Re: [vpsFree.cz: community-list] Forwarding z public IPv4 na privátní

7 May 2019

Abych ještě doplnil či nadhodil téma k diskusi, tak podle odpovědi podpory
(použít nat a forward) ti vypadá, že se má provoz mezi dvěma VPS vést přes
"veřejný internet". Souhlasí to?

V.

On Tue, May 7, 2019 at 12:16 PM Pavel Hruška &lt;mrpear(a)mrpear.net&gt; wrote:

...
  Na podporu jsem psal jako první, tam mi poradili
pohrát si s NATem a
 forwardem (což po diskuzi tady vidím, že asi nestačí) a pak mě odkázali na
 community :o).

 Každopádně já jsem nic "ručně" nepřidával, mám k dispozici rozhraní
 (venet0), které má dvě IP adresy (a odtud venet0:x), privátní a public, obě
 adresy jsem samozřejmě dostal od provozovatele. Nevím, zda jsem udělal
 chybu, když jsem použitl venet0:x jako interface u iptables...

 P.

 út 7. 5. 2019 v 11:55 odesílatel Jirka Bourek &lt;vpsfree-list(a)keroub.cz&gt;
 napsal:

  První věc, když vidím ta pravidla pro iptables:
co je venet0:1? To je
 něco, co jste vytvořil pomocí ifconfig kvůli druhé IP adrese? Pokud jo,
 tak pro info, tohle je už víc než deset let zastaralé, kvůli přidání
 další IP adresy na rozhraní, které už nějakou má, není potřeba vytvářet
 žádné virtuální síťovky a stačí udělat tohle:

 ip addr add y.y.y.y/z dev venet0

 Druhá věc - pokud takhle přidáváte adresu k rozhraní venet0 (a platí to
 samé, i když to uděláte tím ifconfig), tak si to představte z pohledu
 provozovatele - ten vám nemůže (neměl by) dovolit, abyste si na síťovku
 nastavil jakoukoliv adresu, která se vám zlíbí. Co kdyby ji někdo
 používal? Rozumný poskytovatel zablokouje cokoliv, co pochází z Vašeho
 serveru, ale ne z IP, kterou Vám dal.

 Na to, abyste mohl takhle propojit dvě VPS, potřebujete na té VPS, která
 má být přístupná z internetu, dvě síťová rozhraní. Je už v podstatě
 jedno, jestli to druhé bude nějaký tunel, VPN nebo co, ale pokud to
 chcete udělat rozumně, potřebujete dvě.

 Takže bych doporučil napsat na podporu, čeho se snažíte docílit a jestli
 je možné to druhé rozhraní přidat. Uvidíte, co vám řeknou - podle toho
 můžete postupovat dál.

 On 07. 05. 19 9:43, Pavel Hruška wrote:
  Já jsem se (slušně) zeptal, protože nevím, jak
situaci vyřešit. S touhle
 situací se totiž setkávám poprvé, takže si hned nedokážu představit,  proč
  dvě síťová rozhraní nejsou ve stejné L2, proč to
funguje tak a proč to
 nefunguje jinak. Nemusíš mi odpovídat jen proto, aby jsi mi řekl, že  tomu
  nerozumím, to já totiž vím, jinak bych se
neptal.

 Pokud by se tedy našel někdo, kdo mi víc pomůže, budu rád.

 Díky,
 P.

 út 7. 5. 2019 v 9:23 odesílatel Stanislav Petr &lt;glux(a)glux.org&gt; napsal:

