Ahojte,
potřeboval bych poradit, resp. ujistit, že je to možné a nedělám nějakou hloupost. Vzhledem k nedostatku public IPv4 chci mít druhou VPSku pouze s privátní IP a chci si na ní směrovat určitý provoz (tcp porty) z venku z public IPv4, kterou má první VPSka. Na začátek si chci zřídit SSH přístup, tedy například z veku x.x.x.x:222 -> y.y.y.y:22. Běžně NAT dělám přes iptables.
Tohle jsem zkoušel: iptables -t nat -A PREROUTING -d x.x.x.x -p tcp -m tcp --match multiport --dports 222 -j DNAT --to-destination y.y.y.y:22 iptables -A FORWARD -i venet0:0 -o venet0:1 -p tcp -m tcp --match multiport --dports 222 -m conntrack --ctstate NEW -j ACCEPT (tady přesně nevím, jestli cílový port je 222 nebo 22, ale zkoušel jsem oboje)
Plus toto: iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
sysctl net.ipv4.ip_forward (vrací net.ipv4.ip_forward = 1)
Něco mi říká, že bych na té druhé VPSce měl mít bránu zpět na tu první VPSku, ať se pakety můžou vracet, nicméně pokud dělám traceroute, tak mi jde provoz přes nějakou pro mě neznámou bránu, ačkoliv route vidím takový:
Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface default 0.0.0.0 0.0.0.0 U 0 0 0 venet0
traceroute to seznam.cz (77.75.74.172), 30 hops max, 60 byte packets 1 172.16.0.27 (172.16.0.27) 0.050 ms 0.017 ms 0.014 ms 2 vl128.cr3.r1-8.dc1.4d.prg.masterinter.net (81.31.40.97) 0.389 ms 0.629 ms 0.60 ...
Nevím, jestli dělám něco úplně špatně, nevím jak do toho zasahuje OpenVZ, atd... Budu rád za každou radu, díky.
P.
Jedina moznost je udelat si mezi servery napr. ipip tunel a routovat to prez nej. Verejny adresy jsou na VPS routovany jako samostatny /32 routy. Pripadne jestli jde nekde ve vpsadminu udelat privatni VLAN...
Odesláno z iPhonu
6. 5. 2019 v 15:43, Pavel Hruška mrpear@mrpear.net:
Ahojte,
potřeboval bych poradit, resp. ujistit, že je to možné a nedělám nějakou hloupost. Vzhledem k nedostatku public IPv4 chci mít druhou VPSku pouze s privátní IP a chci si na ní směrovat určitý provoz (tcp porty) z venku z public IPv4, kterou má první VPSka. Na začátek si chci zřídit SSH přístup, tedy například z veku x.x.x.x:222 -> y.y.y.y:22. Běžně NAT dělám přes iptables.
Tohle jsem zkoušel: iptables -t nat -A PREROUTING -d x.x.x.x -p tcp -m tcp --match multiport --dports 222 -j DNAT --to-destination y.y.y.y:22 iptables -A FORWARD -i venet0:0 -o venet0:1 -p tcp -m tcp --match multiport --dports 222 -m conntrack --ctstate NEW -j ACCEPT (tady přesně nevím, jestli cílový port je 222 nebo 22, ale zkoušel jsem oboje)
Plus toto: iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
sysctl net.ipv4.ip_forward (vrací net.ipv4.ip_forward = 1)
Něco mi říká, že bych na té druhé VPSce měl mít bránu zpět na tu první VPSku, ať se pakety můžou vracet, nicméně pokud dělám traceroute, tak mi jde provoz přes nějakou pro mě neznámou bránu, ačkoliv route vidím takový:
Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface default 0.0.0.0 0.0.0.0 U 0 0 0 venet0
traceroute to seznam.cz (77.75.74.172), 30 hops max, 60 byte packets 1 172.16.0.27 (172.16.0.27) 0.050 ms 0.017 ms 0.014 ms 2 vl128.cr3.r1-8.dc1.4d.prg.masterinter.net (81.31.40.97) 0.389 ms 0.629 ms 0.60 ...
Nevím, jestli dělám něco úplně špatně, nevím jak do toho zasahuje OpenVZ, atd... Budu rád za každou radu, díky.
