Как внутри контейнера OpenVZ получить интернет?

Question

[Vladimir Zhurkin]

OS Debian GNU/Linux 7.6 (wheezy).

К сожалению у меня не получается получить интернет внутри контейнера при использования veth.
Если я использую venet то все работает хорошо.

Теперь немного о том как устроена сеть.

vlan9 - ISP
vlan10 - сеть между роутером и коммутатором L2+
vlan11 - сеть с ПК.

Есть коммутатор L2+ на который приходит интернет по vlan9.
Vlan 10 это сеть до роутера который делает NAT vlan9 обычным маскарадом -A POSTROUTING -o bond0.9 -j MASQUERADE .
На роутере сделано объединение интерфейсов (LACP) с коммутатора L2+ по стандарту 802.3ad.
vlan11 это обычная сетка, маршрутизацией для нее занимается коммутатор L2+ .

Конфиг роутера.

#bonding
auto bond0
iface bond0 inet manual
bond-mode 802.3ad
bond-miimon 100
bond-downdelay 200
bond-updelay 200
bond-lacp-rate 4
bond-slaves eth0 eth1

#vlan 9
auto bond0.9
iface bond0.9 inet dhcp
hwaddress ether 00:00:0C:97:BA:B8
vlan_raw_device bond0

#vlan 10
auto bond0.10
iface bond0.10 inet static
address 10.14.248.1
netmask 255.255.255.252
up route add -net 10.14.249.0/24 gw 10.14.248.2
down route del -net 10.14.249.0/24 gw 10.14.248.2
vlan_raw_device bond0

#vlan 11
auto bond0.11
iface bond0.11 inet manual
vlan_raw_device bond0

#bridge vlan11 for VM
auto vmbrd0v11
iface vmbrd0v11 inet manual
bridge_ports bond0.11
bridge_stp on
bridge_fd 0

Роутинг

10.14.248.0/30 dev bond0.10 proto kernel scope link src 10.14.248.1
xxx.xxx.xxx.128/25 dev bond0.9 proto kernel scope link src xxx.xxx.xxx.236
10.14.249.0/24 via 10.14.248.2 dev bond0.10
default via xxx.xxx.xxx.129 dev bond0.9

Коммутатор L2 имеет ip 10.14.248.2

Проблема заключается вот в чем. Я поднимаю на роутере контейнер с виртуальной машиной, которая будет частью сети vlan11. Для этого я на роутере поднял vlan11 (bond0.11) и bridge (vmbrd0v11).
Сеть контейнеру даю так vzctl set CTID --netif_add eth0,,,,vmbrd0v11 --save

veth1234.0 добавлен в мост vmbrd0v11

bridge name bridge id STP enabled interfaces
vmbrd0v11 8000.0018518d937b yes bond0.11
veth1234.0

Контейнер получает по DHCP

eth0: mtu 1500 qdisc noqueue state UNKNOWN
link/ether 00:18:51:ed:5c:10 brd ff:ff:ff:ff:ff:ff
inet 10.14.249.111/24 brd 10.14.249.255 scope global eth0
inet6 fe80::218:51ff:feed:5c10/64 scope link
valid_lft forever preferred_lft forever

роутинг

10.14.249.0/24 dev eth0 proto kernel scope link src 10.14.249.111
default via 10.14.249.1 dev eth0

В итоге контейнер видит всю сеть, но не может выйти в интернет.
Пинги попадают на интерфейс bond0.9
IP (tos 0x0, ttl 62, id 0, offset 0, flags [DF], proto ICMP (1), length 84)
10.14.249.111 > 8.8.8.8: ICMP echo request, id 2001, seq 1, length 64
но не доходят (смотрел на своих удаленных серверах)

sysctl добавил

net.ipv4.ip_forward = 1
net.ipv6.conf.default.forwarding = 1
net.ipv6.conf.all.forwarding = 1
net.ipv4.conf.default.proxy_arp = 0

# Enables source route verification
net.ipv4.conf.all.rp_filter = 1

# Enables the magic-sysrq key
kernel.sysrq = 1

# We do not want all our interfaces to send redirects
net.ipv4.conf.default.send_redirects = 1
net.ipv4.conf.all.send_redirects = 0

Честно говоря у меня нет мыслей куда копать и что трогать.

