gigabyte 400W+Cube Chieftec/ AMD R3 2200g + 32Go DDR4 2933+1xSSD Evo 500Go , 3x1To QVO RAID5

Hors ligne

#7 25/03/2015 16:25:58

philippe_PMA
Membre
Inscription : 06/03/2006
Messages : 2 004

Re : Fedora VM NAS IPCOP - Retour d'expérience ?

VINDICATORs a écrit :

...

Pour le Pare feu je rappel aussi que vous en avez sur vos modem-routeur( vos machins box si vous préférez), du coup cela fait double emploi voir plus d'en mettre à d'autres endroits, même si c'est préférable pour avoir un contrôle plus interne.

Si l'on veut aussi maitriser ses flux sortants le pare-feu de la box ne fera pas grand chose, en tout cas pour celles que je connais.


Gigabyte Z77-D3H+core i5 3550+8Go DDR3-12800 (1333MHz) / ASUS P5B+Quad core Q9550+CG ASUS X1950 PRO+8Go DDR2-5300 (667MHz).
Boitier Antec remote fusion black+ASUS P5Q-EM+core 2 duo 6600+Intel GMA X4500HD+2Go DDR2-5300 (667MHz).
ASUS EeePC 1005PE, CPU atom N450, 2Go SoDIMM DDR2-5300 (667MHz).

Hors ligne

#8 25/03/2015 18:40:49

VINDICATORs
RédactWikix and the graphicatorix!
Modérateur
Lieu : Toulouse(31) France
Inscription : 23/11/2004
Messages : 18 043
Site Web

Re : Fedora VM NAS IPCOP - Retour d'expérience ?

Clair que ça vaut pas grand chose... Pour avoir tâter du vrai matos pro et des solutions, mise en situation, en prod c'est clair que c'est quand même de la rigolade. Mais bon ça suffit quand même.

Pour l'histoire des VM, il faut surtout que l'hôte soit infecté, après c'est sur que si tout communique sans un minimum de sécurité, cela peut être compromis.  Mais bon si c'est bien fait ça ne fera pas de différence avec tout séparé.

Bon c'est clair que ce genre de shéma suivant est sans doute préférable :

                                                          Serveur
                                                               ^
Wan -->freebox-->PCproxy/PareFeu->switch->Client

Mais bon, faut déjà une machine de plus, mais tu peux l'adapter avec des machines virtuels avec deux cartes réseaux physique

WAN-->freebox->MachinesVirtuels-->switch-->Clients
Tu cache et rend impossible toutes les connexions à l'hôte et ça tourne impec c'est très sécurisé invisible.

On peut aussi partir sur des conteneurs sous docker.

Tu peux regarder du coté d'openvswitch pour faire un switch virtuel pour tes serveurs virtuels avec la config des Vlan et tout.

Dernière modification par VINDICATORs (25/03/2015 18:43:45)


AMD R7 2700X, MSI Pro Carbon X470, 32Go DDR4 3200@3333Mhz Gskill TridentZ CL14, RX 5700XT MSI Watercooling OC
SSD: 1x 970 EVO NVME 500Go + 1x500Go BX500 + 1x500Go 860 EVO, 3x1To 860 Evo, HDD 1x2To WD black, 1x4to WD Black, 1x3To WD Red, GMT BeQuiet Dark 900+Lepa 800W 80+gold
AMD R5 2600, Asus A320, 16Go DDR4 2400Mhz Gskill AEGIS, 1x250GO SSD EVO, 3x 2To RAID 5 WD Blue, Gigabyte 400W+Cube Chieftec/ AMD R3 2200g + 32Go DDR4 2933+1xSSD Evo 500Go , 3x1To QVO RAID5

Hors ligne

#9 25/03/2015 19:11:07

philippe_PMA
Membre
Inscription : 06/03/2006
Messages : 2 004

Re : Fedora VM NAS IPCOP - Retour d'expérience ?