> Jedno je tak mozna kolecko u trakare… Ale tak jak si to predstavujes to
> proste nejde IP protokol (IPv4 ani IPv6) nepodporuji indirect gateway  (to
 > umi napriklad nektere pokrocilejsi sitove
protokoly, jako treba MPLS).
> Pokud spolu nejsou ty dve sitove rozhrani ve stejne L2 a nevidi na sebe
> primo, nemuze byt ten druhy pro prvni branou… Neboli vysvetli nam jakym
> genialnim zpusobem chces do site s prefixem /32 nacpat vic nez jednu  IPv4
 > adresu?
>
> —
> Stanislav Petr
>
>
> 7. 5. 2019 v 8:31, Pavel Hruška &lt;mrpear(a)mrpear.net&gt;et>:
>
> Privátní VLAN jsem nikde ve vpsadminu neviděl. To, že je veřejná  routovaná
 > jako /32 mi může být jedno, nebo ne? Prostě
mi paket přijde na veřejnou
> VPSku, ta ho forwardne na privátní, nicméně pak se musí paket vrátit  zase
 > zpátky, což nevím, jestli jsem schopen na té
druhé VPS udělat...
>
> P.
>
> po 6. 5. 2019 v 18:58 odesílatel Stanislav Petr &lt;glux(a)glux.org&gt;  napsal:
 >
>> Jedina moznost je udelat si mezi servery napr. ipip tunel a routovat  to
 >> prez nej. Verejny adresy jsou na VPS
routovany jako samostatny /32  routy.
 >> Pripadne jestli jde nekde ve vpsadminu
udelat privatni VLAN...
>>
>> Odesláno z iPhonu
>>
>> 6. 5. 2019 v 15:43, Pavel Hruška &lt;mrpear(a)mrpear.net&gt;et>:
>>
>> Ahojte,
>>
>>    potřeboval bych poradit, resp. ujistit, že je to možné a nedělám
>> nějakou hloupost. Vzhledem k nedostatku public IPv4 chci mít druhou  VPSku
 >> pouze s privátní IP a chci si na ní
směrovat určitý provoz (tcp  porty) z
 >> venku z public IPv4, kterou má první
VPSka. Na začátek si chci zřídit  SSH
 >> přístup, tedy například z veku
x.x.x.x:222 -> y.y.y.y:22. Běžně NAT  dělám
 >> přes iptables.
>>
>>    Tohle jsem zkoušel:
>>    iptables -t nat -A PREROUTING -d x.x.x.x -p tcp -m tcp --match
>> multiport --dports 222 -j DNAT --to-destination y.y.y.y:22
>>    iptables -A FORWARD -i venet0:0 -o venet0:1 -p tcp -m tcp --match
>> multiport --dports 222 -m conntrack --ctstate NEW -j ACCEPT (tady  přesně
 >> nevím, jestli cílový port je 222 nebo 22,
ale zkoušel jsem oboje)
>>
>>    Plus toto:
>>    iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j 
ACCEPT
 >>
>>    sysctl net.ipv4.ip_forward
>>      (vrací net.ipv4.ip_forward = 1)
>>
>>    Něco mi říká, že bych na té druhé VPSce měl mít bránu zpět na tu  první
 >> VPSku, ať se pakety můžou vracet, nicméně
pokud dělám traceroute, tak  mi
 >> jde provoz přes nějakou pro mě neznámou
bránu, ačkoliv route vidím  takový:
 >>
>> Kernel IP routing
>> table
>> Destination     Gateway         Genmask         Flags Metric Ref  Use
 >> Iface
>> default         0.0.0.0         0.0.0.0         U     0      0  0
 >> venet0
>>
>> traceroute to seznam.cz (77.75.74.172), 30 hops max, 60 byte
>> packets
>>   1  172.16.0.27 (172.16.0.27)  0.050 ms  0.017 ms  0.014
>> ms
>>   2  vl128.cr3.r1-8.dc1.4d.prg.masterinter.net (81.31.40.97)  0.389  ms
  > 0.629
ms  0.60
> ...
>
>    Nevím, jestli dělám něco úplně špatně, nevím jak do toho zasahuje
> OpenVZ, atd... Budu rád za každou radu, díky.
>
>
> P.
>
> _______________________________________________
> Community-list mailing list
> Community-list(a)lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
>
> _______________________________________________
> Community-list mailing list
> Community-list(a)lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
>

 --
 Ing. Pavel Hruška
 mrpear(a)mrpear.net

 web, webdesign, web-aplikace:
 https://www.pearfect.cz <http://www.pearfect.cz/>
 _______________________________________________
 Community-list mailing list
 Community-list(a)lists.vpsfree.cz
 http://lists.vpsfree.cz/listinfo/community-list

 _______________________________________________
 Community-list mailing list
 Community-list(a)lists.vpsfree.cz
 http://lists.vpsfree.cz/listinfo/community-list

 _______________________________________________
 Community-list mailing list
 Community-list(a)lists.vpsfree.cz
 http://lists.vpsfree.cz/listinfo/community-list
  _______________________________________________
 Community-list mailing list
 Community-list(a)lists.vpsfree.cz
 http://lists.vpsfree.cz/listinfo/community-list

 --
 Ing. Pavel Hruška
 mrpear(a)mrpear.net

 web, webdesign, web-aplikace:
 https://www.pearfect.cz <http://www.pearfect.cz/>
 _______________________________________________
 Community-list mailing list
 Community-list(a)lists.vpsfree.cz
 http://lists.vpsfree.cz/listinfo/community-list

2024

2023

2022

2021

2020

2019

2018

2017

2016

2015

2014

2013

2012

2011

Re: [vpsFree.cz: community-list] Forwarding z public IPv4 na privátní