<div dir="ltr"><div>Díky za reakci, začíná mi to být jasnější. Hlavně s tím příkladem OpenVPN. Zatím to potřebuji na web (takže ano, nginx a proxy_pass) ale z principu jsem chtěl vědět, jak to udělat i pro veřejné služby. Celkově to beru jako možnost se něco i přiučit.</div><div><br></div><div>Ještě jednou díky,<br></div><div>P. <br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">út 7. 5. 2019 v 10:20 odesílatel Richard Korinek <<a href="mailto:richard.korinek@gmail.com">richard.korinek@gmail.com</a>> napsal:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">Já tomu rozumím tak, že když mám položku v routovací tabulce pro IP protokol, tak brána, přes kterou směřuje, musí být na stejném segmentu sítě, tj. musí být ping na 1 hop. Jinak to nefunguje. <div><br></div><div>Co s tím - udělat mezi nimi VPN routu. Asi bych zkoušel OpenVPN, s tím mám asi nejvíc zkušeností. A ještě bych uvažoval, jestli jít cestou forwardování paketů. Pokud ty služby mají být přístupné pouze pro tebe, tak bych si na vlastním stroji spustil dalšího klienta pro OpenVPN a v tom okamžiku budu mít všeschny stroje na jedné sítě a můžu k nim přistupovat přes adresní rozsah VPNky. </div><div><br></div><div>Pokud potřebuješ veřejně přístupné služby, tak bych asi uvažoval spíš o nějaké proxy - pokud tam budeš provozovat třeba nějaké webové služby, tak nejjednodušší je nginx a v něm bych definoval virtual hosty pro tyto služby jako forwarding proxy. </div><div><br></div><div>R.</div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, May 7, 2019 at 10:05 AM Stefan Stefanov - C.C.C. s.r.o. <<a href="mailto:stefan@ccc.sk" target="_blank">stefan@ccc.sk</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div>Ahojte,<div><br></div><div>ak tomu spravne rozumiem, ale nemusim mat pravdu:</div><div><br></div><div>VPS ktore mas s verejnou IP je na uplne inom rozsahu ako VPS kde nechces mat verejnu IP. Tym padom logicky nie su na “rovnakej” sieti ak ked fyzicky tomu tak je. Je to proste routovanim. Velmi prehnane je to ako keby si chcel spojit komp v praci s kompom doma lebo doma nemas pevnu verejnu IP ale chces pristupovat cez IP ktoru mas v robote…</div><div><br></div><div>Toto je asi laicky povedane to, co Ti pisal Stano.</div><div><br></div><div>Asi najrozumnejsie riesenie tohoto je aby si si na VPS ktora ma verejnu IP spravil VPN server a VPS ktora nema verejnu IP sa bude na to VPN pripajat ako klient. Tym padom si vytvoria medzi sebou spojenie a mal by si vediet robit to, co potrebujes :)</div><div><br></div><div>Ak nemam pravdu sorry...<br><div>
<div dir="auto" style="color:rgb(0,0,0);letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;text-decoration:none"><div dir="auto" style="color:rgb(0,0,0);letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;text-decoration:none"><div dir="auto" style="text-align:start;text-indent:0px"><div dir="auto" style="text-align:start;text-indent:0px"><div dir="auto" style="text-align:start;text-indent:0px"><div dir="auto"><div style="color:rgb(0,0,0);font-family:Helvetica;font-size:12px;font-style:normal;font-variant-caps:normal;font-weight:normal;letter-spacing:normal;text-transform:none;white-space:normal;word-spacing:0px;text-decoration:none;text-align:start;text-indent:0px">Prajem Vam prijemny den.<br><br></div><div style="color:rgb(0,0,0);font-family:Helvetica;font-size:12px;font-style:normal;font-variant-caps:normal;font-weight:normal;letter-spacing:normal;text-transform:none;white-space:normal;word-spacing:0px;text-decoration:none;text-align:start;text-indent:0px">S pozdravom</div><div style="text-align:start;text-indent:0px"><br>Stefan Stefanov<br><br>C.C.C. spol. s r.o.