<div dir="ltr"><div dir="ltr"><div>...ještě poznámka, že jakmile jsem vytvořil tunel, tak jsem samozřejmě změnil DNAT:</div><div><br></div><div> iptables -t nat -A PREROUTING ... -j DNAT --to-destination <a href="http://10.0.0.254:22"><font color="red"><b>MailScanner warning: numerical links are often malicious:</b></font> 10.0.0.254:22</a></div><div><br></div><div>P.<br></div></div></div><div id="DAB4FAD8-2DD7-40BB-A1B8-4E2AA1F9FDF2"><br> <table style="border-top:1px solid #d3d4de">
<tr>
<td style="width:55px;padding-top:18px"><a href="http://www.avg.com/email-signature?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=webmail" target="_blank"><img src="https://ipmcdn.avast.com/images/icons/icon-envelope-tick-green-avg-v1.png" alt="" width="46" height="29" style="width: 46px; height: 29px;"></a></td>
<td style="width:470px;padding-top:17px;color:#41424e;font-size:13px;font-family:Arial,Helvetica,sans-serif;line-height:18px">Bez virů. <a href="http://www.avg.com/email-signature?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=webmail" target="_blank" style="color:#4453ea">www.avg.com</a> </td>
</tr>
</table>
<a href="#DAB4FAD8-2DD7-40BB-A1B8-4E2AA1F9FDF2" width="1" height="1"></a></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">út 7. 5. 2019 v 21:51 odesílatel Jirka Bourek <<a href="mailto:vpsfree-list@keroub.cz">vpsfree-list@keroub.cz</a>> napsal:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Aha, tak jo. (Rejp: OpenVZ je divný a přiřazování různých IP na něco, co <br>
vypadá jako jedna síťovka, taky)<br>
<br>
Pošlete sem výstupy ip addr show a ip route show z obou těch strojů - <br>
pokud budete skrývat adresy, tak ať je z nich poznat, které jsou <br>
privátní a které veřejné<br>
<br>
Jinak to pravidlo s FORWARD NEW by AFAIK mělo být s dport 22, protože <br>
FORWARD ten paket vidí už upravený tím DNATem v PREROUTING.<br>
<br>
Pravidla s PREROUTING vypadá taky dobře, ale aby to fungovalo takhle, <br>
tak je potřeba, aby buď<br>
<br>
a) privátní IP adresa na tom druhém stroji byla na stejné (L2) síti jako <br>
na tom prvním stroji (tj. ping -t 1 <a href="http://ta.ip.adre.sa" rel="noreferrer" target="_blank">ta.ip.adre.sa</a> bude fungovat)<br>
<br>
- nebo -<br>
<br>
b) routery mezi těmi Vašimi stroji počítaly s tím, o co se pokoušíte <br>
(velká ptákovina, teoreticky by to šlo, prakticky na to zapomeňte a <br>
zkuste ten ping)<br>
<br>
Pak je taky potřeba, aby ten druhý stroj, co má mít jenom privátní <br>
adresu, měl ten první stroj nastavený jako výchozí bránu, což podle toho <br>
výpisu route moc nevypadá.<br>
<br>
Tak mě napadá, jak se na ten druhý stroj, který nemá veřejnou IP, <br>
připojujete teď? Z té webové konzole ve vpsadminu?<br>
<br>
<br>
On 07. 05. 19 12:14, Pavel Hruška wrote:<br>
> Na podporu jsem psal jako první, tam mi poradili pohrát si s NATem a<br>
> forwardem (což po diskuzi tady vidím, že asi nestačí) a pak mě odkázali na<br>
> community :o).<br>
> <br>
> Každopádně já jsem nic "ručně" nepřidával, mám k dispozici rozhraní<br>
> (venet0), které má dvě IP adresy (a odtud venet0:x), privátní a public, obě<br>
> adresy jsem samozřejmě dostal od provozovatele. Nevím, zda jsem udělal<br>
> chybu, když jsem použitl venet0:x jako interface u iptables...<br>
> <br>
> P.<br>
> <br>
> <br>
> út 7. 5. 2019 v 11:55 odesílatel Jirka Bourek <<a href="mailto:vpsfree-list@keroub.cz" target="_blank">vpsfree-list@keroub.cz</a>><br>
> napsal:<br>
> <br>
>> První věc, když vidím ta pravidla pro iptables: co je venet0:1? To je<br>
