<div dir="ltr"><div>Abych ještě doplnil či nadhodil téma k diskusi, tak podle odpovědi podpory (použít nat a forward) ti vypadá, že se má provoz mezi dvěma VPS vést přes "veřejný internet". Souhlasí to?<br></div><div><br></div><div>V.<br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, May 7, 2019 at 12:16 PM Pavel Hruška <<a href="mailto:mrpear@mrpear.net">mrpear@mrpear.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div dir="ltr"><div>Na podporu jsem psal jako první, tam mi poradili pohrát si s NATem a forwardem (což po diskuzi tady vidím, že asi nestačí) a pak mě odkázali na community :o).</div><div><br></div><div>Každopádně já jsem nic "ručně" nepřidával, mám k dispozici rozhraní (venet0), které má dvě IP adresy (a odtud venet0:x), privátní a public, obě adresy jsem samozřejmě dostal od provozovatele. Nevím, zda jsem udělal chybu, když jsem použitl venet0:x jako interface u iptables...<br></div><div><br></div><div>P.</div><div><br></div></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">út 7. 5. 2019 v 11:55 odesílatel Jirka Bourek <<a href="mailto:vpsfree-list@keroub.cz" target="_blank">vpsfree-list@keroub.cz</a>> napsal:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">První věc, když vidím ta pravidla pro iptables: co je venet0:1? To je <br>
něco, co jste vytvořil pomocí ifconfig kvůli druhé IP adrese? Pokud jo, <br>
tak pro info, tohle je už víc než deset let zastaralé, kvůli přidání <br>
další IP adresy na rozhraní, které už nějakou má, není potřeba vytvářet <br>
žádné virtuální síťovky a stačí udělat tohle:<br>
<br>
ip addr add y.y.y.y/z dev venet0<br>
<br>
Druhá věc - pokud takhle přidáváte adresu k rozhraní venet0 (a platí to <br>
samé, i když to uděláte tím ifconfig), tak si to představte z pohledu <br>
provozovatele - ten vám nemůže (neměl by) dovolit, abyste si na síťovku <br>
nastavil jakoukoliv adresu, která se vám zlíbí. Co kdyby ji někdo <br>
používal? Rozumný poskytovatel zablokouje cokoliv, co pochází z Vašeho <br>
serveru, ale ne z IP, kterou Vám dal.<br>
<br>
Na to, abyste mohl takhle propojit dvě VPS, potřebujete na té VPS, která <br>
má být přístupná z internetu, dvě síťová rozhraní. Je už v podstatě <br>
jedno, jestli to druhé bude nějaký tunel, VPN nebo co, ale pokud to <br>
chcete udělat rozumně, potřebujete dvě.<br>
<br>
Takže bych doporučil napsat na podporu, čeho se snažíte docílit a jestli <br>
je možné to druhé rozhraní přidat. Uvidíte, co vám řeknou - podle toho <br>
můžete postupovat dál.<br>
<br>
<br>
<br>
On 07. 05. 19 9:43, Pavel Hruška wrote:<br>
> Já jsem se (slušně) zeptal, protože nevím, jak situaci vyřešit. S touhle<br>
> situací se totiž setkávám poprvé, takže si hned nedokážu představit, proč<br>
> dvě síťová rozhraní nejsou ve stejné L2, proč to funguje tak a proč to<br>
> nefunguje jinak. Nemusíš mi odpovídat jen proto, aby jsi mi řekl, že tomu<br>
> nerozumím, to já totiž vím, jinak bych se neptal.<br>
> <br>
> Pokud by se tedy našel někdo, kdo mi víc pomůže, budu rád.<br>
> <br>
> Díky,<br>
> P.<br>
> <br>
> út 7. 5. 2019 v 9:23 odesílatel Stanislav Petr <<a href="mailto:glux@glux.org" target="_blank">glux@glux.org</a>> napsal:<br>
> <br>
>> Jedno je tak mozna kolecko u trakare… Ale tak jak si to predstavujes to<br>
>> proste nejde IP protokol (IPv4 ani IPv6) nepodporuji indirect gateway (to<br>
>> umi napriklad nektere pokrocilejsi sitove protokoly, jako treba MPLS).<br>
>> Pokud spolu nejsou ty dve sitove rozhrani ve stejne L2 a nevidi na sebe<br>