P. _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Privátní VLAN jsem nikde ve vpsadminu neviděl. To, že je veřejná routovaná jako /32 mi může být jedno, nebo ne? Prostě mi paket přijde na veřejnou VPSku, ta ho forwardne na privátní, nicméně pak se musí paket vrátit zase zpátky, což nevím, jestli jsem schopen na té druhé VPS udělat...
P.
po 6. 5. 2019 v 18:58 odesílatel Stanislav Petr glux@glux.org napsal:
Jedina moznost je udelat si mezi servery napr. ipip tunel a routovat to prez nej. Verejny adresy jsou na VPS routovany jako samostatny /32 routy. Pripadne jestli jde nekde ve vpsadminu udelat privatni VLAN...
Odesláno z iPhonu
- 2019 v 15:43, Pavel Hruška mrpear@mrpear.net:
Ahojte,
potřeboval bych poradit, resp. ujistit, že je to možné a nedělám nějakou hloupost. Vzhledem k nedostatku public IPv4 chci mít druhou VPSku pouze s privátní IP a chci si na ní směrovat určitý provoz (tcp porty) z venku z public IPv4, kterou má první VPSka. Na začátek si chci zřídit SSH přístup, tedy například z veku x.x.x.x:222 -> y.y.y.y:22. Běžně NAT dělám přes iptables.
Tohle jsem zkoušel: iptables -t nat -A PREROUTING -d x.x.x.x -p tcp -m tcp --match multiport --dports 222 -j DNAT --to-destination y.y.y.y:22 iptables -A FORWARD -i venet0:0 -o venet0:1 -p tcp -m tcp --match multiport --dports 222 -m conntrack --ctstate NEW -j ACCEPT (tady přesně nevím, jestli cílový port je 222 nebo 22, ale zkoušel jsem oboje)
Plus toto: iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
sysctl net.ipv4.ip_forward (vrací net.ipv4.ip_forward = 1)
Něco mi říká, že bych na té druhé VPSce měl mít bránu zpět na tu první VPSku, ať se pakety můžou vracet, nicméně pokud dělám traceroute, tak mi jde provoz přes nějakou pro mě neznámou bránu, ačkoliv route vidím takový:
Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface default 0.0.0.0 0.0.0.0 U 0 0 0 venet0
traceroute to seznam.cz (77.75.74.172), 30 hops max, 60 byte packets 1 172.16.0.27 (172.16.0.27) 0.050 ms 0.017 ms 0.014 ms 2 vl128.cr3.r1-8.dc1.4d.prg.masterinter.net (81.31.40.97) 0.389 ms 0.629 ms 0.60 ...
Nevím, jestli dělám něco úplně špatně, nevím jak do toho zasahuje OpenVZ, atd... Budu rád za každou radu, díky.
P.
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Jedno je tak mozna kolecko u trakare… Ale tak jak si to predstavujes to proste nejde IP protokol (IPv4 ani IPv6) nepodporuji indirect gateway (to umi napriklad nektere pokrocilejsi sitove protokoly, jako treba MPLS). Pokud spolu nejsou ty dve sitove rozhrani ve stejne L2 a nevidi na sebe primo, nemuze byt ten druhy pro prvni branou… Neboli vysvetli nam jakym genialnim zpusobem chces do site s prefixem /32 nacpat vic nez jednu IPv4 adresu?
— Stanislav Petr
- 2019 v 8:31, Pavel Hruška mrpear@mrpear.net:
Privátní VLAN jsem nikde ve vpsadminu neviděl. To, že je veřejná routovaná jako /32 mi může být jedno, nebo ne? Prostě mi paket přijde na veřejnou VPSku, ta ho forwardne na privátní, nicméně pak se musí paket vrátit zase zpátky, což nevím, jestli jsem schopen na té druhé VPS udělat...
P.
po 6. 5. 2019 v 18:58 odesílatel Stanislav Petr <glux@glux.org mailto:glux@glux.org> napsal: Jedina moznost je udelat si mezi servery napr. ipip tunel a routovat to prez nej. Verejny adresy jsou na VPS routovany jako samostatny /32 routy. Pripadne jestli jde nekde ve vpsadminu udelat privatni VLAN...
