Installer les vmware-tools sur ipcop

[barroud]

Bonjour,
Je cherchais à installer les vmware-tools sur mon ipcop en machine virtuelle et je n'ai trouvé que peu d'information. Alors peut être ai-je mal cherché mais du coup j'ai essayé de regrouper ma démarche ici. A mon avis, il y a beaucoup de chose à reprendre donc je poste ce message ici pour deux raisons :

- obtenir des conseils de votre part,
- partager cet expérience si toutefois c'est intéressant pour d'autres personnes.

Donc voici ma démarche :

- Créer une VM pour un noyau Linux 2.4.x

- Y installer IpCop dans sa version de développement ( ISO : ipcop-1.4.20-development-cd.i386.iso que vous pouvez trouver ici : ftp://193.25.115.47/ipcop-1.4.20-develo ... d.i386.iso)

- Une fois IpCop-dev installé, installer les vmware-tools : Menu « VM » puis « Install VMware Tools… »

- Connecter vous sur cette IpCop-dev :

o mount /dev/cdrom
o mkdir /tmpVMtools
o mkdir /tmpVMtools/rc0.d
o mkdir /tmpVMtools/rc1.d
o mkdir /tmpVMtools/rc2.d
o mkdir /tmpVMtools/rc3.d
o mkdir /tmpVMtools/rc4.d
o mkdir /tmpVMtools/rc5.d
o mkdir /tmpVMtools/rc6.d
o mkdir /etc/pam.d
o cp /mnt/cdrom/VMwareTools-1.0.7-108231.tar.gz /tmpVMtools/
o cd /tmpVMtools/
o tar –zxf VMwareTools-1.0.7-108231.tar.gz

o cd vmware-tools-distrib/
o ./vmware-install.pl
- Appuyer sur entrée tout le temps sauf pour la question : « What is the directory that contains the init directories (rc0.d/ to rc6.d) ? » Répondez « /tmpVMtools/ »

o cd lib/modules/source/
o tar –xf vmdesched.tar
o tar –xf vmhgfs.tar
o tar –xf vmmemctl.tar
o tar -xf vmxnet.tar
o cd vmdesched-only
o make
o cd ../vmhgfs-only
o make
o cd ../vmmemctl-only
o make
o cd ../vmxnet-only
o make

- Maintenant, tout est prêt pour transférer les fichiers nécessaires à l’installation des vmTools sur votre Ipcop de production

- Récupérer les fichiers :
o /tmpVMtools/vmware-tools-distrib/lib/modules/source/vmdesched-only/os.o
o /tmpVMtools/vmware-tools-distrib/lib/modules/source/vmhgfs/vmhgfs.o
o /tmpVMtools/vmware-tools-distrib/lib/modules/source/vmmemctl/vmmemctl-2.4.36
o /tmpVMtools/vmware-tools-distrib/lib/modules/source/vmxnet -only/vmxnet.o
o /tmpVMtools/vmware-tools-distrib/lib/modules/source/vmdesched-only/vmdesched-2.4.36
o /usr/bin/ldd

- Maintenant, on va travailler sur l’ipcop de production

- Copier les drivers vmware dans /lib/modules/2.4.36/misc

o cd /lib/modules/2.4.36/misc
o insmod os
o insmod vmdesched-2.4.36
o insmod vmmemctl-2.4.36
o insmod vmxnet
o insmod vmhgfs
o depmod –a

- Copier ldd dans /usr/bin/

- Chmod 777 /usr/bin/ldd

- Une fois les fichiers copiés, installer les vmware-tools : Menu « VM » puis « Install VMware Tools… »

