Hello et bonne année    
 
Je dispose d'un lan en 198.168.1.0/24 géré par ma box. Sur ce réseau se trouvent des hôtes qui font tourner les hyperviseurs classiques: Vmware, Virtualbox et Hyper-V. Toutes les VM sont connectées en bridge et ont donc une IP sur 192.168.1.0/24 donnée par le dhcp de la box.  
 
Mais voilà, je me suis mis en tête de tester aussi KVM. Comme il n'y a pas de mode bridge par défaut j'en ai créé un en suivant cette page: https://computingforgeeks.com/how-t [...] -in-linux/
Alors ça marche très bien, les VMs KVM ont accès à internent, voient les autres machines, physiques ou virtuelles mais sont évidemment sur 192.168.100.0/24. C'est très bien routé.
 
Je me demande quand même pourquoi KVM oblige à créer un réseau virtuel. Y a t-il un moyen pour qu'il arrête son dhcp et utilise celui de la box comme tous les autres hyperviseurs?

Bonjour,
 
J'ai lu que les quelques premieres lignes du lien rapidement, et ca dit que c'est censé faire ce que tu veux. Donc y'a une coquille quelque part.  
 
Et oui, je confirme ce que tu veux faire, se fait.

Bonjour,
 
Il n'y a de tel dans l'article. Tu t'es sûrement dis comme moi qu'il suffisait de remplacer 192.168.100.0 par 192.168.1.0 mais ça ne marche pas, tu te prends un message disant que ce réseau existe déjà. C'est d'ailleurs normal, il veut absolument gérer le réseau avec son dhcp donc il ne peut pas se mettre sur un réseau qui existe déjà et en crée donc un autre.

le mot principal est bridge. dès que tu configures un pont, il faut avoir un réseau sur une autre "dimension" que ton réseau "principal".
c'est aussi une question d'éviter les recouvrement de ports.

 
Encore une fois je sais pas trop ce que dis l'article. je l'ai pas lu et pas envie ce matin ...  
 
Mais, de mémoire, crée toi un bridge, met y l'interface de ta machine hôte, et donne ce bridge à la vm. Ta vm sera dans ton réseau en .1 et non en .100.
 

 
Je suis vraiment mal réveillé ce matin je crois, mais je comprends rien a ce qui vient d'être dit.  
 
Un bridge c'est un "switch", vu grossièrement.

192.168.0.0/24 <==> bridge <==> 192.168.1.0/24
cela permet d'éviter les recouvrements de ports ou de services.
exemple :
si tu as un apache qui tourne en VM dans ton réseau 1 (public), ça va éviter de le "recouvrir" par un apache (en interne).
du coup tu pourrais même en profiter pour faire du proxy reverse  
c'est la même chose pour un dhcp, mysql, ssh...

 
gras 1: non le bridge c'est ca
192.168.1.0/24 <==> bridge <==> 192.168.1.0/24
 
Je crois comprendre vaguement ce que tu veux dire par recouvrement. Tu peux pas en avoir parce que tu peux pas avoir deux fois la même adresse sur le même réseau. (Techniquement si, mais avec de gros problème quand même).  
 
gras 2: généralement c'est pas une bonne idée de mettre deux dhcp sur le même réseau s'ils sont pas prévu pour.

je sais pas, pour moi bridge est un pont entre 2 réseaux distincts. Ce que tu me montres sur ton truc, c'est un simple switch.
sinon tu peux pas avoir 2x la même adresse (IP), on est d'accord , sauf que tu ne peux pas router NAT un port extérieur (public) vers 2 adresses ip du même port (service).
Je tiens juste à dire qu'il est préférable d'utiliser un bridge sur différent niveaux de réseaux avant que ça ne devienne le (gros) bordel  
surtout qd on part sur des VM  
si tu mets tlm au même niveau, suffit d'un DDOS pour faire tomber toutes tes machines.

Virt-manager m'impose de choisir un réseau et n'accepte ni que je prenne 192.168.1.0 ni que je ne prenne pas de réseau.

 
C'est effectivement ce que m'impose virt-manager mais tous les autres hyperviseurs font un bridge en laissant le dhcp de la box attribuer une ip aux VM alors j'aimerais savoir comment ils font. D'ailleurs je ne savais pas que ce type de bride existait avant de tester kvm.

Priareos, essaye éventuellement de mettre l'aspect DHCP de côté pour l'instant, ce n'est pas directement lié à la problématique bridge/routage.
 