Answer 1

[Vladimir Zhurkin]

надо в sysctl net.bridge.bridge-nf-call-iptables=0 .
После этого у меня все заработало как надо.
еще рекомендуют
sysctl net.bridge.bridge-nf-call-arptables=0

В итоге примерно получается надо изменить для openvz (это предлагается на сайте)

net.ipv4.ip_forward = 1
net.ipv4.conf.default.forwarding=1
net.ipv4.conf.default.proxy_arp = 0

# Enables source route verification
net.ipv4.conf.all.rp_filter = 2

# Enables the magic-sysrq key
kernel.sysrq = 1

# TCP Explict Congestion Notification
#net.ipv4.tcp_ecn = 0

# we do not want all our interfaces to send redirects
net.ipv4.conf.default.send_redirects = 1
net.ipv4.conf.all.send_redirects = 0

И дополнительно неплохо
net.bridge.bridge-nf-call-iptables = 0
net.bridge.bridge-nf-call-arptables = 0
net.bridge.bridge-nf-call-ip6tables = 0
net.bridge.bridge-nf-filter-vlan-tagged = 0

Answer 2

[Владимир]

где висит 10.14.249.1 там и смотрите

Comments

[Vladimir Zhurkin]

Извените, а что там смотреть ? Это коммутатор и пакеты явно уходят.
Это видно и по tcpdump и по тросеровки

traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
1 10.14.249.1 (10.14.249.1) 2.547 ms 3.731 ms 5.065 ms
2 10.14.248.1 (10.14.248.1) 0.256 ms 0.226 ms 0.209 ms
3 * * *

Конечно можно на коммутаторе сделать port mirror и мониторить пакеты, но мне кажется сам роутер по каким то причинам прибивает пакет.

[Владимир]

ok
покажите с роутера
iptables -L FORWARD -vn

[Vladimir Zhurkin]

@rostel Я забыл написать, что правил нет. Я все отключил кроме маскарада.
iptables -L FORWARD -vn
Chain FORWARD (policy ACCEPT 11M packets, 10G bytes)
pkts bytes target prot opt in out source destination

[Владимир]

iptables -t nat -A POSTROUTING -j LOG
делаете несколько запросов из контейнера
iptables -t nat -D POSTROUTING 2
tail -n 20 /var/log/syslog

[Владимир]

лучше с фильтром по IP
iptables -t nat -A POSTROUTING -s 10.14.249.111 -j LOG
чтоб мусора не хапнуть вагон

[Vladimir Zhurkin]

@rostel Ну собвстено там все то же, что можно собрать и tcpdump
Поставил уровень log на debug

wget запрос index.html с yandex.ru
Лезит к 249.2 ДНС запросом
Oct 12 23:56:09 hawk kernel: [285897.405371] IN= OUT=vmbrd0v11 PHYSIN=veth1234.0 PHYSOUT=bond0.11 SRC=10.14.249.111 DST=10.14.249.2 LEN=55 TOS=0x00 PREC=0x00 TTL=64 ID=14333 DF PROTO=UDP SPT=44922 DPT=53 LEN=35
Лезим на yandex и тишина.
Oct 12 23:56:09 hawk kernel: [285897.431522] IN= OUT=vmbrd0v11 PHYSIN=veth1234.0 PHYSOUT=bond0.11 SRC=10.14.249.111 DST=93.158.134.11 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=59705 DF PROTO=TCP SPT=60938 DPT=80 WINDOW=14600 RES=0x00 SYN URGP=0

