Na podporu jsem psal jako první, tam mi poradili pohrát si s NATem a forwardem (což po diskuzi tady vidím, že asi nestačí) a pak mě odkázali na community :o).
Každopádně já jsem nic "ručně" nepřidával, mám k dispozici rozhraní (venet0), které má dvě IP adresy (a odtud venet0:x), privátní a public, obě adresy jsem samozřejmě dostal od provozovatele. Nevím, zda jsem udělal chybu, když jsem použitl venet0:x jako interface u iptables...
P.
út 7. 5. 2019 v 11:55 odesílatel Jirka Bourek vpsfree-list@keroub.cz napsal:
První věc, když vidím ta pravidla pro iptables: co je venet0:1? To je něco, co jste vytvořil pomocí ifconfig kvůli druhé IP adrese? Pokud jo, tak pro info, tohle je už víc než deset let zastaralé, kvůli přidání další IP adresy na rozhraní, které už nějakou má, není potřeba vytvářet žádné virtuální síťovky a stačí udělat tohle:
ip addr add y.y.y.y/z dev venet0
Druhá věc - pokud takhle přidáváte adresu k rozhraní venet0 (a platí to samé, i když to uděláte tím ifconfig), tak si to představte z pohledu provozovatele - ten vám nemůže (neměl by) dovolit, abyste si na síťovku nastavil jakoukoliv adresu, která se vám zlíbí. Co kdyby ji někdo používal? Rozumný poskytovatel zablokouje cokoliv, co pochází z Vašeho serveru, ale ne z IP, kterou Vám dal.
Na to, abyste mohl takhle propojit dvě VPS, potřebujete na té VPS, která má být přístupná z internetu, dvě síťová rozhraní. Je už v podstatě jedno, jestli to druhé bude nějaký tunel, VPN nebo co, ale pokud to chcete udělat rozumně, potřebujete dvě.
Takže bych doporučil napsat na podporu, čeho se snažíte docílit a jestli je možné to druhé rozhraní přidat. Uvidíte, co vám řeknou - podle toho můžete postupovat dál.
On 07. 05. 19 9:43, Pavel Hruška wrote:
Já jsem se (slušně) zeptal, protože nevím, jak situaci vyřešit. S touhle situací se totiž setkávám poprvé, takže si hned nedokážu představit, proč dvě síťová rozhraní nejsou ve stejné L2, proč to funguje tak a proč to nefunguje jinak. Nemusíš mi odpovídat jen proto, aby jsi mi řekl, že tomu nerozumím, to já totiž vím, jinak bych se neptal.
Pokud by se tedy našel někdo, kdo mi víc pomůže, budu rád.
Díky, P.
út 7. 5. 2019 v 9:23 odesílatel Stanislav Petr glux@glux.org napsal:
Jedno je tak mozna kolecko u trakare… Ale tak jak si to predstavujes to proste nejde IP protokol (IPv4 ani IPv6) nepodporuji indirect gateway
(to
umi napriklad nektere pokrocilejsi sitove protokoly, jako treba MPLS). Pokud spolu nejsou ty dve sitove rozhrani ve stejne L2 a nevidi na sebe primo, nemuze byt ten druhy pro prvni branou… Neboli vysvetli nam jakym genialnim zpusobem chces do site s prefixem /32 nacpat vic nez jednu
IPv4
adresu?
— Stanislav Petr
- 2019 v 8:31, Pavel Hruška mrpear@mrpear.net:
Privátní VLAN jsem nikde ve vpsadminu neviděl. To, že je veřejná
routovaná
jako /32 mi může být jedno, nebo ne? Prostě mi paket přijde na veřejnou VPSku, ta ho forwardne na privátní, nicméně pak se musí paket vrátit
zase
zpátky, což nevím, jestli jsem schopen na té druhé VPS udělat...
P.
po 6. 5. 2019 v 18:58 odesílatel Stanislav Petr glux@glux.org napsal:
Jedina moznost je udelat si mezi servery napr. ipip tunel a routovat to prez nej. Verejny adresy jsou na VPS routovany jako samostatny /32
routy.
Pripadne jestli jde nekde ve vpsadminu udelat privatni VLAN...
Odesláno z iPhonu
- 2019 v 15:43, Pavel Hruška mrpear@mrpear.net:
Ahojte,
potřeboval bych poradit, resp. ujistit, že je to možné a nedělám nějakou hloupost. Vzhledem k nedostatku public IPv4 chci mít druhou
VPSku
pouze s privátní IP a chci si na ní směrovat určitý provoz (tcp porty)
z
venku z public IPv4, kterou má první VPSka. Na začátek si chci zřídit
SSH
přístup, tedy například z veku x.x.x.x:222 -> y.y.y.y:22. Běžně NAT
dělám
přes iptables.
Tohle jsem zkoušel: iptables -t nat -A PREROUTING -d x.x.x.x -p tcp -m tcp --match multiport --dports 222 -j DNAT --to-destination y.y.y.y:22 iptables -A FORWARD -i venet0:0 -o venet0:1 -p tcp -m tcp --match multiport --dports 222 -m conntrack --ctstate NEW -j ACCEPT (tady
přesně
nevím, jestli cílový port je 222 nebo 22, ale zkoušel jsem oboje)
Plus toto: iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j
ACCEPT
sysctl net.ipv4.ip_forward (vrací net.ipv4.ip_forward = 1)
Něco mi říká, že bych na té druhé VPSce měl mít bránu zpět na tu
první
VPSku, ať se pakety můžou vracet, nicméně pokud dělám traceroute, tak
mi
jde provoz přes nějakou pro mě neznámou bránu, ačkoliv route vidím
takový:
Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface default 0.0.0.0 0.0.0.0 U 0 0 0 venet0
traceroute to seznam.cz (77.75.74.172), 30 hops max, 60 byte packets 1 172.16.0.27 (172.16.0.27) 0.050 ms 0.017 ms 0.014 ms 2 vl128.cr3.r1-8.dc1.4d.prg.masterinter.net (81.31.40.97) 0.389 ms 0.629 ms 0.60 ...
Nevím, jestli dělám něco úplně špatně, nevím jak do toho zasahuje OpenVZ, atd... Budu rád za každou radu, díky.
P.
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-- Ing. Pavel Hruška mrpear@mrpear.net
web, webdesign, web-aplikace: https://www.pearfect.cz http://www.pearfect.cz/ _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list