>> primo, nemuze byt ten druhy pro prvni branou… Neboli vysvetli nam jakym<br>
>> genialnim zpusobem chces do site s prefixem /32 nacpat vic nez jednu IPv4<br>
>> adresu?<br>
>><br>
>> —<br>
>> Stanislav Petr<br>
>><br>
>><br>
>> 7. 5. 2019 v 8:31, Pavel Hruška <<a href="mailto:mrpear@mrpear.net" target="_blank">mrpear@mrpear.net</a>>:<br>
>><br>
>> Privátní VLAN jsem nikde ve vpsadminu neviděl. To, že je veřejná routovaná<br>
>> jako /32 mi může být jedno, nebo ne? Prostě mi paket přijde na veřejnou<br>
>> VPSku, ta ho forwardne na privátní, nicméně pak se musí paket vrátit zase<br>
>> zpátky, což nevím, jestli jsem schopen na té druhé VPS udělat...<br>
>><br>
>> P.<br>
>><br>
>> po 6. 5. 2019 v 18:58 odesílatel Stanislav Petr <<a href="mailto:glux@glux.org" target="_blank">glux@glux.org</a>> napsal:<br>
>><br>
>>> Jedina moznost je udelat si mezi servery napr. ipip tunel a routovat to<br>
>>> prez nej. Verejny adresy jsou na VPS routovany jako samostatny /32 routy.<br>
>>> Pripadne jestli jde nekde ve vpsadminu udelat privatni VLAN...<br>
>>><br>
>>> Odesláno z iPhonu<br>
>>><br>
>>> 6. 5. 2019 v 15:43, Pavel Hruška <<a href="mailto:mrpear@mrpear.net" target="_blank">mrpear@mrpear.net</a>>:<br>
>>><br>
>>> Ahojte,<br>
>>><br>
>>>    potřeboval bych poradit, resp. ujistit, že je to možné a nedělám<br>
>>> nějakou hloupost. Vzhledem k nedostatku public IPv4 chci mít druhou VPSku<br>
>>> pouze s privátní IP a chci si na ní směrovat určitý provoz (tcp porty) z<br>
>>> venku z public IPv4, kterou má první VPSka. Na začátek si chci zřídit SSH<br>
>>> přístup, tedy například z veku x.x.x.x:222 -> y.y.y.y:22. Běžně NAT dělám<br>
>>> přes iptables.<br>
>>><br>
>>>    Tohle jsem zkoušel:<br>
>>>    iptables -t nat -A PREROUTING -d x.x.x.x -p tcp -m tcp --match<br>
>>> multiport --dports 222 -j DNAT --to-destination y.y.y.y:22<br>
>>>    iptables -A FORWARD -i venet0:0 -o venet0:1 -p tcp -m tcp --match<br>
>>> multiport --dports 222 -m conntrack --ctstate NEW -j ACCEPT (tady přesně<br>
>>> nevím, jestli cílový port je 222 nebo 22, ale zkoušel jsem oboje)<br>
>>><br>
>>>    Plus toto:<br>
>>>    iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT<br>
>>><br>
>>>    sysctl net.ipv4.ip_forward<br>
>>>      (vrací net.ipv4.ip_forward = 1)<br>
>>><br>
>>>    Něco mi říká, že bych na té druhé VPSce měl mít bránu zpět na tu první<br>
>>> VPSku, ať se pakety můžou vracet, nicméně pokud dělám traceroute, tak mi<br>
>>> jde provoz přes nějakou pro mě neznámou bránu, ačkoliv route vidím takový:<br>
>>><br>
>>> Kernel IP routing<br>
>>> table<br>
>>> Destination     Gateway         Genmask         Flags Metric Ref    Use<br>
>>> Iface<br>
>>> default         0.0.0.0         0.0.0.0         U     0      0        0<br>
>>> venet0<br>
>>><br>
>>> traceroute to <a href="http://seznam.cz" rel="noreferrer" target="_blank">seznam.cz</a> (77.75.74.172), 30 hops max, 60 byte<br>
>>> packets<br>
>>>   1  172.16.0.27 (172.16.0.27)  0.050 ms  0.017 ms  0.014<br>
>>> ms<br>
>>>   2  <a href="http://vl128.cr3.r1-8.dc1.4d.prg.masterinter.net" rel="noreferrer" target="_blank">vl128.cr3.r1-8.dc1.4d.prg.masterinter.net</a> (81.31.40.97)  0.389 ms<br>
>>> 0.629 ms  0.60<br>
>>> ...<br>
>>><br>
>>>    Nevím, jestli dělám něco úplně špatně, nevím jak do toho zasahuje<br>
>>> OpenVZ, atd... Budu rád za každou radu, díky.<br>
>>><br>
>>><br>
>>> P.<br>
>>><br>
>>> _______________________________________________<br>
