[Résolu] Virt-Manager QEMU/KVM Aucune conexion réseau

Mca · 30-12-2019 00:54:21

Bonjour à tous

J'ai récamment décider de ne plus bousiller ma Debian

Donc j'installe et configure virt-manager avec un tutoriel assez récent,

Puis une fois terminer je commence l'installation d'une Debian sur ma machine virtuel via unenetinstall 10.2,

C'est la que les problèmes commence

La configuration du réseau avait l'air d' avoir bien marcher lors de l'installation et ma même donner une adresse IP,

uc?id=1rMy8CXtdJHoz6e_tcyaZ4stZTbx3JmAa

Même une fois démarrer toujours aucune connexion et aucun message d'erreur de la part de virt-manager,

Voici la configuration de mon pare-feu au ça ou cela pourrais venir de la:

Table NAT:

Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 RETURN all -- * * 192.168.122.0/24 224.0.0.0/24
0 0 RETURN all -- * * 192.168.122.0/24 255.255.255.255
0 0 MASQUERADE tcp -- * * 192.168.122.0/24 !192.168.122.0/24 masq ports: 1024-65535
0 0 MASQUERADE udp -- * * 192.168.122.0/24 !192.168.122.0/24 masq ports: 1024-65535
0 0 MASQUERADE all -- * * 192.168.122.0/24 !192.168.122.0/24

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Table Filter:

Chain INPUT (policy DROP 1075 packets, 471K bytes)
pkts bytes target prot opt in out source destination
599 40218 ACCEPT udp -- virbr0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:53
0 0 ACCEPT tcp -- virbr0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
9 2952 ACCEPT udp -- virbr0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:67
0 0 ACCEPT tcp -- virbr0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:67
778 111K ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp spt:53 ctstate ESTABLISHED
21 609 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT icmp -- eno1 * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED
325K 448M ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport sports 80,443 ctstate ESTABLISHED

Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- * virbr0 0.0.0.0/0 192.168.122.0/24 ctstate RELATED,ESTABLISHED
0 0 ACCEPT all -- virbr0 * 192.168.122.0/24 0.0.0.0/0
0 0 ACCEPT all -- virbr0 virbr0 0.0.0.0/0 0.0.0.0/0
0 0 REJECT all -- * virbr0 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
0 0 REJECT all -- virbr0 * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
0 0 REJECT all -- virbr0 * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
0 0 REJECT all -- virbr0 * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable

Chain OUTPUT (policy DROP 842 packets, 88397 bytes)
pkts bytes target prot opt in out source destination
8 2624 ACCEPT udp -- * virbr0 0.0.0.0/0 0.0.0.0/0 udp dpt:68
778 53747 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:53 ctstate NEW
21 609 ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT icmp -- * eno1 0.0.0.0/0 0.0.0.0/0 ctstate NEW,RELATED,ESTABLISHED
196K 16M ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 80,443 ctstate NEW,ESTABLISHED

En vous remerciant d'avoir pris le temps de lire ce sujet.

Dernière modification par Mca (31-12-2019 10:19:46)

Switch · 30-12-2019 02:01:12

Tu peux pas désactiver le pare feu 2 min pour tester sans , histoire de savoir le le prob vient de lui on non ?
Perso j'ai suivi le tuto https://wiki.debian.org/KVM . Celui que tu as suivi ne t'a pas fait toucher à la configuration réseau ou quelquechose qui pourrait etre en lien ?

Mca · 30-12-2019 09:46:17

Merci pour ta réponse Switch

J' ai désactiver le pare-feu comme tu me la conseiller, et le problème viens bien de lui une fois désactiver, mon installateur arrive bien a se connecter a ftp.fr.debian.org/debian/,

J' ai suivi ce tuto directement via YouTube:

Partie 1: https://www.youtube.com/watch?v=ozYKkaVK0_A

Partie 2: https://www.youtube.com/watch?v=jLRmVNWOrgo

Le tuto que j ai suivie ne touchais pas a la configuration,

Je te remercie pour ton lien, je vais essayer de voir quel règle il me manque dans ma table filter.

ps: ci quelqu’un a une ider je suis preneur

Dernière modification par Mca (30-12-2019 09:53:45)

Switch · 30-12-2019 17:22:41

Salut,
donc la question devient "comment configurer un firewall quand on utilise KVM et libvirt" . Essayes de chercher du coté de la doc libvirt : ? Une recherche rapide KVM libvirt me sort :
https://wiki.libvirt.org/page/Networking
https://libvirt.org/firewall.html .
Si tu n'y arrives pas; peut-etre qu'il faudra recréer un post dans la partie réseau du forum ? Tiens nous au jus .