>> něco, co jste vytvořil pomocí ifconfig kvůli druhé IP adrese? Pokud jo,<br>
>> tak pro info, tohle je už víc než deset let zastaralé, kvůli přidání<br>
>> další IP adresy na rozhraní, které už nějakou má, není potřeba vytvářet<br>
>> žádné virtuální síťovky a stačí udělat tohle:<br>
>><br>
>> ip addr add y.y.y.y/z dev venet0<br>
>><br>
>> Druhá věc - pokud takhle přidáváte adresu k rozhraní venet0 (a platí to<br>
>> samé, i když to uděláte tím ifconfig), tak si to představte z pohledu<br>
>> provozovatele - ten vám nemůže (neměl by) dovolit, abyste si na síťovku<br>
>> nastavil jakoukoliv adresu, která se vám zlíbí. Co kdyby ji někdo<br>
>> používal? Rozumný poskytovatel zablokouje cokoliv, co pochází z Vašeho<br>
>> serveru, ale ne z IP, kterou Vám dal.<br>
>><br>
>> Na to, abyste mohl takhle propojit dvě VPS, potřebujete na té VPS, která<br>
>> má být přístupná z internetu, dvě síťová rozhraní. Je už v podstatě<br>
>> jedno, jestli to druhé bude nějaký tunel, VPN nebo co, ale pokud to<br>
>> chcete udělat rozumně, potřebujete dvě.<br>
>><br>
>> Takže bych doporučil napsat na podporu, čeho se snažíte docílit a jestli<br>
>> je možné to druhé rozhraní přidat. Uvidíte, co vám řeknou - podle toho<br>
>> můžete postupovat dál.<br>
>><br>
>><br>
>><br>
>> On 07. 05. 19 9:43, Pavel Hruška wrote:<br>
>>> Já jsem se (slušně) zeptal, protože nevím, jak situaci vyřešit. S touhle<br>
>>> situací se totiž setkávám poprvé, takže si hned nedokážu představit, proč<br>
>>> dvě síťová rozhraní nejsou ve stejné L2, proč to funguje tak a proč to<br>
>>> nefunguje jinak. Nemusíš mi odpovídat jen proto, aby jsi mi řekl, že tomu<br>
>>> nerozumím, to já totiž vím, jinak bych se neptal.<br>
>>><br>
>>> Pokud by se tedy našel někdo, kdo mi víc pomůže, budu rád.<br>
>>><br>
>>> Díky,<br>
>>> P.<br>
>>><br>
>>> út 7. 5. 2019 v 9:23 odesílatel Stanislav Petr <<a href="mailto:glux@glux.org" target="_blank">glux@glux.org</a>> napsal:<br>
>>><br>
>>>> Jedno je tak mozna kolecko u trakare… Ale tak jak si to predstavujes to<br>
>>>> proste nejde IP protokol (IPv4 ani IPv6) nepodporuji indirect gateway<br>
>> (to<br>
>>>> umi napriklad nektere pokrocilejsi sitove protokoly, jako treba MPLS).<br>
>>>> Pokud spolu nejsou ty dve sitove rozhrani ve stejne L2 a nevidi na sebe<br>
>>>> primo, nemuze byt ten druhy pro prvni branou… Neboli vysvetli nam jakym<br>
>>>> genialnim zpusobem chces do site s prefixem /32 nacpat vic nez jednu<br>
>> IPv4<br>
>>>> adresu?<br>
>>>><br>
>>>> —<br>
>>>> Stanislav Petr<br>
>>>><br>
>>>><br>
>>>> 7. 5. 2019 v 8:31, Pavel Hruška <<a href="mailto:mrpear@mrpear.net" target="_blank">mrpear@mrpear.net</a>>:<br>
>>>><br>
>>>> Privátní VLAN jsem nikde ve vpsadminu neviděl. To, že je veřejná<br>
>> routovaná<br>
>>>> jako /32 mi může být jedno, nebo ne? Prostě mi paket přijde na veřejnou<br>
>>>> VPSku, ta ho forwardne na privátní, nicméně pak se musí paket vrátit<br>
>> zase<br>
>>>> zpátky, což nevím, jestli jsem schopen na té druhé VPS udělat...<br>
>>>><br>
>>>> P.<br>
>>>><br>
>>>> po 6. 5. 2019 v 18:58 odesílatel Stanislav Petr <<a href="mailto:glux@glux.org" target="_blank">glux@glux.org</a>> napsal:<br>
>>>><br>
>>>>> Jedina moznost je udelat si mezi servery napr. ipip tunel a routovat to<br>
>>>>> prez nej. Verejny adresy jsou na VPS routovany jako samostatny /32<br>
>> routy.<br>
>>>>> Pripadne jestli jde nekde ve vpsadminu udelat privatni VLAN...<br>
>>>>><br>
>>>>> Odesláno z iPhonu<br>
>>>>><br>