VINDICATORs a écrit :

...
Mais bon, faut déjà une machine de plus, mais tu peux l'adapter avec des machines virtuels avec deux cartes réseaux physique

WAN-->freebox->MachinesVirtuels-->switch-->Clients
Tu cache et rend impossible toutes les connexions à l'hôte et ça tourne impec c'est très sécurisé invisible.
...

A une époque le sujet m'avait intéressé (et m’intéresse toujours mais bon que 24h dans une journée et en plus faut dormir ...).
Ce que j'avais en tête c'était de faire du PCI Passthrough avec une carte réseau qui voit le réseau externe dans la VM firewall ...
Du coup, il n'y a que la VM firewall qui voit la carte réseau sur le réseau externe.

Depuis, une chercheuse en sécu (il me semble) a poussé le concept d'isolation assez loin, elle en est arrivé à faire un OS basé sur des VM cloisonnées : Qubes, le tout avec du xen et du Fedora.

Sinon, je pense qu'il doit aussi être possible de faire un pont transparent en gardant la carte réseau qui voit le réseau externe gérée par l'hôte.

En tout cas : l'hôte ne doit pas être accessible en direct de l'extérieur sinon ça casse la sécu.


Si je reprends le schéma de VINDICATORS :

WAN->FreeBox->Carte Réseau externe->VM Firewall->Carte Réseau interne->Autres VM

Après ta carte réseau interne ça peut être une interface virtuelle.

http://blog.derouineau.fr/2011/09/prese … -securise/


Gigabyte Z77-D3H+core i5 3550+8Go DDR3-12800 (1333MHz) / ASUS P5B+Quad core Q9550+CG ASUS X1950 PRO+8Go DDR2-5300 (667MHz).
Boitier Antec remote fusion black+ASUS P5Q-EM+core 2 duo 6600+Intel GMA X4500HD+2Go DDR2-5300 (667MHz).
ASUS EeePC 1005PE, CPU atom N450, 2Go SoDIMM DDR2-5300 (667MHz).

Hors ligne

#10 25/03/2015 19:27:56

VINDICATORs
RédactWikix and the graphicatorix!
Modérateur
Lieu : Toulouse(31) France
Inscription : 23/11/2004
Messages : 18 043
Site Web

Re : Fedora VM NAS IPCOP - Retour d'expérience ?

Comme je l'ai dit, on peut pousser avec openvswitch pour faire un commutateur (switch) virtuel et des vlan pour encore mieux isoler le tout. Je parle de deux cartes réseaux physique et les vm géré en interne (d'où le switch virtuel).

Mais bon faut quand même 2 cartes réseaux physique, une pour aller sur la freebox et une sur le switch pour les clients.

Il y a aussi la possibilité de mettre tout sur le switch et de faire transiter les données par le serveur pour repartir sur le net. On retombe sur le schéma du sujet. Mais bon c'est plus chiant à mettre en place je trouve. Dans ce cas de figure il faudra faire du routage inter VLAN. À la limite c'est une possibilité, c'est aussi sécurisé mais faudra une VM pour faire le routage, avec vyos par exemple, à la limite.

Au passage tout cela est faisable en deux deux avec virtmanager... Même le pci passthrough du moment que ton cpu/cm le supporte.

Dernière modification par VINDICATORs (25/03/2015 19:32:20)


AMD R7 2700X, MSI Pro Carbon X470, 32Go DDR4 3200@3333Mhz Gskill TridentZ CL14, RX 5700XT MSI Watercooling OC
SSD: 1x 970 EVO NVME 500Go + 1x500Go BX500 + 1x500Go 860 EVO, 3x1To 860 Evo, HDD 1x2To WD black, 1x4to WD Black, 1x3To WD Red, GMT BeQuiet Dark 900+Lepa 800W 80+gold
AMD R5 2600, Asus A320, 16Go DDR4 2400Mhz Gskill AEGIS, 1x250GO SSD EVO, 3x 2To RAID 5 WD Blue, Gigabyte 400W+Cube Chieftec/ AMD R3 2200g + 32Go DDR4 2933+1xSSD Evo 500Go , 3x1To QVO RAID5

Hors ligne

#11 25/03/2015 21:55:49

titiFedoraNasIpcop
Membre
Lieu : Orléans
Inscription : 24/03/2015
Messages : 10

Re : Fedora VM NAS IPCOP - Retour d'expérience ?