<br>Námestie Biely kríž 1<br>831 02 Bratislava<br>SLOVAKIA</div><div style="text-align:start;text-indent:0px">mob: +421 902 572 848<br>tel: +421 2 44459955, 43411450<br>mail: <a href="mailto:stefan@ccc.sk" target="_blank">stefan@ccc.sk</a></div><div style="text-align:start;text-indent:0px">servisný mail : <a href="mailto:servis@ccc.sk" target="_blank">servis@ccc.sk</a><br><a href="http://www.ccc.sk" target="_blank">www.ccc.sk</a></div><div style="text-align:start;text-indent:0px"><br>Facebook - <a href="http://www.facebook.com/www.ccc.sk/" target="_blank">www.facebook.com/www.ccc.sk/</a></div></div></div></div></div></div></div>
</div>
<div><br><blockquote type="cite"><div>Dňa 7. 5. 2019 o 9:43, Pavel Hruška <<a href="mailto:mrpear@mrpear.net" target="_blank">mrpear@mrpear.net</a>> napísal:</div><br class="gmail-m_-7562637126207134685gmail-m_-4313893100197191511Apple-interchange-newline"><div><div dir="ltr"><div dir="ltr"><div>Já jsem se (slušně) zeptal, protože nevím, jak situaci vyřešit. S touhle situací se totiž setkávám poprvé, takže si hned nedokážu představit, proč dvě síťová rozhraní nejsou ve stejné L2, proč to funguje tak a proč to nefunguje jinak. Nemusíš mi odpovídat jen proto, aby jsi mi řekl, že tomu nerozumím, to já totiž vím, jinak bych se neptal.<br></div><div><br></div><div>Pokud by se tedy našel někdo, kdo mi víc pomůže, budu rád.</div><div><br></div><div>Díky,<br></div><div>P.<br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">út 7. 5. 2019 v 9:23 odesílatel Stanislav Petr <<a href="mailto:glux@glux.org" target="_blank">glux@glux.org</a>> napsal:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div>Jedno je tak mozna kolecko u trakare… Ale tak jak si to predstavujes to proste nejde IP protokol (IPv4 ani IPv6) nepodporuji indirect gateway (to umi napriklad nektere pokrocilejsi sitove protokoly, jako treba MPLS). Pokud spolu nejsou ty dve sitove rozhrani ve stejne L2 a nevidi na sebe primo, nemuze byt ten druhy pro prvni branou… Neboli vysvetli nam jakym genialnim zpusobem chces do site s prefixem /32 nacpat vic nez jednu IPv4 adresu?<div><br></div><div>—</div><div>Stanislav Petr</div><div><br><div><br><blockquote type="cite"><div>7. 5. 2019 v 8:31, Pavel Hruška <<a href="mailto:mrpear@mrpear.net" target="_blank">mrpear@mrpear.net</a>>:</div><br class="gmail-m_-7562637126207134685gmail-m_-4313893100197191511gmail-m_7972063329739892498Apple-interchange-newline"><div><div dir="ltr"><div>Privátní VLAN jsem nikde ve vpsadminu neviděl. To, že je veřejná routovaná jako /32 mi může být jedno, nebo ne? Prostě mi paket přijde na veřejnou VPSku, ta ho forwardne na privátní, nicméně pak se musí paket vrátit zase zpátky, což nevím, jestli jsem schopen na té druhé VPS udělat...</div><div></div><div><br></div><div>P.<br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">po 6. 5. 2019 v 18:58 odesílatel Stanislav Petr <<a href="mailto:glux@glux.org" target="_blank">glux@glux.org</a>> napsal:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="auto">Jedina moznost je udelat si mezi servery napr. ipip tunel a routovat to prez nej. Verejny adresy jsou na VPS routovany jako samostatny /32 routy. Pripadne jestli jde nekde ve vpsadminu udelat privatni VLAN...<br><br><div id="gmail-m_-7562637126207134685gmail-m_-4313893100197191511gmail-m_7972063329739892498gmail-m_6158415975256983383AppleMailSignature" dir="ltr">Odesláno z iPhonu</div><div dir="ltr"><br>6. 5. 