>>>>> 6. 5. 2019 v 15:43, Pavel Hruška <<a href="mailto:mrpear@mrpear.net" target="_blank">mrpear@mrpear.net</a>>:<br>
>>>>><br>
>>>>> Ahojte,<br>
>>>>><br>
>>>>> potřeboval bych poradit, resp. ujistit, že je to možné a nedělám<br>
>>>>> nějakou hloupost. Vzhledem k nedostatku public IPv4 chci mít druhou<br>
>> VPSku<br>
>>>>> pouze s privátní IP a chci si na ní směrovat určitý provoz (tcp porty)<br>
>> z<br>
>>>>> venku z public IPv4, kterou má první VPSka. Na začátek si chci zřídit<br>
>> SSH<br>
>>>>> přístup, tedy například z veku x.x.x.x:222 -> y.y.y.y:22. Běžně NAT<br>
>> dělám<br>
>>>>> přes iptables.<br>
>>>>><br>
>>>>> Tohle jsem zkoušel:<br>
>>>>> iptables -t nat -A PREROUTING -d x.x.x.x -p tcp -m tcp --match<br>
>>>>> multiport --dports 222 -j DNAT --to-destination y.y.y.y:22<br>
>>>>> iptables -A FORWARD -i venet0:0 -o venet0:1 -p tcp -m tcp --match<br>
>>>>> multiport --dports 222 -m conntrack --ctstate NEW -j ACCEPT (tady<br>
>> přesně<br>
>>>>> nevím, jestli cílový port je 222 nebo 22, ale zkoušel jsem oboje)<br>
>>>>><br>
>>>>> Plus toto:<br>
>>>>> iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j<br>
>> ACCEPT<br>
>>>>><br>
>>>>> sysctl net.ipv4.ip_forward<br>
>>>>> (vrací net.ipv4.ip_forward = 1)<br>
>>>>><br>
>>>>> Něco mi říká, že bych na té druhé VPSce měl mít bránu zpět na tu<br>
>> první<br>
>>>>> VPSku, ať se pakety můžou vracet, nicméně pokud dělám traceroute, tak<br>
>> mi<br>
>>>>> jde provoz přes nějakou pro mě neznámou bránu, ačkoliv route vidím<br>
>> takový:<br>
>>>>><br>
>>>>> Kernel IP routing<br>
>>>>> table<br>
>>>>> Destination Gateway Genmask Flags Metric Ref Use<br>
>>>>> Iface<br>
>>>>> default 0.0.0.0 0.0.0.0 U 0 0 0<br>
>>>>> venet0<br>
>>>>><br>
>>>>> traceroute to <a href="http://seznam.cz" rel="noreferrer" target="_blank">seznam.cz</a> (77.75.74.172), 30 hops max, 60 byte<br>
>>>>> packets<br>
>>>>> 1 172.16.0.27 (172.16.0.27) 0.050 ms 0.017 ms 0.014<br>
>>>>> ms<br>
>>>>> 2 <a href="http://vl128.cr3.r1-8.dc1.4d.prg.masterinter.net" rel="noreferrer" target="_blank">vl128.cr3.r1-8.dc1.4d.prg.masterinter.net</a> (81.31.40.97) 0.389 ms<br>
>>>>> 0.629 ms 0.60<br>
>>>>> ...<br>
>>>>><br>
>>>>> Nevím, jestli dělám něco úplně špatně, nevím jak do toho zasahuje<br>
>>>>> OpenVZ, atd... Budu rád za každou radu, díky.<br>
>>>>><br>
>>>>><br>
>>>>> P.<br>
>>>>><br>
>>>>> _______________________________________________<br>
>>>>> Community-list mailing list<br>
>>>>> <a href="mailto:Community-list@lists.vpsfree.cz" target="_blank">Community-list@lists.vpsfree.cz</a><br>
>>>>> <a href="http://lists.vpsfree.cz/listinfo/community-list" rel="noreferrer" target="_blank">http://lists.vpsfree.cz/listinfo/community-list</a><br>
>>>>><br>
>>>>> _______________________________________________<br>
>>>>> Community-list mailing list<br>
>>>>> <a href="mailto:Community-list@lists.vpsfree.cz" target="_blank">Community-list@lists.vpsfree.cz</a><br>
>>>>> <a href="http://lists.vpsfree.cz/listinfo/community-list" rel="noreferrer" target="_blank">http://lists.vpsfree.cz/listinfo/community-list</a><br>
>>>>><br>
>>>><br>
>>>><br>
>>>> --<br>
>>>> Ing. Pavel Hruška<br>
>>>> <a href="mailto:mrpear@mrpear.net" target="_blank">mrpear@mrpear.net</a><br>
>>>><br>
>>>> web, webdesign, web-aplikace:<br>
>>>> <a href="https://www.pearfect.cz" rel="noreferrer" target="_blank">https://www.pearfect.cz</a> <<a href="http://www.pearfect.cz/" rel="noreferrer" target="_blank">http://www.pearfect.cz/</a>><br>
>>>> _______________________________________________<br>
>>>> Community-list mailing list<br>