Bonsoir, et merci à tous pour ces excellentes suggestions. Mes connaissances réseaux et vm étaient trop limitées pour les deviner. Je retiens quand même que mon schéma initial fonctionne avec une variante. Intellectuellement il est pour moi pour l'instant plus abordable.
Je crois cependant qu'avec l'aide d'un ami je pourrais m'orienter vers la solution du switch virtuel.

Je ne réponds pas à d'autres sujets évoqués dans la discussion, bien qu'intéressants.

Dernière modification par titiFedoraNasIpcop (25/03/2015 22:12:10)


Intel Xeon E3-1230 V2 QuadCore 3.3GHz - SuperMicro X9SCI-LN4F-0 - Kingston KVR1333D3E9S 8Go ECC - 2  WD 1To Green - LAN 4x GbE
Netgear JGS516PE
Intel i5 4670k - MSI Z87-G45 GAMING - NVIDIA GeForce GTX 660 - KINGSTON SH103S3120G - KINGSTON SV300S37A60G

Hors ligne

#12 25/03/2015 23:22:26

VINDICATORs
RédactWikix and the graphicatorix!
Modérateur
Lieu : Toulouse(31) France
Inscription : 23/11/2004
Messages : 18 043
Site Web

Re : Fedora VM NAS IPCOP - Retour d'expérience ?

Tu peyx faire un switch virtuel avec virmanager plus simplement soit dit en passant. Mais je sais pas si tu gère les vlan. Faudrait que je regarde.

Mais rien qu'avec virtmanager tu te monte tout ça rapidement avec un peu de pratique.

Dernière modification par VINDICATORs (25/03/2015 23:23:40)


AMD R7 2700X, MSI Pro Carbon X470, 32Go DDR4 3200@3333Mhz Gskill TridentZ CL14, RX 5700XT MSI Watercooling OC
SSD: 1x 970 EVO NVME 500Go + 1x500Go BX500 + 1x500Go 860 EVO, 3x1To 860 Evo, HDD 1x2To WD black, 1x4to WD Black, 1x3To WD Red, GMT BeQuiet Dark 900+Lepa 800W 80+gold
AMD R5 2600, Asus A320, 16Go DDR4 2400Mhz Gskill AEGIS, 1x250GO SSD EVO, 3x 2To RAID 5 WD Blue, Gigabyte 400W+Cube Chieftec/ AMD R3 2200g + 32Go DDR4 2933+1xSSD Evo 500Go , 3x1To QVO RAID5

Hors ligne

#13 25/03/2015 23:26:14

titiFedoraNasIpcop
Membre
Lieu : Orléans
Inscription : 24/03/2015
Messages : 10

Re : Fedora VM NAS IPCOP - Retour d'expérience ?

Vous m'avez donné plein d'infos. Je vais regarder tout ça avec quelqu'un de calé sur le sujet pour qu'on définisse la solution.
Si tu veux te rencarder sur virtmanager, et apporter un complément, c'est toujours bon à prendre. Je l'ai mis en favorite icon, je regarderai ça de plus près.


Intel Xeon E3-1230 V2 QuadCore 3.3GHz - SuperMicro X9SCI-LN4F-0 - Kingston KVR1333D3E9S 8Go ECC - 2  WD 1To Green - LAN 4x GbE
Netgear JGS516PE
Intel i5 4670k - MSI Z87-G45 GAMING - NVIDIA GeForce GTX 660 - KINGSTON SH103S3120G - KINGSTON SV300S37A60G

Hors ligne

#14 26/03/2015 09:04:54

madko
Contributeur Fedora et Linuxé depuis 1994
Modérateur
Lieu : Noisy the Great (9³)
Inscription : 22/12/2006
Messages : 8 472
Site Web

Re : Fedora VM NAS IPCOP - Retour d'expérience ?