tracert к google
Oct 12 23:52:07 hawk kernel: [285655.224181] IN= OUT=vmbrd0v11 PHYSIN=veth1234.0 PHYSOUT=bond0.11 SRC=10.14.249.111 DST=8.8.8.8 LEN=60 TOS=0x00 PREC=0x00 TTL=5 ID=27438 PROTO=UDP SPT=55393 DPT=33448 LEN=40
Oct 12 23:52:07 hawk kernel: [285655.224263] IN= OUT=vmbrd0v11 PHYSIN=veth1234.0 PHYSOUT=bond0.11 SRC=10.14.249.111 DST=8.8.8.8 LEN=60 TOS=0x00 PREC=0x00 TTL=6 ID=27439 PROTO=UDP SPT=48460 DPT=33449 LEN=40
Oct 12 23:52:07 hawk kernel: [285655.224392] IN= OUT=vmbrd0v11 PHYSIN=veth1234.0 PHYSOUT=bond0.11 SRC=10.14.249.111 DST=8.8.8.8 LEN=60 TOS=0x00 PREC=0x00 TTL=6 ID=27440 PROTO=UDP SPT=51145 DPT=33450 LEN=40
Oct 12 23:52:07 hawk kernel: [285655.224461] IN= OUT=vmbrd0v11 PHYSIN=veth1234.0 PHYSOUT=bond0.11 SRC=10.14.249.111 DST=8.8.8.8 LEN=60 TOS=0x00 PREC=0x00 TTL=6 ID=27441 PROTO=UDP SPT=50316 DPT=33451 LEN=40
Oct 12 23:52:07 hawk kernel: [285655.224517] IN= OUT=vmbrd0v11 PHYSIN=veth1234.0 PHYSOUT=bond0.11 SRC=10.14.249.111 DST=8.8.8.8 LEN=60 TOS=0x00 PREC=0x00 TTL=7 ID=27442 PROTO=UDP SPT=49916 DPT=33452 LEN=40
Oct 12 23:52:07 hawk kernel: [285655.226965] IN= OUT=vmbrd0v11 PHYSIN=veth1234.0 PHYSOUT=bond0.11 SRC=10.14.249.111 DST=10.14.249.2 LEN=70 TOS=0x00 PREC=0x00 TTL=64 ID=34224 DF PROTO=UDP SPT=47340 DPT=53 LEN=50
Oct 12 23:52:07 hawk kernel: [285655.247412] IN= OUT=vmbrd0v11 PHYSIN=veth1234.0 PHYSOUT=bond0.11 SRC=10.14.249.111 DST=8.8.8.8 LEN=60 TOS=0x00 PREC=0x00 TTL=7 ID=27443 PROTO=UDP SPT=43886 DPT=33453 LEN=40
Oct 12 23:52:07 hawk kernel: [285655.247850] IN= OUT=vmbrd0v11 PHYSIN=veth1234.0 PHYSOUT=bond0.11 SRC=10.14.249.111 DST=10.14.249.2 LEN=70 TOS=0x00 PREC=0x00 TTL=64 ID=34245 DF PROTO=UDP SPT=46182 DPT=53 LEN=50
Oct 12 23:52:07 hawk kernel: [285655.273443] IN= OUT=vmbrd0v11 PHYSIN=veth1234.0 PHYSOUT=bond0.11 SRC=10.14.249.111 DST=8.8.8.8 LEN=60 TOS=0x00 PREC=0x00 TTL=7 ID=27444 PROTO=UDP SPT=37803 DPT=33454 LEN=40
Oct 12 23:52:07 hawk kernel: [285655.273586] IN= OUT=vmbrd0v11 PHYSIN=veth1234.0 PHYSOUT=bond0.11 SRC=10.14.249.111 DST=8.8.8.8 LEN=60 TOS=0x00 PREC=0x00 TTL=8 ID=27445 PROTO=UDP SPT=36746 DPT=33455 LEN=40
Oct 12 23:52:12 hawk kernel: [285660.303618] IN= OUT=vmbrd0v11 PHYSIN=veth1234.0 PHYSOUT=bond0.11 SRC=10.14.249.111 DST=8.8.8.8 LEN=60 TOS=0x00 PREC=0x00 TTL=8 ID=27446 PROTO=UDP SPT=52044 DPT=33456 LEN=40
Oct 12 23:52:12 hawk kernel: [285660.303804] IN= OUT=vmbrd0v11 PHYSIN=veth1234.0 PHYSOUT=bond0.11 SRC=10.14.249.111 DST=8.8.8.8 LEN=60 TOS=0x00 PREC=0x00 TTL=8 ID=27447 PROTO=UDP SPT=35908 DPT=33457 LEN=40

[Владимир]

sysctl -w net.ipv4.conf.all.rp_filter=0
если не поможет обложиться логами в iptables на каждой цепочке каждой таблицы на пути пакетов
путь проверки пакетов ru.wikibooks.org/wiki/Iptables

[Vladimir Zhurkin]

@rostel rp_filter я пробовал первым делом. Сейчас я думаю соберу пакеты tcpdump и буду смотреть в wareshark. Потом стучать разработчикам.

[Владимир]

tcpdump не всегда корректно показывает инициатора особенно когда трафик инициируется и принимается на одном и том же интерфейсе который у вас bond0 хоть он и разбит на кучку vlan
поэтому снимать через LOG в iptables

[Vladimir Zhurkin]

@rostel Я решил вопрос. Пришел читать много документации. В итоге надо в sysctl net.bridge.bridge-nf-call-iptables=0 .
После этого у меня все заработало как надо.
еще рекомендуют
sysctl net.bridge.bridge-nf-call-arptables=0

В итоге примерно получается надо изменить для openvz (это предлагается на сайте)

net.ipv4.ip_forward = 1
net.ipv4.conf.default.forwarding=1
net.ipv4.conf.default.proxy_arp = 0

# Enables source route verification
net.ipv4.conf.all.rp_filter = 2

# Enables the magic-sysrq key
kernel.sysrq = 1

# TCP Explict Congestion Notification
#net.ipv4.tcp_ecn = 0

# we do not want all our interfaces to send redirects
net.ipv4.conf.default.send_redirects = 1
net.ipv4.conf.all.send_redirects = 0

И дополнительно неплохо
net.bridge.bridge-nf-call-iptables = 0
net.bridge.bridge-nf-call-arptables = 0
net.bridge.bridge-nf-call-ip6tables = 0
net.bridge.bridge-nf-filter-vlan-tagged = 0

[Владимир]

вопрос бы решился в тот же день если бы показали то что у вас действительно было в выхлопе
iptables -L FORWARD -vn
т.к. sysctl net.bridge.bridge-nf-call-iptables=0 как раз и отключает проверку форвардинга на бриджах

[Vladimir Zhurkin]

@rostel я вам и сейчас покажу
iptables -L FORWARD -vn
Chain FORWARD (policy ACCEPT 1402K packets, 1198M bytes)
pkts bytes target prot opt in out source destination
как вам это поможет ?