Odesláno z iPhonu
- 2019 v 15:43, Pavel Hruška <mrpear@mrpear.net mailto:mrpear@mrpear.net>:
Ahojte,
potřeboval bych poradit, resp. ujistit, že je to možné a nedělám nějakou hloupost. Vzhledem k nedostatku public IPv4 chci mít druhou VPSku pouze s privátní IP a chci si na ní směrovat určitý provoz (tcp porty) z venku z public IPv4, kterou má první VPSka. Na začátek si chci zřídit SSH přístup, tedy například z veku x.x.x.x:222 -> y.y.y.y:22. Běžně NAT dělám přes iptables.
Tohle jsem zkoušel: iptables -t nat -A PREROUTING -d x.x.x.x -p tcp -m tcp --match multiport --dports 222 -j DNAT --to-destination y.y.y.y:22 iptables -A FORWARD -i venet0:0 -o venet0:1 -p tcp -m tcp --match multiport --dports 222 -m conntrack --ctstate NEW -j ACCEPT (tady přesně nevím, jestli cílový port je 222 nebo 22, ale zkoušel jsem oboje)
Plus toto: iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
sysctl net.ipv4.ip_forward (vrací net.ipv4.ip_forward = 1)
Něco mi říká, že bych na té druhé VPSce měl mít bránu zpět na tu první VPSku, ať se pakety můžou vracet, nicméně pokud dělám traceroute, tak mi jde provoz přes nějakou pro mě neznámou bránu, ačkoliv route vidím takový:
Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface default 0.0.0.0 0.0.0.0 U 0 0 0 venet0
traceroute to seznam.cz http://seznam.cz/ (77.75.74.172), 30 hops max, 60 byte packets 1 172.16.0.27 (172.16.0.27) 0.050 ms 0.017 ms 0.014 ms 2 vl128.cr3.r1-8.dc1.4d.prg.masterinter.net http://vl128.cr3.r1-8.dc1.4d.prg.masterinter.net/ (81.31.40.97) 0.389 ms 0.629 ms 0.60 ...
Nevím, jestli dělám něco úplně špatně, nevím jak do toho zasahuje OpenVZ, atd... Budu rád za každou radu, díky.
P. _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz mailto:Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz mailto:Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list http://lists.vpsfree.cz/listinfo/community-list
-- Ing. Pavel Hruška mrpear@mrpear.net mailto:mrpear@mrpear.net
web, webdesign, web-aplikace: https://www.pearfect.cz http://www.pearfect.cz/_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Já jsem se (slušně) zeptal, protože nevím, jak situaci vyřešit. S touhle situací se totiž setkávám poprvé, takže si hned nedokážu představit, proč dvě síťová rozhraní nejsou ve stejné L2, proč to funguje tak a proč to nefunguje jinak. Nemusíš mi odpovídat jen proto, aby jsi mi řekl, že tomu nerozumím, to já totiž vím, jinak bych se neptal.
Pokud by se tedy našel někdo, kdo mi víc pomůže, budu rád.
Díky, P.
út 7. 5. 2019 v 9:23 odesílatel Stanislav Petr glux@glux.org napsal:
Jedno je tak mozna kolecko u trakare… Ale tak jak si to predstavujes to proste nejde IP protokol (IPv4 ani IPv6) nepodporuji indirect gateway (to umi napriklad nektere pokrocilejsi sitove protokoly, jako treba MPLS). Pokud spolu nejsou ty dve sitove rozhrani ve stejne L2 a nevidi na sebe primo, nemuze byt ten druhy pro prvni branou… Neboli vysvetli nam jakym genialnim zpusobem chces do site s prefixem /32 nacpat vic nez jednu IPv4 adresu?
— Stanislav Petr
- 2019 v 8:31, Pavel Hruška mrpear@mrpear.net:
Privátní VLAN jsem nikde ve vpsadminu neviděl. To, že je veřejná routovaná jako /32 mi může být jedno, nebo ne? Prostě mi paket přijde na veřejnou VPSku, ta ho forwardne na privátní, nicméně pak se musí paket vrátit zase zpátky, což nevím, jestli jsem schopen na té druhé VPS udělat...