>>> Community-list mailing list<br>
>>> <a href="mailto:Community-list@lists.vpsfree.cz" target="_blank">Community-list@lists.vpsfree.cz</a><br>
>>> <a href="http://lists.vpsfree.cz/listinfo/community-list" rel="noreferrer" target="_blank">http://lists.vpsfree.cz/listinfo/community-list</a><br>
>>><br>
>>> _______________________________________________<br>
>>> Community-list mailing list<br>
>>> <a href="mailto:Community-list@lists.vpsfree.cz" target="_blank">Community-list@lists.vpsfree.cz</a><br>
>>> <a href="http://lists.vpsfree.cz/listinfo/community-list" rel="noreferrer" target="_blank">http://lists.vpsfree.cz/listinfo/community-list</a><br>
>>><br>
>><br>
>><br>
>> --<br>
>> Ing. Pavel Hruška<br>
>> <a href="mailto:mrpear@mrpear.net" target="_blank">mrpear@mrpear.net</a><br>
>><br>
>> web, webdesign, web-aplikace:<br>
>> <a href="https://www.pearfect.cz" rel="noreferrer" target="_blank">https://www.pearfect.cz</a> <<a href="http://www.pearfect.cz/" rel="noreferrer" target="_blank">http://www.pearfect.cz/</a>><br>
>> _______________________________________________<br>
>> Community-list mailing list<br>
>> <a href="mailto:Community-list@lists.vpsfree.cz" target="_blank">Community-list@lists.vpsfree.cz</a><br>
>> <a href="http://lists.vpsfree.cz/listinfo/community-list" rel="noreferrer" target="_blank">http://lists.vpsfree.cz/listinfo/community-list</a><br>
>><br>
>><br>
>> _______________________________________________<br>
>> Community-list mailing list<br>
>> <a href="mailto:Community-list@lists.vpsfree.cz" target="_blank">Community-list@lists.vpsfree.cz</a><br>
>> <a href="http://lists.vpsfree.cz/listinfo/community-list" rel="noreferrer" target="_blank">http://lists.vpsfree.cz/listinfo/community-list</a><br>
>><br>
> <br>
> <br>
> <br>
> _______________________________________________<br>
> Community-list mailing list<br>
> <a href="mailto:Community-list@lists.vpsfree.cz" target="_blank">Community-list@lists.vpsfree.cz</a><br>
> <a href="http://lists.vpsfree.cz/listinfo/community-list" rel="noreferrer" target="_blank">http://lists.vpsfree.cz/listinfo/community-list</a><br>
> <br>
_______________________________________________<br>
Community-list mailing list<br>
<a href="mailto:Community-list@lists.vpsfree.cz" target="_blank">Community-list@lists.vpsfree.cz</a><br>
<a href="http://lists.vpsfree.cz/listinfo/community-list" rel="noreferrer" target="_blank">http://lists.vpsfree.cz/listinfo/community-list</a><br>
</blockquote></div><br clear="all"><br>-- <br><div dir="ltr" class="gmail-m_-4207983940538419229gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div style="font-size:small">Ing. Pavel Hruška</div><div style="font-size:small"><a href="mailto:mrpear@mrpear.net" style="color:rgb(17,85,204)" target="_blank">mrpear@mrpear.net</a><br></div><div style="font-size:small"><br></div><div style="font-size:small">web, webdesign, web-aplikace:</div><div style="font-size:small"><a href="http://www.pearfect.cz/" style="color:rgb(17,85,204)" target="_blank">https://www.pearfect.cz</a></div></div></div></div></div></div></div></div></div></div>
_______________________________________________<br>
Community-list mailing list<br>
<a href="mailto:Community-list@lists.vpsfree.cz" target="_blank">Community-list@lists.vpsfree.cz</a><br>
<a href="http://lists.vpsfree.cz/listinfo/community-list" rel="noreferrer" target="_blank">http://lists.vpsfree.cz/listinfo/community-list</a><br>
</blockquote></div>