- Connecter vous sur cette IpCop :

o mount /dev/cdrom
o mkdir /tmpVMtools
o mkdir /tmpVMtools/rc0.d
o mkdir /tmpVMtools/rc1.d
o mkdir /tmpVMtools/rc2.d
o mkdir /tmpVMtools/rc3.d
o mkdir /tmpVMtools/rc4.d
o mkdir /tmpVMtools/rc5.d
o mkdir /tmpVMtools/rc6.d
o mkdir /etc/pam.d

o cp /mnt/cdrom/VMwareTools-1.0.7-108231.tar.gz /tmpVMtools/
o cd /tmpVMtools/

o tar –zxf VMwareTools-1.0.7-108231.tar.gz
o cd vmware-tools-distrib/
o ./vmware-install.pl

- Appuyer sur entrée tout le temps sauf pour la question : « What is the directory that contains the init directories (rc0.d/ to rc6.d) ? » Répondez « /tmpVMtools/ »

- Ensuite ce script lance celui de configuration des vmTools et il va vous demander si vous souhaitez recompiler les drivers vmware. Vous répondez non.

o mv /tmpVMtools/vmware-tools /usr/bin
o nano /etc/rc.d/rc.local
- Ajouter « vmware-tools start »

o nano /var/ipcop/ethernet/settings
- modifier les instances de « pcnet32 » par « vmxnet »

- Enfin pour finir :

o rm –Rf /tmpVMtools
o rm –f /usr/bin/ldd
o reboot

Voila, j'espère que cela pourra servir. Il y a surement des points à corriger ou améliorer et donc je suis à votre écoute.

Merci.

Cordialement,

Barroud.

[ccnet]

Un question et deux remarques.
Quel est votre plateforme Vmware ?

Je ne comprend pas pourquoi installer Vmware tools pour une vm ipcop. Vmware tools permet d'améliorer les performances graphiques, fourni un support des dossiers partagés, un support du drag and drop. Autant de choses parfaitement inutiles, voire nuisibles, pour ipcop. Peut être avez vous une raison bien spécifique, mais laquelle ?

Enfin il va de soi que c'est une plateforme de test. Forcément.

Sinon : http://www.vmware.com/support/ws55/doc/ws_newguest_tools_linux.html par exemple mais comme nous ne savons pas ce qu'est votre environnement Vmware ...

[barroud]

Bonjour,
J'utilise un serveur sur lequel j'ai installé une debian minimal et vmware server 1.0.7. Mon but est d'utiliser une seul machine physique pour mon réseau personnel en l'utilisant comme serveur de virtualisation. Il me permet ainsi très rapidement de mettre en œuvre pour tester et apprendre différentes architectures et systèmes d'exploitation. Je ne cherche pas à relancer le débat ipcop en machine virtuelle. Mes contraintes sont simple, il faut que toutes mes machines soit sur un seul serveur physique. Donc, soit j'installe un serveur à tous faire soit j'en fais un serveur de virtualisation qui a ses défauts (sécurité) et ses avantages (rapidité de création d'une nouvelle machine, sauvegardes des images, gain en consommation, maintenance etc...).

Pour répondre à votre question, les vmtools comprennent aussi les drivers pour les cartes réseaux virtuelles, pour la gestion de la mémoire et le système de fichiers du moins d'après ce que j'ai compris. Ils permettent aussi à vmware server de mieux gérer ipcop en tant que VM. Donc, non, je ne les installe pas uniquement pour les performances graphiques, à moins que vous ayez prévu de porter Far cry 2 sur Ipcop .

Enfin, le lien que vous m'avez passé permet d'installer les vmware tools seulement dans les cas où tout est prêt pour les recevoir : à savoir qu'il y a tout les binaires et librairies nécessaires à la compilation des modules vmwares et l'exécution des vm-tools. Je préférerais et vous comprendrez pourquoi, ne pas installer les outils de compilation sur l'ipcop que j'utilise en tant que passerelle d'où la nécessité de passer par la version de développement d'IpCop.

Et pour terminer, pourquoi installer les vmware-tools dans mon cas : tout simplement car avec les drivers pcnet32, ma connexion réseau rouge tombe régulièrement et que je suis obligé de "déconnecter" et "reconnecter" ipcop sans cesse.