P.
po 6. 5. 2019 v 18:58 odesílatel Stanislav Petr glux@glux.org napsal:
Jedina moznost je udelat si mezi servery napr. ipip tunel a routovat to prez nej. Verejny adresy jsou na VPS routovany jako samostatny /32 routy. Pripadne jestli jde nekde ve vpsadminu udelat privatni VLAN...
Odesláno z iPhonu
- 2019 v 15:43, Pavel Hruška mrpear@mrpear.net:
Ahojte,
potřeboval bych poradit, resp. ujistit, že je to možné a nedělám nějakou hloupost. Vzhledem k nedostatku public IPv4 chci mít druhou VPSku pouze s privátní IP a chci si na ní směrovat určitý provoz (tcp porty) z venku z public IPv4, kterou má první VPSka. Na začátek si chci zřídit SSH přístup, tedy například z veku x.x.x.x:222 -> y.y.y.y:22. Běžně NAT dělám přes iptables.
Tohle jsem zkoušel: iptables -t nat -A PREROUTING -d x.x.x.x -p tcp -m tcp --match multiport --dports 222 -j DNAT --to-destination y.y.y.y:22 iptables -A FORWARD -i venet0:0 -o venet0:1 -p tcp -m tcp --match multiport --dports 222 -m conntrack --ctstate NEW -j ACCEPT (tady přesně nevím, jestli cílový port je 222 nebo 22, ale zkoušel jsem oboje)
Plus toto: iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
sysctl net.ipv4.ip_forward (vrací net.ipv4.ip_forward = 1)
Něco mi říká, že bych na té druhé VPSce měl mít bránu zpět na tu první VPSku, ať se pakety můžou vracet, nicméně pokud dělám traceroute, tak mi jde provoz přes nějakou pro mě neznámou bránu, ačkoliv route vidím takový:
Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface default 0.0.0.0 0.0.0.0 U 0 0 0 venet0
traceroute to seznam.cz (77.75.74.172), 30 hops max, 60 byte packets 1 172.16.0.27 (172.16.0.27) 0.050 ms 0.017 ms 0.014 ms 2 vl128.cr3.r1-8.dc1.4d.prg.masterinter.net (81.31.40.97) 0.389 ms 0.629 ms 0.60 ...
Nevím, jestli dělám něco úplně špatně, nevím jak do toho zasahuje OpenVZ, atd... Budu rád za každou radu, díky.
P.
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-- Ing. Pavel Hruška mrpear@mrpear.net
web, webdesign, web-aplikace: https://www.pearfect.cz http://www.pearfect.cz/ _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Ahojte,
ak tomu spravne rozumiem, ale nemusim mat pravdu:
VPS ktore mas s verejnou IP je na uplne inom rozsahu ako VPS kde nechces mat verejnu IP. Tym padom logicky nie su na “rovnakej” sieti ak ked fyzicky tomu tak je. Je to proste routovanim. Velmi prehnane je to ako keby si chcel spojit komp v praci s kompom doma lebo doma nemas pevnu verejnu IP ale chces pristupovat cez IP ktoru mas v robote…
Toto je asi laicky povedane to, co Ti pisal Stano.
Asi najrozumnejsie riesenie tohoto je aby si si na VPS ktora ma verejnu IP spravil VPN server a VPS ktora nema verejnu IP sa bude na to VPN pripajat ako klient. Tym padom si vytvoria medzi sebou spojenie a mal by si vediet robit to, co potrebujes :)
Ak nemam pravdu sorry... Prajem Vam prijemny den.
S pozdravom
Stefan Stefanov
C.C.C. spol. s r.o. Námestie Biely kríž 1 831 02 Bratislava SLOVAKIA mob: +421 902 572 848 tel: +421 2 44459955, 43411450 mail: stefan@ccc.sk mailto:stefan@ccc.sk servisný mail : servis@ccc.sk mailto:servis@ccc.sk www.ccc.sk http://www.ccc.sk/
Facebook - www.facebook.com/www.ccc.sk/ http://www.facebook.com/www.ccc.sk/
Dňa 7. 5. 2019 o 9:43, Pavel Hruška mrpear@mrpear.net napísal:
Já jsem se (slušně) zeptal, protože nevím, jak situaci vyřešit. S touhle situací se totiž setkávám poprvé, takže si hned nedokážu představit, proč dvě síťová rozhraní nejsou ve stejné L2, proč to funguje tak a proč to nefunguje jinak. Nemusíš mi odpovídat jen proto, aby jsi mi řekl, že tomu nerozumím, to já totiž vím, jinak bych se neptal.