Non malheureusement les VLANs ne sont pas gérés (pas encore) avec Virt-Manager (qui est un outil graphique pour configurer la libvirt et accèder aux VMs). Par contre si tu veux utiliser les VLANs en effet OpenVswitch sera la meilleur solution, et il est quand même supporté par la libvirt.

Sinon ton premier schema est tout à fait correct, c'est une archi standard, uniquement si ton switch supporte les VLANs (t'asmaintenant des switch à 30€ qui les supportent). Je metterais même le NAS dans un autre VLAN (pour filtrer ses accès avec le parefeu). cf fw virtuel

Tu peux te passer de VLANs si t'as VM ipcop est défini comme passerelle pour les postes de ton reseaux, mais ça ne remplacera pas une isolation niveau 2 comme avec les VLANs. Sinon il faut comme ça été proposé mettre ton serveur Fedora (ou CentOS) en coupure.

Dernière modification par madko (26/03/2015 09:34:38)


Linux, ya moins bien, mais c'est plus chèr!!!
Fedora 32 WorkStation sur HP 850 G5
Fedora 32 SilverBlue sur Lenovo Thinkpad Yoga 12

Hors ligne

#15 26/03/2015 10:30:52

VINDICATORs
RédactWikix and the graphicatorix!
Modérateur
Lieu : Toulouse(31) France
Inscription : 23/11/2004
Messages : 18 043
Site Web

Re : Fedora VM NAS IPCOP - Retour d'expérience ?

J'avais un doute ayant surtout taffer sur des routeurs/commutateurs pro en ce moment pour ce genre de plan, je ne me suis pas penché sur la question.

Tiens d'ailleurs madko pour info tu n'aurais pas une doc adapté à Fedora20+/CentOs7 sur openvswitch par hasard? sans avoir à virer l'utilisation de NetworkManager et firewalld?

Dernière modification par VINDICATORs (26/03/2015 10:31:25)


AMD R7 2700X, MSI Pro Carbon X470, 32Go DDR4 3200@3333Mhz Gskill TridentZ CL14, RX 5700XT MSI Watercooling OC
SSD: 1x 970 EVO NVME 500Go + 1x500Go BX500 + 1x500Go 860 EVO, 3x1To 860 Evo, HDD 1x2To WD black, 1x4to WD Black, 1x3To WD Red, GMT BeQuiet Dark 900+Lepa 800W 80+gold
AMD R5 2600, Asus A320, 16Go DDR4 2400Mhz Gskill AEGIS, 1x250GO SSD EVO, 3x 2To RAID 5 WD Blue, Gigabyte 400W+Cube Chieftec/ AMD R3 2200g + 32Go DDR4 2933+1xSSD Evo 500Go , 3x1To QVO RAID5

Hors ligne

#16 26/03/2015 12:12:19

madko
Contributeur Fedora et Linuxé depuis 1994
Modérateur
Lieu : Noisy the Great (9³)
Inscription : 22/12/2006
Messages : 8 472
Site Web

Re : Fedora VM NAS IPCOP - Retour d'expérience ?

J'ai ce billet que je viens de terminer : http://www.linuxed.net/post/2015/03/26/ … penVswitch

Firewalld pas sûr qu'il soit très perturbé, dans mon ex l'ip d'admin est porté par un port interne d'openvswitch (vi0) et elle sera vue comme une interface classique par iptables. Ne rien faire par contre sur eth0. C'est un peu gênant de faire du parefeu sur ce qu'on concidère ici comme un switch. Donc perso je le desactiverait.