>>>> <a href="mailto:Community-list@lists.vpsfree.cz" target="_blank">Community-list@lists.vpsfree.cz</a><br>
>>>> <a href="http://lists.vpsfree.cz/listinfo/community-list" rel="noreferrer" target="_blank">http://lists.vpsfree.cz/listinfo/community-list</a><br>
>>>><br>
>>>><br>
>>>> _______________________________________________<br>
>>>> Community-list mailing list<br>
>>>> <a href="mailto:Community-list@lists.vpsfree.cz" target="_blank">Community-list@lists.vpsfree.cz</a><br>
>>>> <a href="http://lists.vpsfree.cz/listinfo/community-list" rel="noreferrer" target="_blank">http://lists.vpsfree.cz/listinfo/community-list</a><br>
>>>><br>
>>><br>
>>><br>
>>><br>
>>> _______________________________________________<br>
>>> Community-list mailing list<br>
>>> <a href="mailto:Community-list@lists.vpsfree.cz" target="_blank">Community-list@lists.vpsfree.cz</a><br>
>>> <a href="http://lists.vpsfree.cz/listinfo/community-list" rel="noreferrer" target="_blank">http://lists.vpsfree.cz/listinfo/community-list</a><br>
>>><br>
>> _______________________________________________<br>
>> Community-list mailing list<br>
>> <a href="mailto:Community-list@lists.vpsfree.cz" target="_blank">Community-list@lists.vpsfree.cz</a><br>
>> <a href="http://lists.vpsfree.cz/listinfo/community-list" rel="noreferrer" target="_blank">http://lists.vpsfree.cz/listinfo/community-list</a><br>
>><br>
> <br>
> <br>
> <br>
> _______________________________________________<br>
> Community-list mailing list<br>
> <a href="mailto:Community-list@lists.vpsfree.cz" target="_blank">Community-list@lists.vpsfree.cz</a><br>
> <a href="http://lists.vpsfree.cz/listinfo/community-list" rel="noreferrer" target="_blank">http://lists.vpsfree.cz/listinfo/community-list</a><br>
> <br>
_______________________________________________<br>
Community-list mailing list<br>
<a href="mailto:Community-list@lists.vpsfree.cz" target="_blank">Community-list@lists.vpsfree.cz</a><br>
<a href="http://lists.vpsfree.cz/listinfo/community-list" rel="noreferrer" target="_blank">http://lists.vpsfree.cz/listinfo/community-list</a><br>
</blockquote></div><br clear="all"><br>-- <br><div dir="ltr" class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div style="font-size:small">Ing. Pavel Hruška</div><div style="font-size:small"><a href="mailto:mrpear@mrpear.net" style="color:rgb(17,85,204)" target="_blank">mrpear@mrpear.net</a><br></div><div style="font-size:small"><br></div><div style="font-size:small">web, webdesign, web-aplikace:</div><div style="font-size:small"><a href="http://www.pearfect.cz/" style="color:rgb(17,85,204)" target="_blank">https://www.pearfect.cz</a></div></div></div></div></div></div></div></div></div></div><div id="DAB4FAD8-2DD7-40BB-A1B8-4E2AA1F9FDF2"><br> <table style="border-top:1px solid #d3d4de">
<tr>
<td style="width:55px;padding-top:18px"><a href="http://www.avg.com/email-signature?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=webmail" target="_blank"><img src="https://ipmcdn.avast.com/images/icons/icon-envelope-tick-green-avg-v1.png" alt="" width="46" height="29" style="width: 46px; height: 29px;"></a></td>
<td style="width:470px;padding-top:17px;color:#41424e;font-size:13px;font-family:Arial,Helvetica,sans-serif;line-height:18px">Bez virů. <a href="http://www.avg.com/email-signature?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=webmail" target="_blank" style="color:#4453ea">www.avg.com</a> </td>
</tr>
</table>
<a href="#DAB4FAD8-2DD7-40BB-A1B8-4E2AA1F9FDF2" width="1" height="1"></a></div>