Dernière modification par Switch (30-12-2019 17:33:37)

Mca · 30-12-2019 17:29:06

Merci pour les liens je vais regarder sa voir si je trouve la solution,

Au pire des cas oui je recréait un post sur le réseau,

Des que je trouve la solution je l informerais dans ce post

Mca · 31-12-2019 10:16:22

Enfin trouver

Voici la règles qu il me manquait pour que le réseau NAT puisse marcher sans accepter toute les connexion sortante dans iptables du moins je pense,

iptables -A OUTPUT -o virbr0 -s 192.168.122.0/24 -d 192.168.122.0/24 -p udp -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT

J' ai essayer de la rendre la plus restrictive possible, du moins de ce que je connais,

voici mes règle de pare feu une fois que cela marche:

Chain INPUT (policy DROP 454 packets, 199K bytes)

 pkts bytes target     prot opt in     out     source               destination         

  187 11999 ACCEPT     udp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0            udp dpt:53

    0     0 ACCEPT     tcp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0            tcp dpt:53

    4  1312 ACCEPT     udp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0            udp dpt:67

    0     0 ACCEPT     tcp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0            tcp dpt:67

  335 51262 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp spt:53 ctstate ESTABLISHED

    8   232 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           

    0     0 ACCEPT     icmp --  eno1   *       0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED

94905  133M ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport sports 80,443 ctstate ESTABLISHED

Chain FORWARD (policy DROP 0 packets, 0 bytes)

 pkts bytes target     prot opt in     out     source               destination         

   27  2180 ACCEPT     all  --  *      virbr0  0.0.0.0/0            192.168.122.0/24     ctstate RELATED,ESTABLISHED

   27  2180 ACCEPT     all  --  virbr0 *       192.168.122.0/24     0.0.0.0/0           

    0     0 ACCEPT     all  --  virbr0 virbr0  0.0.0.0/0            0.0.0.0/0           

    0     0 REJECT     all  --  *      virbr0  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable

    0     0 REJECT     all  --  virbr0 *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable

Chain OUTPUT (policy DROP 324 packets, 30706 bytes)

 pkts bytes target     prot opt in     out     source               destination         

    4  1312 ACCEPT     udp  --  *      virbr0  0.0.0.0/0            0.0.0.0/0            udp dpt:68

  335 22959 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:53 ctstate NEW

    8   232 ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0           

    0     0 ACCEPT     icmp --  *      eno1    0.0.0.0/0            0.0.0.0/0            ctstate NEW,RELATED,ESTABLISHED

56182 4456K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 80,443 ctstate NEW,ESTABLISHED

    0     0 ACCEPT     udp  --  *      virbr0  192.168.122.0/24     192.168.122.0/24     ctstate NEW,ESTABLISHED

noter que celle ci qui a changer, dans la Chaine OUTPUT:

0     0 ACCEPT     udp  --  *      virbr0  192.168.122.0/24     192.168.122.0/24     ctstate NEW,ESTABLISHED

Votre aide est toujours la bienvenue si vous avez plus restrictif comme règles car je ne sais pas si il faut mettre port précis ou non dans cette dite règle, mais bon je me contenterai de sa pour le moment

et a toi @Switch pour m'avoir mis sur la bonne piste.

Switch · 31-12-2019 17:06:25

Bravo !

Je ne suis pas à l'aise avec lecture des règles iptables ( on dit encore comme ca ? ). Ton dernier post montre la config complète de ton firewall ou seulement les règles en lien avec la machine virtuelle ?
Je ne vois que peu de lignes ne faisant pas référence à vibr0 ( le pont de libvirt donc ).
Tu as trouvé en réfléchissant pour ajouter ta dernière règle udp ou tu t'es basé sur la doc libvirt que j'avais proposée ?

Je demande ca car ca serait sympa de mettre un petit mot dans la page KVM du wiki DF concernant le parefeu

Ca évitera de revoir tant de violence sur les smileys :

Mca a écrit :

C'est la que les problèmes commence

Dernière modification par Switch (31-12-2019 17:08:26)

Mca · 31-12-2019 17:47:46

Je te remercie

Sa se dit toujours iptables

, malgrer qu il vont finir petit a petit par se faire remplacer par nftables d' après ce que j ai compris,

C'est la config de mon firewall sur le coup tien voici les règle lier uniquement a KMV:

Celle qui on eter configurer automatiquement par virt-manager pour être en réseau NAT des que l' on active le réseau virtuel:

-Table Filter:

Chain INPUT (policy DROP 92 packets, 43290 bytes)

 pkts bytes target     prot opt in     out     source               destination         

    0     0 ACCEPT     udp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0            udp dpt:53

    0     0 ACCEPT     tcp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0            tcp dpt:53

    0     0 ACCEPT     udp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0            udp dpt:67

    0     0 ACCEPT     tcp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0            tcp dpt:67

