Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 14-02-2020 11:02:05

lee
Membre
Distrib. : Debian 10 (buster)
Noyau : Linux 4.19.0-6-amd64
(G)UI : Gnome
Inscription : 01-10-2019

Réseau et virtualisation

Bonjour la communauté smile

Svp, pourriez-vous m'aider à réaliser la configuration suivante sur mon serveur OVH ?

Donc, sur un serveur distant, je voudrai :
- conserver l'adresse principale du serveur uniquement pour établir une connexion VPN (via OpenVPN), pas de service web ou autre
- faire des VM (avec LibVirt et KVM) qui peuvent disposer d'une adresse publique ou non
- les VM doivent pouvoir être accessibles en SSH et depuis Virtual Machine Manager via le VPN uniquement (port public SSH fermé sur toutes les ip du serveur, port OpenVPN ouvert uniquement sur l'adresse principale du serveur)
- sécuriser le tout avec (pour démarrer) NFTables et Fail2ban

Le serveur est sur Debian 10, la connexion VPN fonctionne (interface Tun), VMM peut gérer et administrer les VM mais des soucis avec OpenVPN notamment (uniquement? pas certain...). Pour l'instant j'essaie de créer un réseau virtuel LibVirt genre 'back_office' qui doit être accessible aux utilisateurs (pour l'instant uniquement moi) VPN et disposer d'un accès internet natté mais pas directement accessible depuis Internet mais je n'y arrive pas. Je ne dispose actuellement que d'une seule ip public donc pour l'instant je ne peux pas configurer le réseau virtuel 'production' routé sur (et donc accessible depuis) Internet : ce sera à traiter ultérieurement (depuis un autre post si vous préférez).

Les problèmes, malgré les règles NFT créées automatiquement par LibVirt :
- lorsque NFT est actif les VM ne reçoivent pas d'adresses IP sur le réseau 'back_office'
- lorsque NFT est inactif (nft flush ruleset - oui, bourrin...) les VM obtiennent une ip, ping la passerelle de leur sous-réseau (gérée par LibVirt) mais n'accèdent pas à Internet...
- NFT inactif toujours, les VM ping l'adresse (OpenVPN) associé à tun0 sur le serveur, donc dans le VPN mais n'accèdent pas au(x) client(s) VPN (mon poste)
- depuis le VPN je ne ping pas du tout le réseau LibVirt sur mon serveur... (j'aimerai ne pas ajouter de règle de routage en dur sur mon poste)

Voilà, un topo succin de la situation, je vous fournirai les informations nécessaires au fil de l'eau si cela vous convient. Si vous avez des idées de solutions ou d'évolution de l'architecture, je suis grandement preneur.

merci de m'avoir lu, dans l'attente de vos retour,
Debianement votre, Lee

Hors ligne

Pied de page des forums