De plus, il me semble que cette procédure est intéressante pour toute personne souhaitant tester ipcop sur un serveur vmware et qu'elle peut donc, malgré la polémique ipcop + vmware, être utile à tous.

Cordialement,

Barroud.

[ccnet]

J'espère que vous avez plusieurs cartes réseaux disponibles.
Pour le reste c'est une configuration d'équilibriste sur laquelle, même pour des tests, il va être difficile de travailler sérieusement. Si vous aviez un client disponible d'une part et par ailleurs un serveur qui le supporte, les choses seraient déjà plus saine avec Vmwre ESXi 3.5.
Vous risquez de passer beaucoup de temps sur des problèmes qui seront liés à cet édifice instable. Cela dit bon courage.

[barroud]

J'ai trois cartes réseaux disponibles sur mon serveur dont deux utilisé en bridge pour ipcop (red et green). J'ai trois autres clients derrière ce serveur mais là n'est pas la question. Vous m'avez demandez ma configuration et je vous ai répondu cependant le but de se topic n'est pas la "gloire" (s'il y en a une?) de mon architecture mais uniquement savoir comment installer les vmware-tools sur une distribution ipcop. D'ailleurs, je ne demande aucun support pour mon architecture mais uniquement une question globale sur l'installation des vmware-tools sur ipcop dans le cas de l'utilisation de VMServer et non pas ESX.


Le but de ce topic est bel et bien de me permettre d'installer IpCop en machine virtuelle sur un serveur de virtualisation. Mais aussi, son but est de permettre à tous ceux qui souhaiteraient installer Ipcop, pour le tester sur une machine virtuelle, de pouvoir le faire correctement en installant les vmware-tools.

[jdh]

Comme beaucoup j'ai expérimenté VMware (et en particulier la version server sur Debian).

Il est EVIDENT que cela suffit pour TESTER tel ou tel OS dans telle ou telle condition ou environnement.

Il est évident que vouloir installer les VMware tools signifie de passer de TEST à PROD. Cela ne fait pas l'ombre du moindre doute.

Or les gens sérieux savent qu'il n'est pas du tout souhaitable de mettre un firewall dans une VM (AUTREMENT que pour TESTER). Quitte a installer un vieux PC à faible mémoire comme firewall léger ...



Maintenant, juste un peu de réflexion ! Les VMware tools sont des sources à compiler : cela se passe impeccablement bien avec Debian, par exemple !

Alors pourquoi ne pas créer l'environnement nécessaire à la compilation de toutes sortes d'outils sous IPCOP.

J'oublie juste de préciser qu'IPCOP fonctionne avec un contexte linux bien précis (noyau 2.4, libc définie). Il est vraisemblable de penser qu'il sera assez difficile de compiler les VMware tools ...

[barroud]

Bonsoir jdh,
Je n'ai aucun problème pour compiler les modules inclus dans les vm-tools en utilisant la version de développement d'Ipcop 1.4.20 cité plus haut.

Ma seul question est :
Comment rendre plus propre mon installation des vm-tools sur la machine de "test" que je virtualise?

Car je fais un certain nombre de "bidouille" pour adapter l'installation automatique (./vmware-install.pl) des vm-tools à IpCop. Comme je l'avais dis plus haut, je ne cherche pas à relancer le débat sur IpCop virtualisé. Je cherche juste à savoir comment installer le plus proprement possible les vm-tools que ce soit pour un serveur de test ou autre... Ce qui en soit pourrait apporter un plus à tous ceux voulant tester IpCop sur une VM avant de l'appliquer à un serveur physique.

Je vais essayer de regarder les appliances Ipcop fournis pas vmware où ils indiquent avoir installé les vm-tools. Cela me donnera peut être mes réponses.


Cordialement,

Barroud.

