Reprise du message précédent :
Bah mon usage des bridge est super limité et basique donc je peux pas trop t'aider

Je demandais juste pour le tcpdump, parce que si ça se trouve tu repéreras à quel niveau les requêtes ARP ne passent plus, du coup ce sera peut-être plus facile (pour toi) de comprendre

tu joues à Tron

Aïe ma tête

en fait on se contrefuck de tout ce qui est ssl and co

Ca m'étonne vraiment...

Sur le lab ici on a un truc dans ce style:

Donc dans mon cas j'ai bien une VM avec un tunnel et d'autres équipements derrière et ca forward bien de partout la ou il faut, comme il le faut.
Ou alors j'ai pas compris la problématique

Tu peux aussi vérifier ca sur ton vswitch:
http://pubs.vmware.com/vsphere-4-e [...] witch.html

A la par contre clairement
Du coup je comprend mieux pourquoi tu te soucis tant des mac address.

Clairement.
A la limite regarde le lien que j'ai mis dans mon précédent post concernant la sécurité des ports.

 
Connais pas les junosphere
 

 
J'approuve.

 

Tu peux plus accuser le vswitch  

Le vswitch ne fait pas de Mac learning , vu qu'il connait toutes les mac.
En mode promiscious, tu fais remonter tout le trafic du vlan vers ton interface.
Ton tcpdump met la nic de ta vm en promiscious egalement, donc les paquets remontent jusqu'à l'os.
 
Regarde esx et openvpn, c'est exactement ton problème.
 
Sinon, je connais la réponse du resp datacenter : vire le mode promiscious de suite !
Pour des raisons de sécu, c'est à proscrire ...

promiscious = promiscious sur une NIC = span sur un switch

By default, a guest operating system's virtual network adapter only receives frames that are meant for it. Placing the guest's network adapter in promiscuous mode causes it to receive all frames passed on the virtual switch that are allowed under the VLAN policy for the associated portgroup. This can be useful for intrusion detection monitoring or if a sniffer needs to to analyze all traffic on the network segment.

A priori dès que tu parles de bridge sur vswitch ca parle aussi de promiscious mode
 

 
Mais ca ressemble beaucoup à un contournement
 
Par contre que ca fonctionne que quelques minutes après l'activation... c'est bizarre.

 
C'est le prix à payer pour pas respecter le principe KISS.
Puis faire mumuse avec les vswitch...

 
C'est pour savoir si on peu facilement reconnaitre des flux voip de flux classiques sans en analyser ni le contenu, ni avoir aucunes informations autre que "c'est un flux" et faire du QoS en aveugle. Sachant que provenant d'une même adresse, je peu avoir des flux voip ou data sans distinction (donc pas de repérage des flux en fonction de leurs provenance). En gros, l'idée, c'est que j'ai un client qui a un lien LS, entre deux (voir plus) lieux géographiques, ce lien lui sert pour tout, et il a pas envie de dédier des liens par utilisation (1 pour la voip, 1 pour les data, 1 pour la réplication etc ...) et faudrai faire du QoS la dessus sachant qu'a certaines périodes de la journée (stratégie IT a 2 sauvegarde/24h) le data doit être prioritaire pour une durée de 2h, pendant 8h (de 9 a 19h) le voip doit être prio ... Mon boulanger il fait comment pour savoir quand il doit lancer ses pains au chocolat et quand il doit lancer ses baguettes en gros ?
 
Edit : ah oui j'oubliais une précision sinon ça serait pas drôle, mon client veux que le QoS soit fait au plus proche de l'encapsulation SSL (tout le flux est encapsulé et il veux que le QoS soit fait sur le flux encapsulé) moi personnellement je lui ai dit qu'il demandait un peu la lune et que son QoS je sais lui faire après ses routeurs de LS mais pas avant.

