АЯ
Хорошее замечание, надо добавить в правила оформления проблемы) (про чувствительные данные в логах)
Привычка)
Size: a a a
2020 February 29
СГ
Да, на интерфейсе, который пробрасывается на ВМ(тот самый бридж) без него фв вообще не работает, и написанно, что надо включать. К конфигам щас нет доступа, не дома, но там все дефолтно. С ip xxx на порт 22 accept, и так для днс, веб портов и парочка кастомных. По умолчанию input - drop. За натом не спрятать, у каждой вм свой ИП. Больше не понятно, одни и те же правила, а эффект разный. Ощущение что и правда как выше написали дело в mtu или в connection state
А до вашей целевой ВМ, куда ssh «тормозит» пинги проходят?
K
А до вашей целевой ВМ, куда ssh «тормозит» пинги проходят?
да.
СГ
да.
А пинг с ключом -s 8000 работает?
K
А пинг с ключом -s 8000 работает?
ага 150мс
СГ
ага 150мс
Если нет потерь пакетов, то важна не задержка а сам факт что работает. Если бы мту был поломан, то у вас бы большие пакеты не проходили. Пробуйте подключиться к ssh с ключом -v и смотрите что происходит во время паузы. Ну и можно tcpdump трафик посмотреть перед целевой ВМ
EP
Народ, обьясните, а OVS в чем резон выбирать, тот же бридж или бонд
АЯ
Народ, обьясните, а OVS в чем резон выбирать, тот же бридж или бонд
Это замена стандартному с полнофункциональными вланами и RSTP, например
АЯ
В чем-то на микротик в свитч-конфигурации похоже
АЯ
Если вдруг стандартного не хватает
АЯ
(Вот как внутри стандартного линуксового бриджа управлять вланами виртуалок? вопрос не праздный, я в чем-то нуб))
EP
О, я понял, спасибо )
АЯ
Велкам)
АЯ
Спасибо) жаль щас не могу за неимением доступа. Я ставил на году, дополняя destination ip. Меня во всем этом смущает только одно. На одной из ВМ крутиться Веста, с иптаблесов настроенным (в данный момент офф). Так вот там input drop, и те же настройки , что и на пве-фв. И все прекрасно). Отсюда мой вывод что я где-то криворучу в настройках, но не пойму в каких), но явно не в правилах. Буду копать по наводкам выше)
Я все думаю про твои конфиги, потому, что все ещё слабо понимаю, но общая концепция такова - если настраиваем пве-фв в хост-режиме (на дц), то инпут дроп, выше разрешить отдельные вещи для управления самим дц, ниже ФОРВАРД нужных портов до виртуалок. Если же настраиваем в вм-режиме (пве-фв на виртуалках), то нужные ресурсы разрешаем в ИНПУТ-цепочке, форвардить там ничего не надо без особой задачи. У тебя так?
АЯ
Простите, фигню сморозил, забыл, что у пве нет форварда)
АЯ
иптабелс, да не тот
K
Я все думаю про твои конфиги, потому, что все ещё слабо понимаю, но общая концепция такова - если настраиваем пве-фв в хост-режиме (на дц), то инпут дроп, выше разрешить отдельные вещи для управления самим дц, ниже ФОРВАРД нужных портов до виртуалок. Если же настраиваем в вм-режиме (пве-фв на виртуалках), то нужные ресурсы разрешаем в ИНПУТ-цепочке, форвардить там ничего не надо без особой задачи. У тебя так?
K
Простите, фигню сморозил, забыл, что у пве нет форварда)
вот у меня группа такая, создана на дц, применена на ВМ (в пве)
K
эти же настройки, только под консольный формат иптаблес, прописанные на самых машинах - работают как и предполагалось, если же путем графического добавления в пве - долгий отклик. вот tcpdumpом только не прогонял пока еще, как посоветовал Сергей.
АЯ
эти же настройки, только под консольный формат иптаблес, прописанные на самых машинах - работают как и предполагалось, если же путем графического добавления в пве - долгий отклик. вот tcpdumpом только не прогонял пока еще, как посоветовал Сергей.
Теперь понял, в чем проблема) я думал про иптаблес в самих гостевых ОС) тогда посоветую поставить себе (откуда соединяешься) конфиги ручные и гуишные точно одинаковые? Сделай дифф (можно даже онлайн), вдруг пара отличий найдётся.