[RESOLU] Problème inactivité IPCOP + VMWARE

[xaffir]

Bonjour,
Je suis confronté à un problème d'accès à internet et ipcop en cas d'inactivité de ipcop.

Le but est d'utiliser Ipcop comme firewall, filtrage antispam, et filtrage sortant (tout protocole) pour ma boite.

Ipcop est installé dans une machine virtuelle sous VMWare.
Les addons Copfilter et BlockOutTraffic sont installés également.
Seules les fonctions antispam de copfilter sont activées.
BOT est complement désactivé.

Ipcop cesse de répondre après quelques minutes d'inactivité.
Cependant, le fait de "pinguer" ipcop, débloque la situation, mais ce n'est pas une solution acceptable.

Comme proposé dans d'autres posts, j'ai vérifié les fonctions ACPI, le bios de la machine virtuelle, les réglages de noyau de la machine virtuelle, mais je ne trouve pas de solution.

Auriez vous quelques idées à me proposées ?

Merci bien.

PS : SVP, pas de remarque ou polémique quant à l'utilisation de Ipcop dans une VM.

[Gesp]

j'ai vérifié les fonctions ACPI

Qu'as tu as fait?
Est-ce que tu as sélectionné au démarrage le boot avec ACPI et celui sans (donc avec APM)?

[xaffir]

Bonjour Gesp,
J'ai démarré Ipcop aussi bien en mode APM qu'en mode ACPI. Dans chaque mode j'ai eu le problème.

[jdh]

Je répète, on peut utiliser VMware pour tester IPCOP, mais, en production, il FAUT installer IPCOP sur un PC séparé. Mais bon, on a beau le répéter ...


Concernant n'importe quel linux, il y a des conseils utiles sur les pages de support de VMware concernant la gestion de l'horloge. Il est fort probable que cela peut entraîner ce genre de choses.


(Ce genre d'incident est d'ailleurs une raison de plus pour ne pas utiliser IPCOP en prod sous la forme d'une VM).

(Pas de PS ! : je demande une raison sérieuse, une seule)

[ccnet]

Il y toujours des gens pour se mettre dans les situations difficiles alors même que les problèmes sont connus (voir kb vmware).

[xaffir]

Je suis tout à fait au courant de la politique de sécurité d'un firewall et des VM.
C'est la raison pour laquelle j'utilise Ipcop chez moi sur une machine indépendante.
Actuellemet, Ipcop tourne EN TEST sur VMware (un seul et unique user l'utilise : MOI).
Ma direction refuse de fournir le moindre budget pour la mise en place d'une solution (ni machine, ni logiciel). C'est la raison de mon choix d'une VM.
Si la solution fonctionne, elle ne supportera pas la charge en tant que nombre d'utilisateur. Celà me permettera, enfin, de justifier l'achat d'une machine pour faire une installation propre.

Au sujet de la gestion d'horloge, une machine virtuelle ne tournera pas aussi juste qu'une machine réelle. J'en suis concient, c'est la raison pour laquelle mes différentes machines linux sous VM sont synchronisées très régulièrement.

Merci de votre attention, et d'éviter les critiques.

Mes choix sont réfléchis (enfin j'espère).

[jdh]

Je ne critique pas : je préconise une solution peut-être plus sure.

Tu es en test. L'utilisation de VMware est donc tout à fait justifié. Il eut été simple de le dire plutôt que de rejeter par avance les remarques.


L'horloge est au coeur de tout OS (et de pas mal de protocoles). Or VMware exige un tout petit paramêtre pour éviter que l'horloge des VM Linux soit totalement déréglé (j'ai eu l'occasion de constater 1' pour 40" réel). Ce mauvais fonctionnement doit avoir beaucoup de conséquences.

Libre à toi de mettre en place ou non ce correctif. Mais peut-être que cela améliore les choses ...


(Inutile de mettre dans un cron un ntpdate ou, mieux, un ntp-server : ce n'est pas destiné à corriger des écarts aussi grands).

[xaffir]

JDH, je suis d'accord sur le problème d'horloge.
J'ai une autre VM sous un autre linux qui prenait 1 minute de retard toutes les 5 min. Celle ci est donc synchronisée de force toutes les minutes, malgré toutes les tentatives de corrections de temps proposés sur le site de VMWare.
Cependant, ayant déjà utilisé à plusieurs reprise un ipcop sous vm, je n'avais encore jamais eu un tel problème.
J'ai même commencé à vérifier ma machine hôte (sous Windows Vista, je sais, c'est le pompon, mais c'est la seule machine de dispo que je peux utiliser). J'ai une autre VM linux qui tourne dessus, mais je n'ai pas le problème de perte de connexion.
Je suis en train de monter un serveur chez moi (sous fedora7) avec vmware server pour essayer de savoir si j'obtiens la même instabilité.

