Auteur Sujet: Port VMKernel ESXi 6  (Lu 2074 fois)

0 Membres et 1 Invité sur ce sujet

DamienC

  • Abonné Sosh fibre
  • *
  • Messages: 2 217
  • FTTH ↓ 300Mbps ↑ 300 Mbps sur Brest (29)
Port VMKernel ESXi 6
« le: 11 novembre 2020 à 15:22:38 »
Bonjour à tous,

Je rencontre un problème avec mes ESXi.
Voici mon installation:

- J'ai deux machines ESXi 6.7, toutes deux distantes (différents FAI). Toutes deux ont une IP publiques, servant à se connecter au VMKernel par défaut, pour le management.
- J'ai installé sur chaque ESX un pare-feu, et j'ai monté un tunnel IPSec pour faire communiquer les deux LAN pour mes VMs.
Réseau 1 (ESX1): 172.30.29.0/24
Réseau 2 (ESX2): 172.30.30.0/24
J'ai fait une Policy rule sur mes firewall pour autoriser tous les protocoles et tous les types de traffic depuis et vers IPSec.


Pour sécuriser un minimum mon infra, j'ai l'habitude d'ajouter de nouveaux ports VMKernel sur le LAN de mes VMs, pour ne pouvoir s'y connecter que depuis le LAN, puis de supprimer le VMKernel sur la partie WAN.

J'ai donc ajouté mon port VMKernel comme suit, avec l'IP 172.30.30.252:


Je me retrouve donc avec un port de management, directement sur mon "LAN" où est présent mon firewall, qui fait la liaison, via IPSec, vers l'autre ESXi:


Par défaut, ESXi utilise le stack réseau par défaut, basé sur l'IP publique (et donc utilise la GW du WAN), j'ai donc défini via le CLI la gateway (le firewall de l'ESXi) à utiliser pour le port vmk1:


Le but est que la VM 172.30.29.101 (présente sur l'ESX1) arrive à joindre le port de management de l'ESX2, via IPsec. Je lance donc un ping depuis l'ESX2 vers la VM en question:


Le ping passe bien, idem dans l'autre sens:


Je me dis cool, j'ai réussi du premier coup. J'essai donc de me connecter à l'interface de management de l'ESX2, à partir d'une VM sur l'ESX1, et paf, rien ne se passe.
je lance alors un tcpdump sur l'ESX2, et relance ma requête HTTPS:

ça me semble bien communiquer... du coup je ne comprend pas.

J'ai pensé à un souci de MTU, peut-être que les entêtes HTTPS de passe pas via l'IPSec, il faut surement descendre un peu? Qu'en penseez-vous?

Merci d'avoir lu de pavé...

Cordialement,
DamienC

DamienC

  • Abonné Sosh fibre
  • *
  • Messages: 2 217
  • FTTH ↓ 300Mbps ↑ 300 Mbps sur Brest (29)
Port VMKernel ESXi 6
« Réponse #1 le: 11 novembre 2020 à 16:01:02 »
Je m'auto répond, j'ai un début de réponse.

En testant divers combinaison MTU/MSS sur mes interfaces firewall, j'ai réussi à tout faire fonctionner.
MTU de l'interface LAN: 1300 MSS: 1200

En essayant de remonter un peu, (1380,1350,1320...) ça ne passe plus.

Je suis un peu étonné de cette solution, je trouve que j'ai du énormément baisser la fragmentation pour que ça fonctionne...
A voir au niveau perfs si ça tient la route maintenant...

Si un expert peu m'expliquer, je suis preneur

Cdt,
DamienC