2019 v 15:43, Pavel Hruška <<a href="mailto:mrpear@mrpear.net" target="_blank">mrpear@mrpear.net</a>>:<br><br></div><blockquote type="cite"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div>Ahojte, <br></div><div><br></div><div> potřeboval bych poradit, resp. ujistit, že je to možné a nedělám nějakou hloupost. Vzhledem k nedostatku public IPv4 chci mít druhou VPSku pouze s privátní IP a chci si na ní směrovat určitý provoz (tcp porty) z venku z public IPv4, kterou má první VPSka. Na začátek si chci zřídit SSH přístup, tedy například z veku x.x.x.x:222 -> y.y.y.y:22. Běžně NAT dělám přes iptables.</div><div><br></div><div> Tohle jsem zkoušel:<br></div><div> iptables -t nat -A PREROUTING -d x.x.x.x -p tcp -m tcp --match multiport --dports 222 -j DNAT --to-destination y.y.y.y:22<br> iptables -A FORWARD -i venet0:0 -o venet0:1 -p tcp -m tcp --match multiport --dports 222 -m conntrack --ctstate NEW -j ACCEPT (tady přesně nevím, jestli cílový port je 222 nebo 22, ale zkoušel jsem oboje)<br></div><div><br></div><div> Plus toto:<br></div><div> iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT<br></div><div><br></div><div>
<div> sysctl net.ipv4.ip_forward <br></div><div> (vrací net.ipv4.ip_forward = 1)</div><div><br></div><div> Něco mi říká, že bych na té druhé VPSce měl mít bránu zpět na tu první VPSku, ať se pakety můžou vracet, nicméně pokud dělám traceroute, tak mi jde provoz přes nějakou pro mě neznámou bránu, ačkoliv route vidím takový:<br></div><div><br></div><div>Kernel IP routing table <br>Destination Gateway Genmask Flags Metric Ref Use Iface <br>default 0.0.0.0 0.0.0.0 U 0 0 0 venet0 </div><div><br></div><div>
<div>traceroute to <a href="http://seznam.cz/" target="_blank">seznam.cz</a> (77.75.74.172), 30 hops max, 60 byte packets <br> 1 172.16.0.27 (172.16.0.27) 0.050 ms 0.017 ms 0.014 ms <br> 2 <a href="http://vl128.cr3.r1-8.dc1.4d.prg.masterinter.net/" target="_blank">vl128.cr3.r1-8.dc1.4d.prg.masterinter.net</a> (81.31.40.97) 0.389 ms 0.629 ms 0.60<br>...</div><div><br></div>
</div><div> Nevím, jestli dělám něco úplně špatně, nevím jak do toho zasahuje OpenVZ, atd... Budu rád za každou radu, díky.<br></div>
</div><div><br></div><div><br></div><div>P.<br></div></div></div></div></div></div></div></div></div>
</div></blockquote><blockquote type="cite"><div dir="ltr"><span>_______________________________________________</span><br><span>Community-list mailing list</span><br><span><a href="mailto:Community-list@lists.vpsfree.cz" target="_blank">Community-list@lists.vpsfree.cz</a></span><br><span><a href="http://lists.vpsfree.cz/listinfo/community-list" target="_blank">http://lists.vpsfree.cz/listinfo/community-list</a></span><br></div></blockquote></div>_______________________________________________<br>
Community-list mailing list<br>
<a href="mailto:Community-list@lists.vpsfree.cz" target="_blank">Community-list@lists.vpsfree.cz</a><br>
<a href="http://lists.vpsfree.cz/listinfo/community-list" rel="noreferrer" target="_blank">http://lists.vpsfree.cz/listinfo/community-list</a><br>
</blockquote></div><br clear="all"><br>-- <br><div dir="ltr" class="gmail-m_-7562637126207134685gmail-m_-4313893100197191511gmail-m_7972063329739892498gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div style="font-size:small">Ing. Pavel Hruška</div><div style="font-size:small"><a href="mailto:mrpear@mrpear.net" style="color:rgb(17,85,204)" target="_blank">mrpear@mrpear.net</a><br></div><div style="font-size:small"><br></div><div style="font-size:small">web, webdesign, web-aplikace:</div><div style="font-size:small"><a href="http://www.pearfect.cz/" style="color:rgb(17,85,204)" target="_blank">https://www.pearfect.cz</a></div></div></div></div></div></div></div></div></div></div>
