Proxmox et nombreuses interfaces réseau

[Tom23]

Salut !

J'ai un serveur qui accueille proxmox ve 3 et qui comporte 3 cartes réseau physiques.

Je maitrise les base de ce système de virtualisation mais je ne vois pas trop comment configurer le réseau pour obtenir la configuration suivante:

Plusieurs VM apportant des services à mes machines physiques (serveur de fichiers, dlna...) via un sous réseau en 192.168.1.0 invisible de l'extérieur.

Une VM passerelle proposant des services réseaux (proxy, DNS, dhcp, internet...) à ce même groupe de machines en 192.168.1.0, mais dont l'interface réseau connectée au routeur sera en 192.168.0.0. Utilisant donc 2 carte réseau physique non ?

Une VM serveur LTSP sur lequel bootteront des clients légers et qui fera office donc de serveur dhcp/pxe et de passerelle pour ces clients légers qui devront profiter des services des VM en 192.168.1.0 et de la passerelle en 192.168.0.0.

Le fait est qu'utilisant le boot réseau pour les clients légers, je ne vois pas comment gérer tout sur le même serveur dhcp. Du coup les clients légers devraient avoir une ip en 192.168.2.0.

Je manque de connaissances, et il existe peut être une configuration réseau plus simple que celle que je propose là.

Merci de votre aide pour la mise en place des ces services.

[seboss666]

Je poserais surtout la question : y'a-t-il quelque chose d'autre que ton serveur relié au routeur ? Parce qu'à lire ta description, en fait la VM "services" fait doublon en matière de passerelle (du moins à mon gôut).

Et surtout, je vois pas l'intérêt de créer trois réseaux, sachant que tout le monde va transiter sur les dessus. En clair, pour moi, un seul réseau suffit (après, libre à toi de répartir tes VMS sur les interfaces physique si le coeur t'en dit), à moins que le nombre de machines soit extravagant. Et ça sent le projet de déploiement type cybercafé

Rien ne t'empêche (normalement, mais ça fait longtemps que j'ai pas bidouillé de DHCP) de régler le routeur en tant que passerelle pour le serveur, mais seulement ça; ensuite, le DHCP qui devra être seul pourra à la fois servir la configuration ip "classique" (passerelle/proxy compris) et les données pxe pour les clients légers (qui récupèreront aussi leur config ip classique une fois démarrés). Si t'as plus de 250 machines, là je peux comprendre qu'il faille segmenter un peu, mais sinon, pas la peine de se faire mal au crane.

Ou alors y'a un intérêt que je vois pas.

[Tom23]

Merci de ta réponse.

Je vais essayé d'être plus clair sur ce que je souhaite mettre en place. Il est possible que je m'oriente dans la mauvaise direction.

D'abord je suis pas sysadmin ou admin réseau. J'ai des notions dans les 2 disciplines, mais apprises seul et sur le tas. Il me manque une partie des bases.

Dans le cas présent, je veux arriver à mettre en place un réseau qui me permettra les choses suivantes:

-Limiter l'utilisation de mon routeur actuel au niveau des services annexes (DNS, DHCP, firewall...) C'est une machine sous DD-WRT dont je suis content, mais je veux voir autre chose et apprendre autre chose.

-Isoler mes services web de mon réseau privé. Actuellement mon serveur est sur le même sous réseau que le reste des mes pc perso, et il accueille aussi bien mes services web que persos. J'ai décidé de segmenté la partie perso (samba, dlna, sauvegarde...) de la partie web (lamp, mail...). J'héberge quelques sites pour moi et des copains, et j'ai pour projet de mettre en place un nœud seeks, un serveur firefox sync, un serveur xmpp etc dont les copains pourront se servir à loisir afin de se détacher des services des géants du net.

-mettre en place un serveur LTSP pour que mes enfants aient chacun leur client léger avec accès contrôlé au net (du fait de ce qui ne serait pas adapté à leur âge) et aux ressources du réseau privé (musique, photos...).

Pour cela, j'ai choisi de me servir de zentyal pour la partie contrôle du réseau, et edubuntu pour le serveur LTSP. Les autres VM seront certainement sous debian, je n'ai pas encore réfléchit complètement à leur répartition. Seul le serveur web est en prod pour le moment.

Le but de tout ça est aussi d'apprendre. Ces sujets m'intéressent beaucoup, mais comme je manque de temps et que ma motivation baisse vite si mon apprentissage n'abouti pas rapidement sur des choses concrètes (même si pas totalement fonctionnelles), ces solutions (ou d'autres du même type si vous en avez d'autres à proposer) qui sont rapidement en place et gérées sur une interface web me conviennent très bien. Même si de toutes façons, je vais régulièrement aller voir les fichiers de conf pour voir ce qu'il y a derrière et comprendre le fonctionnement des services.