Pokud by se tedy našel někdo, kdo mi víc pomůže, budu rád.
Díky, P.
út 7. 5. 2019 v 9:23 odesílatel Stanislav Petr <glux@glux.org mailto:glux@glux.org> napsal: Jedno je tak mozna kolecko u trakare… Ale tak jak si to predstavujes to proste nejde IP protokol (IPv4 ani IPv6) nepodporuji indirect gateway (to umi napriklad nektere pokrocilejsi sitove protokoly, jako treba MPLS). Pokud spolu nejsou ty dve sitove rozhrani ve stejne L2 a nevidi na sebe primo, nemuze byt ten druhy pro prvni branou… Neboli vysvetli nam jakym genialnim zpusobem chces do site s prefixem /32 nacpat vic nez jednu IPv4 adresu?
— Stanislav Petr
- 2019 v 8:31, Pavel Hruška <mrpear@mrpear.net mailto:mrpear@mrpear.net>:
Privátní VLAN jsem nikde ve vpsadminu neviděl. To, že je veřejná routovaná jako /32 mi může být jedno, nebo ne? Prostě mi paket přijde na veřejnou VPSku, ta ho forwardne na privátní, nicméně pak se musí paket vrátit zase zpátky, což nevím, jestli jsem schopen na té druhé VPS udělat...
P.
po 6. 5. 2019 v 18:58 odesílatel Stanislav Petr <glux@glux.org mailto:glux@glux.org> napsal: Jedina moznost je udelat si mezi servery napr. ipip tunel a routovat to prez nej. Verejny adresy jsou na VPS routovany jako samostatny /32 routy. Pripadne jestli jde nekde ve vpsadminu udelat privatni VLAN...
Odesláno z iPhonu
- 2019 v 15:43, Pavel Hruška <mrpear@mrpear.net mailto:mrpear@mrpear.net>:
Ahojte,
potřeboval bych poradit, resp. ujistit, že je to možné a nedělám nějakou hloupost. Vzhledem k nedostatku public IPv4 chci mít druhou VPSku pouze s privátní IP a chci si na ní směrovat určitý provoz (tcp porty) z venku z public IPv4, kterou má první VPSka. Na začátek si chci zřídit SSH přístup, tedy například z veku x.x.x.x:222 -> y.y.y.y:22. Běžně NAT dělám přes iptables.
Tohle jsem zkoušel: iptables -t nat -A PREROUTING -d x.x.x.x -p tcp -m tcp --match multiport --dports 222 -j DNAT --to-destination y.y.y.y:22 iptables -A FORWARD -i venet0:0 -o venet0:1 -p tcp -m tcp --match multiport --dports 222 -m conntrack --ctstate NEW -j ACCEPT (tady přesně nevím, jestli cílový port je 222 nebo 22, ale zkoušel jsem oboje)
Plus toto: iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
sysctl net.ipv4.ip_forward (vrací net.ipv4.ip_forward = 1)
Něco mi říká, že bych na té druhé VPSce měl mít bránu zpět na tu první VPSku, ať se pakety můžou vracet, nicméně pokud dělám traceroute, tak mi jde provoz přes nějakou pro mě neznámou bránu, ačkoliv route vidím takový:
Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface default 0.0.0.0 0.0.0.0 U 0 0 0 venet0
traceroute to seznam.cz http://seznam.cz/ (77.75.74.172), 30 hops max, 60 byte packets 1 172.16.0.27 (172.16.0.27) 0.050 ms 0.017 ms 0.014 ms 2 vl128.cr3.r1-8.dc1.4d.prg.masterinter.net http://vl128.cr3.r1-8.dc1.4d.prg.masterinter.net/ (81.31.40.97) 0.389 ms 0.629 ms 0.60 ...
Nevím, jestli dělám něco úplně špatně, nevím jak do toho zasahuje OpenVZ, atd... Budu rád za každou radu, díky.