NetworkManager ne devrait pas poser de soucis, mais comme il apporte rien non plus, je prefère m'en passer. Dans le cas d'usage d'un serveur. A priori il suffirait de rajouter NM_CONTROLLED=no dans les interfaces en rapport avec openvswitch, mais je n'ai pas tester.

Mais par contre ce billet n'aborde pas encore la configuration de libvirt.

Dernière modification par madko (26/03/2015 12:18:38)


Linux, ya moins bien, mais c'est plus chèr!!!
Fedora 32 WorkStation sur HP 850 G5
Fedora 32 SilverBlue sur Lenovo Thinkpad Yoga 12

Hors ligne

#17 26/03/2015 13:14:42

VINDICATORs
RédactWikix and the graphicatorix!
Modérateur
Lieu : Toulouse(31) France
Inscription : 23/11/2004
Messages : 18 043
Site Web

Re : Fedora VM NAS IPCOP - Retour d'expérience ?

Oki c'est le même genre de procédure que j'ai déjà employé, sauf que je cherche à utiliser networkmanager au lieu de network. Juste histoire de rester sur le principe et d'avoir de l’expérience sur les deux approches.

Je vais voir avec nm_controlled pour voir si ça résout le problème.

Et puis c'est histoire de faire chier mon monde pour rester sur le principe de préférer systemd à sysinit... (je précise que c'est à prendre au second degrés wink)

Dernière modification par VINDICATORs (26/03/2015 13:17:43)


AMD R7 2700X, MSI Pro Carbon X470, 32Go DDR4 3200@3333Mhz Gskill TridentZ CL14, RX 5700XT MSI Watercooling OC
SSD: 1x 970 EVO NVME 500Go + 1x500Go BX500 + 1x500Go 860 EVO, 3x1To 860 Evo, HDD 1x2To WD black, 1x4to WD Black, 1x3To WD Red, GMT BeQuiet Dark 900+Lepa 800W 80+gold
AMD R5 2600, Asus A320, 16Go DDR4 2400Mhz Gskill AEGIS, 1x250GO SSD EVO, 3x 2To RAID 5 WD Blue, Gigabyte 400W+Cube Chieftec/ AMD R3 2200g + 32Go DDR4 2933+1xSSD Evo 500Go , 3x1To QVO RAID5

Hors ligne

#18 26/03/2015 22:57:02

titiFedoraNasIpcop
Membre
Lieu : Orléans
Inscription : 24/03/2015
Messages : 10

Re : Fedora VM NAS IPCOP - Retour d'expérience ?

Bonjour,

madko a écrit :

Sinon ton premier schema est tout à fait correct, c'est une archi standard, uniquement si ton switch supporte les VLANs (t'asmaintenant des switch à 30€ qui les supportent). Je metterais même le NAS dans un autre VLAN (pour filtrer ses accès avec le parefeu). cf http://www.linuxed.net/public/schemas/archi/fwvirtuel.png

Il n'y aurait pas une faille de sécurité là : l'hyperviseur visible de l'extérieur ?


Intel Xeon E3-1230 V2 QuadCore 3.3GHz - SuperMicro X9SCI-LN4F-0 - Kingston KVR1333D3E9S 8Go ECC - 2  WD 1To Green - LAN 4x GbE
Netgear JGS516PE
Intel i5 4670k - MSI Z87-G45 GAMING - NVIDIA GeForce GTX 660 - KINGSTON SH103S3120G - KINGSTON SV300S37A60G

Hors ligne

#19 27/03/2015 09:07:38

madko
Contributeur Fedora et Linuxé depuis 1994
Modérateur
Lieu : Noisy the Great (9³)
Inscription : 22/12/2006
Messages : 8 472
Site Web

Re : Fedora VM NAS IPCOP - Retour d'expérience ?