Chain FORWARD (policy DROP 0 packets, 0 bytes)

 pkts bytes target     prot opt in     out     source               destination         

    0     0 ACCEPT     all  --  *      virbr0  0.0.0.0/0            192.168.122.0/24     ctstate RELATED,ESTABLISHED

    0     0 ACCEPT     all  --  virbr0 *       192.168.122.0/24     0.0.0.0/0           

    0     0 ACCEPT     all  --  virbr0 virbr0  0.0.0.0/0            0.0.0.0/0           

    0     0 REJECT     all  --  *      virbr0  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable

    0     0 REJECT     all  --  virbr0 *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable

Chain OUTPUT (policy DROP 150 packets, 11571 bytes)

 pkts bytes target     prot opt in     out     source               destination         

    0     0 ACCEPT     udp  --  *      virbr0  0.0.0.0/0            0.0.0.0/0            udp dpt:68

    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 80,443 ctstate NEW,ESTABLISHED

-Table NAT:

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)

 pkts bytes target     prot opt in     out     source               destination         

    0     0 RETURN     all  --  *      *       192.168.122.0/24     224.0.0.0/24        

    0     0 RETURN     all  --  *      *       192.168.122.0/24     255.255.255.255     

    0     0 MASQUERADE  tcp  --  *      *       192.168.122.0/24    !192.168.122.0/24     masq ports: 1024-65535

    0     0 MASQUERADE  udp  --  *      *       192.168.122.0/24    !192.168.122.0/24     masq ports: 1024-65535

    0     0 MASQUERADE  all  --  *      *       192.168.122.0/24    !192.168.122.0/24

Celle que j ai rajouter manuellement:

-Table filter

Chain OUTPUT (policy DROP 150 packets, 11571 bytes)

0     0 ACCEPT     udp  --  *      virbr0  192.168.122.0/24     192.168.122.0/24     ctstate NEW,ESTABLISHED

je me suis principalement aider grâce a cette docs qui parle du réseau local http://olivieraj.free.fr/fr/linux/infor … 03-06.html ,on va dire que j ai du regarder pas mal de docs dont celle que tu ma donner pour voir les divers option et comprendre un peux prés ce qui bloquait,

Par contre pour le lien sa date de 2003 donc sûrement incomplet maintenant,

sa serai cool en effet de rajouter sa au wiki DF car je n ai vu aucune doc me parler de ce problème majoritairement les gens ne savent pas activer le réseau virtuel, donc des que tu fait une recherche tu tombe que sur sa et en plus beaucoup de gens laisse la politique de la chaîne OUTPUT en ACCEPT donc peux de monde a ce problème.

ps: y a sûrement un moyen de placer la règle en passant par les fichier de config de KMV pour ne l activer que seulement en cas de démarrage du réseau virtuel, c est plus propre je pense, mais j ai pas encore chercher.

Dernière modification par Mca (31-12-2019 18:01:01)

Switch · 31-12-2019 18:18:57

Je suppose que c'est libvirt qui gère la partie réseau et parefeu et pas directement KVM. Mais merci pour les retours. Je me suis pas embêté , j'ai mis le lien de ton post dans le Wiki

https://debian-facile.org/doc:systeme:k … feu-et-kvm . Si une personne veut améliorer en ajoutant une explication ca sera top.
Merci à toi Bonne soirée.

Mca · 31-12-2019 20:25:51

Oui en effet c est bien libvirt je m'en mêle avec tout ses noms

Merci a toi aussi bonne soirer

Debian-facile

#1 30-12-2019 00:54:21

[Résolu] Virt-Manager QEMU/KVM Aucune conexion réseau

#2 30-12-2019 02:01:12

Re : [Résolu] Virt-Manager QEMU/KVM Aucune conexion réseau

#3 30-12-2019 09:46:17

Re : [Résolu] Virt-Manager QEMU/KVM Aucune conexion réseau

#4 30-12-2019 17:22:41

Re : [Résolu] Virt-Manager QEMU/KVM Aucune conexion réseau

#5 30-12-2019 17:29:06

Re : [Résolu] Virt-Manager QEMU/KVM Aucune conexion réseau

#6 31-12-2019 10:16:22

Re : [Résolu] Virt-Manager QEMU/KVM Aucune conexion réseau

#7 31-12-2019 17:06:25

Re : [Résolu] Virt-Manager QEMU/KVM Aucune conexion réseau

#8 31-12-2019 17:47:46

Re : [Résolu] Virt-Manager QEMU/KVM Aucune conexion réseau

#9 31-12-2019 18:18:57

Re : [Résolu] Virt-Manager QEMU/KVM Aucune conexion réseau

#10 31-12-2019 20:25:51

Re : [Résolu] Virt-Manager QEMU/KVM Aucune conexion réseau

Pied de page des forums