[barroud]

Bonjour,
Après avoir regardé la machine virtuelle proposée http://www.vmware.com/appliances/directory/391, il semble que l'installation des vm-tools que j'ai fait revient à peu de chose prêt à ce qui a été fait dans cet exemple.

J'ai noté tout de même deux différences :

- La présence dans la machine virtuelle proposé sur le site de vmware du répertoire "/proc/fs/vmware-hgfs" contenant un fichier "dev".

- La présence de deux scripts shell "vmware-config-tools.sh" et "vmware-uninstall-tools.sh" dont voici le contenu :


"vmware-config-tools.sh"

#!/bin/sh

/etc/init.d/network stop

echo "removing network drivers"
rmmod pcnet32
rmmod vmxnet

vmware-config-tools.pl

modprobe vmxnet

echo "updating module dependancies"
depmod -a

/etc/init.d/network start

exit 0

"vmware-uninstall-tools.sh"

#!/bin/sh

/etc/init.d/network stop

echo "removing network drivers"
rmmod pcnet32
rmmod vmxnet

vmware-uninstall-tools.pl

modprobe pcnet32

echo "updating module dependancies"
depmod -a

/etc/init.d/network start

exit 0

Ces deux scripts shell englobe les scripts vmware d'installation et de désinstallation des vmtools en enlevant juste les deux drivers de cartes réseaux avant et en remettant soit le drivers vmware pour une installation soit le drivers automatiquement associé lors de l'installation d'IpCop sur une VM vmware.

Je ne pense pas que cela change grand chose

[fgth]

Comme beaucoup j'ai expérimenté VMware (et en particulier la version server sur Debian).

Il est EVIDENT que cela suffit pour TESTER tel ou tel OS dans telle ou telle condition ou environnement.

Il est évident que vouloir installer les VMware tools signifie de passer de TEST à PROD. Cela ne fait pas l'ombre du moindre doute.

Or les gens sérieux savent qu'il n'est pas du tout souhaitable de mettre un firewall dans une VM (AUTREMENT que pour TESTER). Quitte a installer un vieux PC à faible mémoire comme firewall léger ...

Tiens ? C'est marrant. Mon IPCop fonctionne en prod depuis un an et demi dans une VM (vmware server 1.0.7) avec 10 serveurs au c.. Pardon : derrière (serveurs physiques + virtuels) et je n'ai pas rencontré le moindre soucis
Comme quoi, des fois, faut oser... Et les gens sérieux peuvent aussi faire preuve d'audace !

Par contre, NON : je ne collerai pas un vieux PC-tour dans ma baie 19" !

Par contre je me posais la question des Tools (d'où mon arrivée ici) pour une autre raison : seuls les Tools permettent à vmware server de piloter la VM en ligne de commande (vmware-cmd). Plutôt pratique pour la suspendre et la sauvegarder rapidement, ou la redémarrer par script.

Je vais tester ta procédure, barroud : merci de l'info.

[jdh]

Ce n'est pas que cela ne fonctionne pas ! C'est un problème de sécurité !! Et surtout une question de choix !

Personnellement, je n'ai pas accès au code source de VMware Server (et surement pas les compétences). Donc, je considère INFINIMENT plus sûr de ne pas me fier aux switchs de VMware Server. On ne sait jamais ... un VM qui fout le bazar, une fausse manip qui met en direct sur Internet une VM, ...

Si je voulais tout mettre dans une baie, nul doute que j'utiliserais un petit serveur dédié (c'est le mot important ici) avec une carte multiports ethernet pour piloter les différentes zones. (Et sans doute, encore plus certainement, je n'utiliserais pas IPCOP ... du fait qu'il existe de meilleurs firewalls AMHA).

D'ailleurs, le fait de tester dans cet environnement permet d'imaginer de le faire en prod, mais ce n'est pas pour autant que l'on met en prod cela.