En gros, la topo c'est :
voip/data > routeur > encapsulation > lien < desencapsulation < routeur < voip/data
 
Le client voudrait du QoS placé comme ça :
voip/data > routeur > ecapsulation > qos > lien < qos < désencapsulation < routeur < voip/data
 
Ce que je sais c'est que je suis pas capable de trier les packets encapsulés via QoS, faut que je trouve un truc qui résiste, si tu peu m'affirmer que le ToS ou le CoS résiste a l'encapsulation, tant mieux, sinon faudra que je lui propose une topo "classique"

Y'a un double routage, un interne et un externe avec des règles vlan infâme.
Topo rapide : ils ont un intégrateur qui s'est chargé du réseau en interne, et un intégrateur qui s'est chargé du réseau en externe, et un technico OBS qui leurs a monté les LS entre les différents site, et rien ne parle comme il faudrait. Leurs IT en interne a pas les compétences, les règles dans les machines sont infâme et je pense qu'il y a moyen de simplifier le truc.
Ceci dit tu m'a aiguiller sur une info qu'il faut que je vérifie

 
Edit : et pour le ssl sur la LS, c'est une demande pour éviter les fuites entre services (c'est une entreprise avec des services en compétition et les mecs c'est des farfelus finis, mais ils payent. )

7 sites + services externes co via internet, topo en réseau cerclé (2 LS/site) pas moi qu'ai prise la décision du LS-age des sites, chaque site a son accès internet, tout les sites doivent avoir une réplication complète 2x/jour + rsync "projets spéciaux", et pas moi qui ai prise la décision de faire ce truc, juste que l'IT s'en sort pas pour mettre en place des projets de sécu/infra gros data et ils ont demander de l'aide. Mais j'aurai du refuser ce contrat, ça sent l'enfumage a plein nez.

Putain la vache, j'en pige pas une
Pourtant j'ai rien bu depuis lundi soir mardi matin

En gros, j'ai l'impression de devoir monter un projet, le mettre en place avec une dead line a 6 mois sur une infra de type "ferari" et faire une doc pour attardé avec des mecs qu'on pas envie d'avoir des IT en interne qu'on des burnes pour faire un truc couillu et qui tiens la route.
Genre les mecs la ont déjà lâché grosso modo 350k/site pour avoir un super truc sur le papier, mais bancale dans la réalité et faut aller réparer les pots cassés.

Ah ben si, "enfumage" j'ai compris  

Pour l'histoire de la QoS dans le tunnel SSL (si j'ai bien compris, encapsulation de paquets en mode tunnel et pas transport ?), si c'est basé sur des sessions TCP persistantes c'est mort pour cause de séquencement TCP
 
Seul workaround, passer en IPSec et marquer le ToS de chaque paquet crypté (avec un qos preclassify)

 
Oui mais ils ont pas les brouzouf pour payer plus que se qu'ils me payent déjà. Et t'as tout compris pour la boucle (d'ou le besoin de QoS et de SSL pour pas que par malheur "mec tordu du site C" aille voir "travail tordu du site F" )

 
Ils veulent une encapsulation et du QoS transport, et pas tunnel justement. (trop simple sinon le workaround je l'aurai déjà sous la mimine)

 
ou pas

Ah mince

b_l

insert coin  
bon courage ça peut mettre longtemps si c'est un 1er

Il n'y a aucun workaround alors. Le seul truc qu'ils puissent faire c'est de gérer la QoS au niveau du concentrateur SSL VPN pour faire le queueing pré tunnel au moment de l'encapsulation, après ce sera du FIFO post traitement dans le tunnel. Si le seul trafic sur le lien est crypté, il n'y aura aucun traitement possible.
 
Ils n'ont pas fait d'appel d'offre pour l'archi du projet ? ça sens vraiment pas bon ton truc.

Bon j'ai craqué pour une nexus 7.

 
3 projets différents, et oui je sais c'est pas bon ... Ceci dit, c'est pas mon problème, moi ça qui me dérange c'est leurs demande farfelues EN PLUS dans le projet qui me dérangent, parce qu'il faut leurs remettre a plat l'infra. et gratis au frais de la princesse faudrait que je réponde a leurs demandes, sans modif de dead line, avec un interne qui n'y pige queudale.

C'est qui le constructeur du bouzin SSL ? Essaye d'avoir un écrit d'un avant vente ou du support disant que la QoS externe n'est pas possible ?

moi non plus, mais je suis une bille en rezal

 
Chaque fucking sysadmin devrait cacher en lui un netadmin.
 
Et inversement proportionnel à sa valeur.

à la base, je suis pas sysadmin, même si je peux aller botter les fesses de certains qui prétendent en être ...
 

 
pompier ca compte pas comme profession  

preum's

 
Ca va finir que je vais le TT en vrai oui. Et il se démerdera avec une doc.
 

Clémentine Business Service pour les LS sous SSL. Mais les switch/routeur c'est du brocade qui sont censés être capable de faire du packet shaping et donc ils sont censés savoir copier les ToS interne pour les copier sur les packets externe, ça me sauverai la mise.

bonjour,