Ensuite, je ne connais pas KVM, par contre je connais un peu le réseau sous linux y compris les bridges, normalement le process quand on crée un bridge c'est de créer l'interface virtuelle (brXXX), à laquelle on rattache les interfaces ethernet. C'est l'interface brXXX qui porte notamment l'adressage IP (IP fixe ou client DHCP, peu importe), les interfaces ethernet qui lui sont liées n'ont pas de config IP. Je pense que c'est ce qui pose problème dans ton cas, tu essayes de créer un bridge avec un adressage en collision avec une autre interface déjà existante, forcément ça râle.  
Il faudrait enlever la config IP de ton interface ethernet, et joindre cette interface à ton bridge. Mais je ne connais pas KVM donc je ne sais pas t'en dire plus.
 
 

 
Non tu confonds. Un bridge c'est un switch. Ce qui relie deux réseaux distincts c'est un routeur.

tirer de wikipedia dès les 1ere lignes. bridge/pont
"Son objectif est d'interconnecter deux segments de réseaux distincts"
dans le cas de kvm et d'utilisation de VM, il est normal que les reseaux de VM ne "chevauchent pas" le réseau hote pour les raisons que j'ai cité.

 
gras: oui un bridge est un pont, c'est exactement la même chose à part la langue utilisée, et oui un bridge est un simple switch
 
italique: faut visualiser ça au niveau de la couche physique liaison et non la couche réseau
 

 
J'ai des restes d'hier je suis sur, je comprends vraiment rien encore une fois à ce que tu dis. Tu veux bien reformuler simplement ?
 

 
Sometime shit happens  
Edit: je corrige, c'est pas du tout le DDOS qui pose problème quand t'es au même niveau. Au passage c'est quoi la définition de DDOS pour toi ?
 
Edit2: physique -> liaison

 
Etrange. Je viens de retester la création de vm. A la conf réseau, je sélectionne interface partagée, et je peux rentrer à la main le bridge créé pour et pas d'imposition d'adressage ce qui est logique.

Sans même aller lire la page, je dirais qu'il faut connaitre la définition de "segment" en réseau. Ca dit quoi ?
 

 
Comment tu fais si tu veux que les machines de ton réseau hôte communiquent avec ta vm ?  

 
déjà ça dépend des services ou ressources que tu veux proposer sur tes VM, non? et à quoi elles vont servir?  

Indépendemment du service proposé. Juste au niveau joignabilité je veux dire.

 
Deux segments réseau ethernet distincts oui, au sens deux domaines de collision. C'est une définition qui date de l'époque à laquelle on utilisait majoritairement des hubs ethernet pour faire du LAN, avec des bridges de façon ponctuelle pour réduire les domaines de collision. Aujourd'hui tout cela n'a plus lieu d'être puisqu'on utilise des switchs partout.
En tout cas IP n'intervient à aucun moment dans tout ça.

faire du NAT au cas par cas dans ce cas, non?
qd tu fais de la VM c'est principalement pour cloisonner

 
OMG, ca fait longtemps que j'ai pas entendu ce terme: domaine de colision    
 
Aujourd'hui j'aurais tendance à dire que ca fait référence au domaine de broadcast plutôt je pense

 
Pour cloisonner le système oui bien sur.  
Mais au niveau réseau, je vois pas pourquoi faire du NAT/PAT/Routage/cequetuveux de compliqué quand ta machine peux directement avoir accès à ton réseau et être directement joignable de ton réseau ?  
 
On en revient donc à la question de départ de Priareos

ben simplement parce que cela me semble plus secure pour ton réseau de VM de ne laisser passer que le nécessaire.  
sinon ça revient à des VM qui sont openexposées par tous les trous.
Mais de toute façon tant qu'on ne sait pas à quoi vont servir les VM, on ne peut pas faire de "plans sur la comete".

 
OK, je vais voir si ce n'est pas une limitation de virt-manager plutôt que celle de kvm.
 
 
 

 
Il faut que je teste à nouveau alors. A partir de zéro pour ne pas être pollué par des configurations erronées.

 
gras: euh, exposé ? On parle ici de machines sur le même "segment", donc le même réseau, ici le réseau local. Ce qui doit arriver sur ton réseau local est filtré en amont. D'ailleurs tu parle d'un "réseau de vm", ils faudrait donc isoler les vms les une des autres si on suit ton raisonnement. Chacune sur son propre réseau ?  
Non, pour protéger ta vm, tu as le parefeu de ta vm, si jamais le ou les service(s) exposés le nécessite.  
 
Pas gras: à vrai dire on s'en fout de ce à quoi elles vont servir. Il veut juste les avoir dans son réseau local, comme ci s'était une autre machine physique

c'est le début des pb que j'expose mais tu as décidé de ne pas écouter. Fin des échanges avec toi

mais oui tu as totalement raison.  
 
Je suis resté dans la "dimension" qui essai de répondre à la question