_______________________________________________<br>Community-list mailing list<br><a href="mailto:Community-list@lists.vpsfree.cz" target="_blank">Community-list@lists.vpsfree.cz</a><br><a href="http://lists.vpsfree.cz/listinfo/community-list" target="_blank">http://lists.vpsfree.cz/listinfo/community-list</a><br></div></blockquote></div><br></div></div>_______________________________________________<br>
Community-list mailing list<br>
<a href="mailto:Community-list@lists.vpsfree.cz" target="_blank">Community-list@lists.vpsfree.cz</a><br>
<a href="http://lists.vpsfree.cz/listinfo/community-list" rel="noreferrer" target="_blank">http://lists.vpsfree.cz/listinfo/community-list</a><br>
</blockquote></div><br clear="all"><br>-- <br><div dir="ltr" class="gmail-m_-7562637126207134685gmail-m_-4313893100197191511gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div style="font-size:small">Ing. Pavel Hruška</div><div style="font-size:small"><a href="mailto:mrpear@mrpear.net" style="color:rgb(17,85,204)" target="_blank">mrpear@mrpear.net</a><br></div><div style="font-size:small"><br></div><div style="font-size:small">web, webdesign, web-aplikace:</div><div style="font-size:small"><a href="http://www.pearfect.cz/" style="color:rgb(17,85,204)" target="_blank">https://www.pearfect.cz</a></div></div></div></div></div></div></div></div></div></div></div>
_______________________________________________<br>Community-list mailing list<br><a href="mailto:Community-list@lists.vpsfree.cz" target="_blank">Community-list@lists.vpsfree.cz</a><br><a href="http://lists.vpsfree.cz/listinfo/community-list" target="_blank">http://lists.vpsfree.cz/listinfo/community-list</a><br></div></blockquote></div><br></div></div>_______________________________________________<br>
Community-list mailing list<br>
<a href="mailto:Community-list@lists.vpsfree.cz" target="_blank">Community-list@lists.vpsfree.cz</a><br>
<a href="http://lists.vpsfree.cz/listinfo/community-list" rel="noreferrer" target="_blank">http://lists.vpsfree.cz/listinfo/community-list</a><br>
</blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail-m_-7562637126207134685gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr">Richard Kořínek<br>^^^^^^^^^^^^^^<br><div style="font-size:small">email: <a href="mailto:richard.korinek@gmail.com" target="_blank">richard.korinek@gmail.com</a></div><div style="font-size:small">phone: +420 604 777 044</div><div><br><br><br></div></div></div></div></div></div></div>
_______________________________________________<br>
Community-list mailing list<br>
<a href="mailto:Community-list@lists.vpsfree.cz" target="_blank">Community-list@lists.vpsfree.cz</a><br>
<a href="http://lists.vpsfree.cz/listinfo/community-list" rel="noreferrer" target="_blank">http://lists.vpsfree.cz/listinfo/community-list</a><br>
</blockquote></div><br clear="all"><br>-- <br><div dir="ltr" class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div style="font-size:small">Ing. Pavel Hruška</div><div style="font-size:small"><a href="mailto:mrpear@mrpear.net" style="color:rgb(17,85,204)" target="_blank">mrpear@mrpear.net</a><br></div><div style="font-size:small"><br></div><div style="font-size:small">web, webdesign, web-aplikace:</div><div style="font-size:small"><a href="http://www.pearfect.cz/" style="color:rgb(17,85,204)" target="_blank">https://www.pearfect.cz</a></div></div></div></div></div></div></div></div></div></div>