Bridge anomália

Debian GNU/Linux

Hi!

 

Vmware-en futtatotok debian 11.02-t, a VM-nek az egyik hálózati kártyát trunk-re konfigoltam, debian-on pedig próbálok bridge-t összehozni, de sajnos nem akaródzik működni. A bridge-t így rakom össze:

=======================
auto br221
iface br221 inet static
        address 192.168.221.109
        netmask 255.255.255.0
        network 192.168.221.0
        broadcast 192.168.221.255
        bridge_ports ens224.221
        bridge_stp off
        bridge_waitport 0
        bridge_fd 0
==========================

Feljön a bridge,látszólag jónak tűnik, brctrl show-n is látszik, de vele egy hálózatban lévő eszközöket nem tudom pingetni.

Ellenben, ha "sima" tagelt interface-t rakok össze imigyen:

=======================

auto ens224.221
iface ens224.221 inet static
        vlan-raw-device ens224
        address 192.168.221.109
        netmask 255.255.255.0
        network 192.168.221.0
        broadcast 192.168.221.255
=======================

akkor szépen ping-nek a 221-es vlan-ban lévő eszközök.

 

Valaki elárulná, hogy mit nézek el? Merre nézelődjek?

 

Előre is köszönöm.

  • 259 megtekintés

( debtamas88 | 2022. 03. 22., k – 15:07 )

Esetleg nézd meg vswitch / port-group beállításokat ami a VM-hez tartozik:

vswitch / security:
    Promiscoius mode: [ ACCEPT ]
    MAC Address change:  [ ACCEPT ]
    Forged transmits: [ ACCEPT ]

Ezt csak az adott Node-re belépve tudod állítani, vCenter-ből nem.

( kallaics | 2022. 03. 22., k – 15:44 )

A fentiek ellenőrzése után érdemes lehet először a brigde-et összerakni (interface name br, bridge_ports ens224), majd külön konfiggal venni le a tag-et (interface name br.221).

( royal v | 2022. 03. 22., k – 17:52 )

  Linux kernel has changed bridge MAC address selection.

  In older Linux kernels the MAC of the bridge was the lower mac of the
  devices attached to it, this is no longer the case now at Bullseye. The
  kernel now makes up a completely new MAC address.

  This means that if you rely on your bridge's MAC address for something
  like DHCP leases or similar stuff you'll loose this feature. The only way
  to go back to your old MAC address is to assign it to the bridge
  explicitly using bridge_hw followed by the wanted MAC address on your
  bridge definition.

Ez a bridge-utils doksijából van. Szerintem egy próbát megérne, hogy a ens224.221 MAC addressét beállítsd a br221-hez, akár csak egy "ip link set br221 address XX:XX:XX:XX:XX:XX" erejéig....

https://eVIR.hu
Elektronikus Vállalatirányítási Információs Rendszer

Nem hiba volt ez, hanem a vmware oldali config nem jó, így csak körbetáncoltad. Pl. ha akarsz még további bridgeket más vlanokhoz, ugyanígy fogsz járni. Ezért sokkal célszerűbb a fent írt security beállításokat módosítani esxi oldalon (a mac address change és a forged transmit legyen accept).

Igazából ez rögtön elszállt volna a következő bridge port bekötésekor. Tehát nem csak új bridge esetén, hanem az adott bridge-be tett következő eszköznél is előjött volna ismét (te pusztán azt a MAC címet fixáltad, amit maga a guest OS használ).

Amit ne feledj, hogy amiket kikapcsoltál, azok biztonsági beállítások voltak. Ezeknek az volt a céljuk, hogy egy guest rendszer se tudjon random MAC forráscímekkel kommunikálni (esetleg támadni). Most:

a) megcsinálod magad a szűrést a guest oldalon, hogy a bridge-be rakott egyetlen porton se lehessen randalírozni

b) megbízol a bridge-be tett eszközökben, és nem csinálsz semmit. De akkor se feledd, hogy biztonsági opciót kapcsoltál ki :-)

15+ évig accepten voltak ezek, a 7.0 óta lett default reject. Jellemzően mindenféle nagyvállalati audit miatt egyszerűbb volt a Vmware-nek engedni a nyomásnak, és rejectelni, így a sok ezer hostot üzemeltető cégeknek könnyebb lett az élet pl. egy CIS megfelelőség kapcsán. Persze ha idegen (vagy nem megbízhatónak tekintett) vm-ek vannak a rendszeren, akkor érdemes átgondolni a dolgot, az tény.