Pour en revenir à mes interrogations, outre le fait que je veuille séparer la partie services web de mon réseau, j'ai peur que ce soit compliqué d'avoir un serveur LTSP avec son dhcp destiné aux clients légers, et la VM avec zentyal et son service dhcp propre ainsi que le proxy transparent, le serveur DNS etc.

Surtout que je ne pourrai pas mettre les 2 solutions en service simultanément et qu'elles devront donc être aussi autonomes que possible.

Désolé du pavé, j'espère que ce sera plus clair maintenant.

[seboss666]

Le principal problème c'est que tu dis vouloir isoler les usages mais pouvoir en profiter quand même dans certains cas, c'est pas toujours très clair.

Isoler le web des machines physiques est simple, car de toute façon le web sera accessible "de l'extérieur". Ce que j'ai fait chez moi avec OpenMediaVault et le plugin Virtualbox, avec lequel j'ai créé une VM Web (Nginx,php-fpm, mysql sous Wheezy), les autres services étant gérés par OMV. Par contre tout ça est sur le même réseau, et pour les coller sur deux sous-réseaux différents, tout en utilisant la même passerelle au net, il faut, à mon avis, du VLAN. Ce qui est hors de mes compétences, mais pas forcément difficile à mettre en place de ce que j'ai déjà pu lire pour l'instant (je suis aussi autodidacte, mais je n'ai pas le matériel suffisant justifiant un tel découpage, ni la connexion pour faire profiter de mes connaissances, du coup, ça manque un peu).

Par contre pour le "réseau" LTSP, là, c'est une autre paire de manche, notamment pour le DHCP, si tu veux les isoler. Ça entraine deux DHCP, et avec les VLAN en place, je ne sais pas si tu peux forcer la connexion des clients légers sur le VLAN avec le bon DHCP. Pareil, sans connaitre les clients légers, je ne saurais te dire si c'est faisable. Et ça sans même parler de la communication avec le sous-réseau "physique".

[Tom23]

Je ne souhaite pas forcément isoler les clients légers.

La solution serait d'avoir 2 serveurs dhcp. Chacun proposant des plages ip différentes, mais refusant d'offrir un bail à certaines machines.

Comme ça tout le réseau a des adresses ip compatibles et tout le monde peut discuter ensemble sans soucis.

Sauf que j'ai rien vu de tel dans mes recherches.

Autre solution, entrevue lors de mes recehrches de cet aprem: Il semblerait que zentyal soit cable de fournir l'adresse ip d'un serveur ltsp autre que lui même.

Je perdrai un peu en souplesse car je devrais absolument avoir zentyal actif, mais ça ne ferait au final que 2 réseaux. Un pour les services webs, et l'autres pour les machines locales.

[seboss666]

Sauf que j'ai rien vu de tel dans mes recherches.

Autre solution, entrevue lors de mes recehrches de cet aprem: Il semblerait que zentyal soit cable de fournir l'adresse ip d'un serveur ltsp autre que lui même.

Je perdrai un peu en souplesse car je devrais absolument avoir zentyal actif, mais ça ne ferait au final que 2 réseaux. Un pour les services webs, et l'autres pour les machines locales.

C'est un peu la base du DHCP, il peut diriger une demande PXE sur n'importe quelle machine. Encore heureux. Maintenant une remarque, qui est peut-être fausse, mais si je dis pas de bêtise, les clients légers ne sont que des affichages déportés si je ne m'abuse, donc au final ces clients travaillent tous avec la même ip au niveau applicatif, celle du serveur LTSP. Les ips fournies par le DHCP ne serviront qu'à relier les clients au serveur. Il n'est donc pas forcément utile de les isoler.

Solution intermédiaire si tu ne veux pas te casser les roustons avec le VLAN (qui doit être supporté par tous les appareils réseau que tu connecteras; c'est trivial pour les pcs, beaucoup moins pour les switches) : jouer avec le pare-feu de la machine web, pour n'accepter des connexions qu'à partir d'autre chose que les clients locaux (admettons qu'il soit 192.168.1.5, le reste du réseau en 192.168.1.x, tu verrouilles pour qu'il n'accepte pas les connexions de ce réseau-là. (ça doit correspondre à une chtiote commande 'iptables -A INPUT -s 192.168.1.0/16 -j DROP', ensuite autoriser le broadcast et la passerelle -- ACCEPT au lieu de DROP) sinon ça sera un peu trop isolé

[Tom23]

Je ferai des tests pour voir ce que ça donne à mon retour de vacances.

Je pense que ce sera la meilleure solution. Et si j'ai un problème je regarderai les vlans. Mais je préfèrerai éviter.

[al_bebert]

si j'ai bien compris ton problème c'est d'attribuer des IP pour t'es postes client LTSP. pourquoi ne pas simplement faire une résa DHCP sur ces MAC dans ton DHCP ?