Il n'est pas visible de l'exterieur, je n'ai pas mis ses interfaces reseaux pour ne pas surcharger. Le VLAN 2 d'internet n'arrive que dans le switch virtuel openvswitch (OVS). Mais son interface réseau dédiée à l'admin, non incluse dans l'OVS, pourrait être sur un VLAN99 par ex, accessible que pour quelques postes d'admin.

schema avec reseau d'admin:

fw virtuel avec admin

ici rien ne t'empeche en plus d'ajouter le vlan 99 d'admin dans l'OVS sur tes VM pour les administrer.

Tu peux aussi économiser et n'avoir qu'une seule carte réseau, en passant tout par l'openvswitch (ovs) mais l'inconvenient c'est que si tu te rate sur sa conf tu perds le réseau. Envisageable si t'as une carte IMM/Ilo etc avec accès console par le réseau.

Dernière modification par madko (27/03/2015 09:22:17)


Linux, ya moins bien, mais c'est plus chèr!!!
Fedora 32 WorkStation sur HP 850 G5
Fedora 32 SilverBlue sur Lenovo Thinkpad Yoga 12

Hors ligne

#20 27/03/2015 09:54:25

titiFedoraNasIpcop
Membre
Lieu : Orléans
Inscription : 24/03/2015
Messages : 10

Re : Fedora VM NAS IPCOP - Retour d'expérience ?

Bonjour,

Merci pour tes explications très claires.

Est-ce que ça pose un problème si le poste admin est aussi sur le vlan 100 ?


Intel Xeon E3-1230 V2 QuadCore 3.3GHz - SuperMicro X9SCI-LN4F-0 - Kingston KVR1333D3E9S 8Go ECC - 2  WD 1To Green - LAN 4x GbE
Netgear JGS516PE
Intel i5 4670k - MSI Z87-G45 GAMING - NVIDIA GeForce GTX 660 - KINGSTON SH103S3120G - KINGSTON SV300S37A60G

Hors ligne

#21 27/03/2015 09:57:55

madko
Contributeur Fedora et Linuxé depuis 1994
Modérateur
Lieu : Noisy the Great (9³)
Inscription : 22/12/2006
Messages : 8 472
Site Web

Re : Fedora VM NAS IPCOP - Retour d'expérience ?

Pas spécialement, ça donne juste la possibilité à tous les postes du lan de voir l'hyperviseur. C'est pas pour autant qu'ils connaitront le mot de passe ssh etc. Tu peux en plus filtrer avec le parefeu sur cette interface. Donc le risque est limité.


Linux, ya moins bien, mais c'est plus chèr!!!
Fedora 32 WorkStation sur HP 850 G5
Fedora 32 SilverBlue sur Lenovo Thinkpad Yoga 12

Hors ligne

#22 27/03/2015 10:00:21

titiFedoraNasIpcop
Membre
Lieu : Orléans
Inscription : 24/03/2015
Messages : 10

Re : Fedora VM NAS IPCOP - Retour d'expérience ?

Yes! cool


Intel Xeon E3-1230 V2 QuadCore 3.3GHz - SuperMicro X9SCI-LN4F-0 - Kingston KVR1333D3E9S 8Go ECC - 2  WD 1To Green - LAN 4x GbE
Netgear JGS516PE
Intel i5 4670k - MSI Z87-G45 GAMING - NVIDIA GeForce GTX 660 - KINGSTON SH103S3120G - KINGSTON SV300S37A60G

Hors ligne

#23 27/03/2015 10:14:00

VINDICATORs
RédactWikix and the graphicatorix!
Modérateur
Lieu : Toulouse(31) France
Inscription : 23/11/2004
Messages : 18 043
Site Web

Re : Fedora VM NAS IPCOP - Retour d'expérience ?

Et utiliser fail2ban pour bannir ceux qui n'ont pas le droit d'y accéder automatiquement.

