Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 30-12-2019 00:54:21

Mca
Membre
Lieu : essonne
Distrib. : Debian Buster
Noyau : 4.19-amd64
(G)UI : Gnome
Inscription : 20-09-2019

[Résolu] Virt-Manager QEMU/KVM Aucune conexion réseau

Bonjour à tous cool

J'ai récamment décider de ne plus bousiller ma Debian yes.gif

Donc j'installe et configure virt-manager avec un tutoriel assez récent,

Puis une fois terminer je commence l'installation d'une Debian sur ma machine virtuel via unenetinstall 10.2,

C'est la que les problèmes commence crash.gif

uc?id=1yXbo3DeGbB-wnG0nedzThOMZmLouekWg

La configuration du réseau avait l'air d' avoir bien marcher lors de l'installation et ma même donner une adresse IP,

uc?id=1rMy8CXtdJHoz6e_tcyaZ4stZTbx3JmAa

Même une fois démarrer toujours aucune connexion et aucun message d'erreur de la part de virt-manager,

Voici la configuration de mon pare-feu au ça ou cela pourrais venir de la:


Table NAT:

Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination         

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination         
    0     0 RETURN     all  --  *      *             192.168.122.0/24     224.0.0.0/24       
    0     0 RETURN     all  --  *      *             192.168.122.0/24     255.255.255.255     
    0     0 MASQUERADE  tcp  --  *      *       192.168.122.0/24    !192.168.122.0/24     masq ports: 1024-65535
    0     0 MASQUERADE  udp  --  *      *      192.168.122.0/24    !192.168.122.0/24     masq ports: 1024-65535
    0     0 MASQUERADE  all  --  *      *        192.168.122.0/24    !192.168.122.0/24   

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination   


Table Filter:

Chain INPUT (policy DROP 1075 packets, 471K bytes)
pkts bytes target     prot opt in     out     source               destination         
  599 40218 ACCEPT     udp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0            udp dpt:53
    0     0 ACCEPT     tcp  --  virbr0 *            0.0.0.0/0            0.0.0.0/0            tcp dpt:53
    9  2952 ACCEPT     udp  --  virbr0 *         0.0.0.0/0            0.0.0.0/0            udp dpt:67
    0     0 ACCEPT     tcp  --  virbr0 *            0.0.0.0/0            0.0.0.0/0            tcp dpt:67
  778  111K ACCEPT     udp  --  *      *         0.0.0.0/0            0.0.0.0/0            udp spt:53 ctstate ESTABLISHED
   21   609 ACCEPT     all  --  lo     *            0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     icmp --  eno1   *         0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
325K  448M ACCEPT     tcp  --  *      *        0.0.0.0/0            0.0.0.0/0            multiport sports 80,443 ctstate ESTABLISHED

Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  *      virbr0       0.0.0.0/0               192.168.122.0/24     ctstate RELATED,ESTABLISHED
    0     0 ACCEPT     all  --  virbr0 *            192.168.122.0/24   0.0.0.0/0           
    0     0 ACCEPT     all  --  virbr0 virbr0     0.0.0.0/0               0.0.0.0/0           
    0     0 REJECT     all  --  *      virbr0        0.0.0.0/0               0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  virbr0 *             0.0.0.0/0               0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  virbr0 *             0.0.0.0/0               0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  virbr0 *             0.0.0.0/0               0.0.0.0/0            reject-with icmp-port-unreachable

Chain OUTPUT (policy DROP 842 packets, 88397 bytes)
pkts bytes target     prot opt in     out     source               destination         
    8  2624 ACCEPT     udp  --  *      virbr0  0.0.0.0/0            0.0.0.0/0            udp dpt:68
  778 53747 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:53 ctstate NEW
   21   609 ACCEPT     all  --  *      lo          0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     icmp --  *      eno1     0.0.0.0/0            0.0.0.0/0            ctstate NEW,RELATED,ESTABLISHED
196K   16M ACCEPT     tcp  --  *      *        0.0.0.0/0            0.0.0.0/0            multiport dports 80,443 ctstate NEW,ESTABLISHED

En vous remerciant d'avoir pris le temps de lire ce sujet.