[jdh]

Pour l'horloge, il suffit de suivre ce qui est décrit dans les pages de support de VMware. ET CA FONCTIONNE BIEN. C'est juste un paramêtre à insérer dans un fichier !

Cela vaut mieux que tout bricolage à base de ntpdate.

Cela coute quoi ?

[xaffir]

J'ai testé plusieurs réglages de l'horloge (sur mon autre linux : test de Censornet, pas sur IPCOP).
Penses tu, entre autre, à celui proposé :
http://kb.vmware.com/selfservice/dynamickc.do?externalId=1420&sliceId=1&command=show&forward=nonthreadedKC&kcId=1420 ? Helas, cette solution n'a pas marché dans mon cas avec Censornet.
Je ne l'ai pas encore testé sur mon Ipcop.
L'utilisation de ntpdate est peut être du bricolage, mais reste efficace.

[xaffir]

Ca y est, j'ai testé la modification de la ligne de commande de Grub sur ipcop, mais ça n'a rien changé.
Sur le poste du bureau, j'ai toujours une déviation de 9 secondes par heure, et sur mon serveur perso j'ai 1 seconde par heure.
Je n'ai pas recompilé Ipcop en changeant la fréquence du kernel comme stipulé sur le support de VMWare. Je ne suis pas encore à l'aise avec la compilation du noyau.
Ai je loupé d'autres solutions sur le support de vmware ?
Merci.

[xaffir]

J'ai trouvé sur le site de vmware un pdf exclusivement dédié aux réglages d'horloge des machines hotes et virtuelles : http://www.vmware.com/pdf/vmware_timekeeping.pdf
Je vais étudier ce document et essayer différents paramètres.

[jdh]

Ben voilà ! Voilà un beau document, complet et intéressant.

Perso, je n'aime pas les "noapic nolapic" et autres ... J'ai validé, pour mon usage, le "host.useFastClock" qui fonctionne assez bien dans un contexte VMware Server (1.03 ou 1.04) sur hôte Windows Server pour des VM Linux. (J'avais écrit "1 ligne" !)


Par ailleurs, l'utilisation des serveurs NTP est une chose essentielle !

Plus jeune, je considérais qu'un "ntpdate" dans un cron 1 fois par jour fonctionnait bien. Or c'est MAL.

Ce qui serait mieux, c'est UN SEUL client NTP dans un réseau d'entreprise, client qui utilisera "ntp-serveur" avec comme serveurs référence fr.pool.ntp.org (même plusieurs fois). Ensuite chaque serveur interne (par exemple le serveur Windows 2003 "PDC") qui a besoin d'une synchro temps accèdera à ce client.

L'intérêt est de limiter les requêtes NTP au MINIMUM, ce qui est à recommander.

Donc, à bannir tout ntpdate. D'ailleurs, il suffit d'observer ntp-serveur et de constater qu'il est perdu dès que l'horloge locale est vraiment plus lente (ou plus rapide) que ce qu'elle devrait. Le système ntp-serveur ne sait s'adapter qu'à de petits écarts de temps ...

[xaffir]

Bon, ça y est, je crois avoir essayé toutes les possibilité de réglages des temps de la VM.
Après avoir essayé les paramètres d'horloge (PIT, PMTMR, TSC), les fonctions du TimeTracker, rien ne resoud mon problème.
J'ai aussi testé la fonction host.usefastclock, mais sans résultat. J'avais toujours un écart de temps par rapport à mon serveur de référence.
En désespoir de cause, j'ai même testé la synchro par ntpdate toutes les minutes. J'ai réduis effectivement mon écart de temps, cependant, celà n'a pas toujours résolut mon problème d'accès en cas d'inactivité.
J'en finis par considérer que ma machine hôte est beaucoup trop solicité pour permettre un fonctionnement correcte des machines virtuelles.
Je vais essayer d'utiliser une machine physique (ce qui me pose un autre problème : obtenir un budget de la part de ma direction).

JDH : merci de ton aide.

A+

[ccnet]

Au prix où sont les PIII, même si vous le mettez à la benne ensuite ...

http://cgi.ebay.fr/Compaq-DL360-800-MHz-128-MB-9-GB_W0QQitemZ160176116115QQihZ006QQcategoryZ65567QQssPageNameZWDVWQQrdZ1QQcmdZViewItem

Même avec le port vous devriez vous en tirer pour un fabuleux budget d'au moins 100 euros. Ce qui est ridicule par rapport au temps que vous avez déjà passé en pure perte.