Dernière modification par VINDICATORs (27/03/2015 10:14:28)


AMD R7 2700X, MSI Pro Carbon X470, 32Go DDR4 3200@3333Mhz Gskill TridentZ CL14, RX 5700XT MSI Watercooling OC
SSD: 1x 970 EVO NVME 500Go + 1x500Go BX500 + 1x500Go 860 EVO, 3x1To 860 Evo, HDD 1x2To WD black, 1x4to WD Black, 1x3To WD Red, GMT BeQuiet Dark 900+Lepa 800W 80+gold
AMD R5 2600, Asus A320, 16Go DDR4 2400Mhz Gskill AEGIS, 1x250GO SSD EVO, 3x 2To RAID 5 WD Blue, Gigabyte 400W+Cube Chieftec/ AMD R3 2200g + 32Go DDR4 2933+1xSSD Evo 500Go , 3x1To QVO RAID5

Hors ligne

#24 27/03/2015 22:50:43

titiFedoraNasIpcop
Membre
Lieu : Orléans
Inscription : 24/03/2015
Messages : 10

Re : Fedora VM NAS IPCOP - Retour d'expérience ?

Après avoir fouiné, je vais tester l'hyperviseur avec ubuntu server pour l'instant (j'en ai un sous la main qui est tout vierge) + Libvirt + KVM + OVS. J'hésite car je ne connais pas la "compatibilité" de virt-manager avec ubuntu ? J'ai pas l'impression que c'est stabilisé roll Je passerai peut-être à Fedora/VIRT/KVM/OVS.

Pour le parefeu, c'est IPCOP... parce que je le connais, et que je l'ai déjà utilisé sur une chinoiserie.

Pour le NAS, pour l'instant c'est Fedora/amahi. Dans l'idéal, j'aurais pris FreeNas, mais la dernière version 9.3 est vraiment trop gourmande.

Avec ces paquets (et leur doc hammer ) : openvswitch-switch qemu-kvm libvirt-bin (virt-manager) ?

Vous avez d'autres suggestions ?


Intel Xeon E3-1230 V2 QuadCore 3.3GHz - SuperMicro X9SCI-LN4F-0 - Kingston KVR1333D3E9S 8Go ECC - 2  WD 1To Green - LAN 4x GbE
Netgear JGS516PE
Intel i5 4670k - MSI Z87-G45 GAMING - NVIDIA GeForce GTX 660 - KINGSTON SH103S3120G - KINGSTON SV300S37A60G

Hors ligne

#25 27/03/2015 22:57:44

VINDICATORs
RédactWikix and the graphicatorix!
Modérateur
Lieu : Toulouse(31) France
Inscription : 23/11/2004
Messages : 18 043
Site Web

Re : Fedora VM NAS IPCOP - Retour d'expérience ?

6... virtmanager c'est une interface de kvm/qemu xen ...

Donc... bah bien sur que c'est compatible !

C'est stable sur centos et la version de f21. Moins sur f22 qui est encore en dev.

Niveau perso sur la machine de ma signature, j'ai fait tourner en prod avec 6 serveurs dont 4 win serveurs 2008r2 et 2 centos7, 8 clients et 10 clients externe. Sur une fedora 21 quand elle était en dev.

J'ai taffer sur des hyperviseur centos 6 sur des serveurs blade 16 lames.... ça tourné bien...

Dernière modification par VINDICATORs (27/03/2015 23:08:18)


AMD R7 2700X, MSI Pro Carbon X470, 32Go DDR4 3200@3333Mhz Gskill TridentZ CL14, RX 5700XT MSI Watercooling OC
SSD: 1x 970 EVO NVME 500Go + 1x500Go BX500 + 1x500Go 860 EVO, 3x1To 860 Evo, HDD 1x2To WD black, 1x4to WD Black, 1x3To WD Red, GMT BeQuiet Dark 900+Lepa 800W 80+gold
AMD R5 2600, Asus A320, 16Go DDR4 2400Mhz Gskill AEGIS, 1x250GO SSD EVO, 3x 2To RAID 5 WD Blue, Gigabyte 400W+Cube Chieftec/ AMD R3 2200g + 32Go DDR4 2933+1xSSD Evo 500Go , 3x1To QVO RAID5

Hors ligne

Pied de page des forums