Dernière modification par Mca (31-12-2019 10:19:46)

Hors ligne

#2 30-12-2019 02:01:12

Switch
Membre
Distrib. : Stable
(G)UI : XFCE !
Inscription : 17-06-2012
Site Web

Re : [Résolu] Virt-Manager QEMU/KVM Aucune conexion réseau

Tu peux pas désactiver le pare feu 2 min pour tester sans , histoire de savoir le le prob vient de lui on non ?
Perso j'ai suivi le tuto https://wiki.debian.org/KVM . Celui que tu as suivi ne t'a pas fait toucher à la configuration réseau  ou quelquechose qui pourrait etre en lien ?

Hors ligne

#3 30-12-2019 09:46:17

Mca
Membre
Lieu : essonne
Distrib. : Debian Buster
Noyau : 4.19-amd64
(G)UI : Gnome
Inscription : 20-09-2019

Re : [Résolu] Virt-Manager QEMU/KVM Aucune conexion réseau

Merci pour ta réponse Switch cool

J' ai désactiver le pare-feu comme tu me la conseiller, et le problème viens bien de lui une fois désactiver, mon installateur arrive bien a se connecter a ftp.fr.debian.org/debian/

J' ai suivi ce tuto directement via YouTube:

Partie 1: https://www.youtube.com/watch?v=ozYKkaVK0_A

Partie 2: https://www.youtube.com/watch?v=jLRmVNWOrgo

Le tuto que j ai suivie ne touchais pas a la configuration,

Je te remercie pour ton lien, je vais essayer de voir quel règle il me manque dans ma table filter.

ps: ci quelqu’un a une ider je suis preneur big_smile

Dernière modification par Mca (30-12-2019 09:53:45)

Hors ligne

#4 30-12-2019 17:22:41

Switch
Membre
Distrib. : Stable
(G)UI : XFCE !
Inscription : 17-06-2012
Site Web

Re : [Résolu] Virt-Manager QEMU/KVM Aucune conexion réseau

Salut,
donc la question devient "comment configurer un firewall quand on utilise KVM et libvirt" . Essayes de chercher du coté de la doc libvirt : ? Une recherche rapide KVM libvirt me sort  :
https://wiki.libvirt.org/page/Networking
https://libvirt.org/firewall.html .
Si tu n'y arrives pas; peut-etre qu'il faudra recréer un post dans la partie réseau du forum ? Tiens nous au jus .

Dernière modification par Switch (30-12-2019 17:33:37)

Hors ligne

#5 30-12-2019 17:29:06

Mca
Membre
Lieu : essonne
Distrib. : Debian Buster
Noyau : 4.19-amd64
(G)UI : Gnome
Inscription : 20-09-2019

Re : [Résolu] Virt-Manager QEMU/KVM Aucune conexion réseau

Merci pour les liens je vais regarder sa voir si je trouve la solution,

Au pire des cas oui je recréait un post sur le réseau,

Des que je trouve la solution je l informerais dans ce post yes.gif

Hors ligne

#6 31-12-2019 10:16:22

Mca
Membre
Lieu : essonne
Distrib. : Debian Buster
Noyau : 4.19-amd64
(G)UI : Gnome
Inscription : 20-09-2019

Re : [Résolu] Virt-Manager QEMU/KVM Aucune conexion réseau

Enfin trouver big_smile

Voici la règles qu il me manquait pour que le réseau NAT puisse marcher sans accepter toute les connexion sortante dans iptables du moins je pense,

iptables -A OUTPUT -o virbr0 -s 192.168.122.0/24 -d 192.168.122.0/24 -p udp -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT



J' ai essayer de la rendre la plus restrictive possible, du moins de ce que je connais,

voici  mes règle de pare feu une fois que cela marche:


Chain INPUT (policy DROP 454 packets, 199K bytes)
 pkts bytes target     prot opt in     out     source               destination        
  187 11999 ACCEPT     udp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0            udp dpt:53
    0     0 ACCEPT     tcp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0            tcp dpt:53
    4  1312 ACCEPT     udp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0            udp dpt:67
    0     0 ACCEPT     tcp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0            tcp dpt:67
  335 51262 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp spt:53 ctstate ESTABLISHED
    8   232 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0          
    0     0 ACCEPT     icmp --  eno1   *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
94905  133M ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport sports 80,443 ctstate ESTABLISHED

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination        
   27  2180 ACCEPT     all  --  *      virbr0  0.0.0.0/0            192.168.122.0/24     ctstate RELATED,ESTABLISHED
   27  2180 ACCEPT     all  --  virbr0 *       192.168.122.0/24     0.0.0.0/0          
    0     0 ACCEPT     all  --  virbr0 virbr0  0.0.0.0/0            0.0.0.0/0          
    0     0 REJECT     all  --  *      virbr0  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  virbr0 *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable

Chain OUTPUT (policy DROP 324 packets, 30706 bytes)
 pkts bytes target     prot opt in     out     source               destination        
    4  1312 ACCEPT     udp  --  *      virbr0  0.0.0.0/0            0.0.0.0/0            udp dpt:68
  335 22959 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:53 ctstate NEW
    8   232 ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0          
    0     0 ACCEPT     icmp --  *      eno1    0.0.0.0/0            0.0.0.0/0            ctstate NEW,RELATED,ESTABLISHED
56182 4456K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 80,443 ctstate NEW,ESTABLISHED
    0     0 ACCEPT     udp  --  *      virbr0  192.168.122.0/24     192.168.122.0/24     ctstate NEW,ESTABLISHED
 



noter que celle ci qui a changer, dans la  Chaine OUTPUT:

0     0 ACCEPT     udp  --  *      virbr0  192.168.122.0/24     192.168.122.0/24     ctstate NEW,ESTABLISHED



Votre aide est toujours la bienvenue si vous avez plus restrictif comme règles car je ne sais pas si il faut mettre port précis ou non dans cette dite règle, mais bon je me contenterai de sa pour le moment cool

et merci.gif a toi @Switch pour m'avoir mis sur la bonne piste.

Hors ligne

#7 31-12-2019 17:06:25

Switch
Membre
Distrib. : Stable
(G)UI : XFCE !
Inscription : 17-06-2012
Site Web

Re : [Résolu] Virt-Manager QEMU/KVM Aucune conexion réseau

Bravo !

Je ne suis pas à l'aise avec lecture des règles iptables ( on dit encore comme ca ? ). Ton dernier post montre la config complète de ton firewall ou seulement les règles en lien avec la machine virtuelle ?
Je ne vois que peu de lignes ne faisant pas référence à vibr0 ( le pont de libvirt donc ).
Tu as trouvé en réfléchissant pour ajouter ta dernière règle udp ou tu t'es basé sur la doc libvirt que j'avais proposée ?

Je demande ca  car ca serait sympa de mettre un petit mot dans la page KVM du wiki DF concernant le parefeu smile

Ca évitera de revoir tant de violence sur les smileys :

Mca a écrit :

C'est la que les problèmes commence crash.gif

Dernière modification par Switch (31-12-2019 17:08:26)

Hors ligne

#8 31-12-2019 17:47:46

Mca
Membre
Lieu : essonne
Distrib. : Debian Buster
Noyau : 4.19-amd64
(G)UI : Gnome
Inscription : 20-09-2019

Re : [Résolu] Virt-Manager QEMU/KVM Aucune conexion réseau

Je te remercie big_smile

Sa se dit toujours iptables yes.gif, malgrer qu il vont finir petit a petit par se faire remplacer par nftables d' après ce que j ai compris,

C'est la config de mon firewall sur le coup tien voici les règle lier uniquement a KMV:

Celle qui on eter configurer automatiquement par virt-manager pour être en réseau NAT des que l' on active le réseau virtuel:

-Table Filter:


Chain INPUT (policy DROP 92 packets, 43290 bytes)
 pkts bytes target     prot opt in     out     source               destination        
    0     0 ACCEPT     udp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0            udp dpt:53
    0     0 ACCEPT     tcp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0            tcp dpt:53
    0     0 ACCEPT     udp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0            udp dpt:67
    0     0 ACCEPT     tcp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0            tcp dpt:67
Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination        
    0     0 ACCEPT     all  --  *      virbr0  0.0.0.0/0            192.168.122.0/24     ctstate RELATED,ESTABLISHED
    0     0 ACCEPT     all  --  virbr0 *       192.168.122.0/24     0.0.0.0/0          
    0     0 ACCEPT     all  --  virbr0 virbr0  0.0.0.0/0            0.0.0.0/0          
    0     0 REJECT     all  --  *      virbr0  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  virbr0 *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable

Chain OUTPUT (policy DROP 150 packets, 11571 bytes)
 pkts bytes target     prot opt in     out     source               destination        
    0     0 ACCEPT     udp  --  *      virbr0  0.0.0.0/0            0.0.0.0/0            udp dpt:68
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 80,443 ctstate NEW,ESTABLISHED
 



-Table NAT:


Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination        
    0     0 RETURN     all  --  *      *       192.168.122.0/24     224.0.0.0/24        
    0     0 RETURN     all  --  *      *       192.168.122.0/24     255.255.255.255    
    0     0 MASQUERADE  tcp  --  *      *       192.168.122.0/24    !192.168.122.0/24     masq ports: 1024-65535
    0     0 MASQUERADE  udp  --  *      *       192.168.122.0/24    !192.168.122.0/24     masq ports: 1024-65535
    0     0 MASQUERADE  all  --  *      *       192.168.122.0/24    !192.168.122.0/24
 



Celle que j ai rajouter manuellement:

-Table filter


Chain OUTPUT (policy DROP 150 packets, 11571 bytes)
0     0 ACCEPT     udp  --  *      virbr0  192.168.122.0/24     192.168.122.0/24     ctstate NEW,ESTABLISHED
 




je me suis principalement aider grâce a cette docs qui parle du réseau local http://olivieraj.free.fr/fr/linux/infor … 03-06.html ,on va dire que j ai du regarder pas mal de docs dont celle que tu ma donner pour voir les divers option et comprendre un peux prés ce qui bloquait,

Par contre pour le lien sa date de 2003 donc sûrement incomplet maintenant,

sa serai cool en effet de rajouter sa au wiki DF cool car je n ai vu aucune doc me parler de ce problème majoritairement les gens ne savent pas activer le réseau virtuel, donc des que tu fait une recherche tu tombe que sur sa et en plus beaucoup de gens laisse la politique de la chaîne OUTPUT en ACCEPT donc peux de monde a ce problème.

ps: y a sûrement un moyen de placer la règle en passant par les fichier de config de KMV pour ne l activer que seulement en cas de démarrage du réseau virtuel, c est plus propre je pense, mais j ai pas encore chercher.

Dernière modification par Mca (31-12-2019 18:01:01)

Hors ligne

#9 31-12-2019 18:18:57

Switch
Membre
Distrib. : Stable
(G)UI : XFCE !
Inscription : 17-06-2012
Site Web

Re : [Résolu] Virt-Manager QEMU/KVM Aucune conexion réseau

Je suppose que c'est libvirt qui gère la partie réseau et parefeu et pas directement KVM. Mais merci pour les retours. Je me suis pas embêté , j'ai mis le lien de ton post dans le Wiki tongue
https://debian-facile.org/doc:systeme:k … feu-et-kvm . Si une personne veut améliorer en ajoutant une explication ca sera top.
Merci à toi  Bonne soirée.

Hors ligne

#10 31-12-2019 20:25:51

Mca
Membre
Lieu : essonne
Distrib. : Debian Buster
Noyau : 4.19-amd64
(G)UI : Gnome
Inscription : 20-09-2019

Re : [Résolu] Virt-Manager QEMU/KVM Aucune conexion réseau

Oui en effet c est bien libvirt je m'en mêle avec tout ses noms mrgreen.gif

Merci a toi aussi bonne soirer cool

Hors ligne

Pied de page des forums