La production a ceci de particulier, la nécessaire stabilité et sécurité. C'est donc affaire de CHOIX (et d'expérience). Le mien de choix, est de ne pas mélanger firewall avec serveur (ni service d'ailleurs !).

La perte d'économie d'un serveur dédié (en matériel et électricité) ne me parait pas fondamentale au regard de ce que cela apporte !

Et puis je ne vois pas bien la justification de "suspendre un firewall".


Mais, je n'impose à personne de faire des choses ... peut-être plus sures ...


(Et je ne ferais pas ici la moindre comparaison entre VMware Server et VMware ESX ou ESXi, qui n'ont rien à voir ...)

[ccnet]

Tiens ? C'est marrant. Mon IPCop fonctionne en prod depuis un an et demi dans une VM (vmware server 1.0.7) avec 10 serveurs au c.. Pardon : derrière (serveurs physiques + virtuels) et je n'ai pas rencontré le moindre soucis Smile
Comme quoi, des fois, faut oser... Et les gens sérieux peuvent aussi faire preuve d'audace !

Par contre, NON : je ne collerai pas un vieux PC-tour dans ma baie 19"

On peut tout oser ... Ce que je trouve marrant c'est cette incohérence dans l'approche des questions de sécurité. Personne n'a dit que cela ne fonctionne pas. Par contre, certains, dont moi, disent que cela n'est pas sûr. Pourquoi ? Aucun logiciel n'est sûr. Aucune interaction entre plusieurs logiciels n'est sûr. Dans le cas de vmware 1.0.7 nous avons 2 couches logicielles en plus du firewall. Le système hôte (Windows ou Linux), Vmware serveur 1.0.7. Le calcul des risques liées aux failles existantes (car même si elles ne sont pas connues pour certaines, elles existent belle et bien, il ne faut pas se leurrer) montrent que celles ci ne s'additionnent pas mais se multiplient. Le risque serait plutôt exponentiel. Mettre en production une configuration qui, par construction accumule les facteurs de risques sous prétexte qu'il faut oser ou que "je ne collerai pas un vieux PC tour dans ma baie 19" c'est marrant.
Votre baie 19" participe à des défilés de baie ? C'est sur le vieux PC tour (en plus), ça fait faute de gout.
Non vraiment ce n'est pas sérieux.

Au fait pensez à mettre à jour votre Vmware 1.0.7 pour éliminer le bug qui permet une élévation de privilège. Selon HSC la criticité est 4/5 - haute

Je suis presque certain que ipcop n'est pas exempt de bug ou de faille, majeure, mineures, problème de sécurité, je ne les sais pas. Mais je n'ai aucune envie de l'installer dans un environnement dont je sais qu'il en comporte une. Selon HSC la criticité est 4/5 - haute

J'espère que vous êtes le patron de la société et qu'il ne vous arrivera rien.

[joebar]

Bonsoir,

Je comprend bien le problème de sécu. Plus on empile des couches logiciels et plus il y a des risques.

Pour l'installation des vmware tools dans l'ipcop en VM, c'est fortement conseillé. Les vmware tools sont des drivers paravirtualisés qui permettent d'améliorer considérablement le fonctionnement de la VM par rapport à son hôte. Il permettent d'avoir les modules vmxnet pour une carte réseau qui supportent les modes jumbo frame et autres... Les autres modules et services permettent de mieux gérer la mémoire et notament sur un serveur ESX d'avoir l'effet ballonning pour que l'ESX puisse récupérer la mémoire non utilisée par la VM.

Depuis que j'ai découvert les distrib ipcop de dev, je met tjrs les vmware tools dans mes ipcops en plateforme.

@+ et bonne compil.

[leso]

Moi je voulais simplement savoir s'il était possible d'avoir un tar avec tout ce qui faut pret a déployer sur un ipcop normal. (les fichiers *.o ,ldd, et tout). Pour pouvoir tester directement chez moi sans installer la vm de développement.