P. _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz mailto:Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz mailto:Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list http://lists.vpsfree.cz/listinfo/community-list
-- Ing. Pavel Hruška mrpear@mrpear.net mailto:mrpear@mrpear.net
web, webdesign, web-aplikace: https://www.pearfect.cz http://www.pearfect.cz/_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz mailto:Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz mailto:Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list http://lists.vpsfree.cz/listinfo/community-list
-- Ing. Pavel Hruška mrpear@mrpear.net mailto:mrpear@mrpear.net
web, webdesign, web-aplikace: https://www.pearfect.cz http://www.pearfect.cz/_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Ja vycházím z toho, co znám z praxe. Mám prostě nějakou proxynu s veřejnou IP, ta má ale taky privátní IP (dva různé adaptéry). V pohodě můžu NATovat a forwadovat z venku z té veřejné na cokoliv privátního (samozřejmě na stejném segmentu té privátní IP). Takže to je spíš tak, že se chci z domu připojit přes veřejnou IP té proxy na něco privátního za tou proxy.
Co mi asi nedochází je vztah těch dvou privátních IP adres. Mezi sebou se samozřejmě vidí (ping), ale nemůžu je navzájem použít jako gateway? I u privátních IP je uveden /32.
út 7. 5. 2019 v 10:05 odesílatel Stefan Stefanov - C.C.C. s.r.o. < stefan@ccc.sk> napsal:
Ahojte,
ak tomu spravne rozumiem, ale nemusim mat pravdu:
VPS ktore mas s verejnou IP je na uplne inom rozsahu ako VPS kde nechces mat verejnu IP. Tym padom logicky nie su na “rovnakej” sieti ak ked fyzicky tomu tak je. Je to proste routovanim. Velmi prehnane je to ako keby si chcel spojit komp v praci s kompom doma lebo doma nemas pevnu verejnu IP ale chces pristupovat cez IP ktoru mas v robote…
Toto je asi laicky povedane to, co Ti pisal Stano.
Asi najrozumnejsie riesenie tohoto je aby si si na VPS ktora ma verejnu IP spravil VPN server a VPS ktora nema verejnu IP sa bude na to VPN pripajat ako klient. Tym padom si vytvoria medzi sebou spojenie a mal by si vediet robit to, co potrebujes :)
Ak nemam pravdu sorry... Prajem Vam prijemny den.
S pozdravom
Stefan Stefanov
C.C.C. spol. s r.o. Námestie Biely kríž 1 831 02 Bratislava SLOVAKIA mob: +421 902 572 848 tel: +421 2 44459955, 43411450 mail: stefan@ccc.sk servisný mail : servis@ccc.sk www.ccc.sk
Facebook - www.facebook.com/www.ccc.sk/
Dňa 7. 5. 2019 o 9:43, Pavel Hruška mrpear@mrpear.net napísal:
Já jsem se (slušně) zeptal, protože nevím, jak situaci vyřešit. S touhle situací se totiž setkávám poprvé, takže si hned nedokážu představit, proč dvě síťová rozhraní nejsou ve stejné L2, proč to funguje tak a proč to nefunguje jinak. Nemusíš mi odpovídat jen proto, aby jsi mi řekl, že tomu nerozumím, to já totiž vím, jinak bych se neptal.
Pokud by se tedy našel někdo, kdo mi víc pomůže, budu rád.
Díky, P.
út 7. 5. 2019 v 9:23 odesílatel Stanislav Petr glux@glux.org napsal:
Jedno je tak mozna kolecko u trakare… Ale tak jak si to predstavujes to proste nejde IP protokol (IPv4 ani IPv6) nepodporuji indirect gateway (to umi napriklad nektere pokrocilejsi sitove protokoly, jako treba MPLS). Pokud spolu nejsou ty dve sitove rozhrani ve stejne L2 a nevidi na sebe primo, nemuze byt ten druhy pro prvni branou… Neboli vysvetli nam jakym genialnim zpusobem chces do site s prefixem /32 nacpat vic nez jednu IPv4 adresu?
— Stanislav Petr
- 2019 v 8:31, Pavel Hruška mrpear@mrpear.net:
Privátní VLAN jsem nikde ve vpsadminu neviděl. To, že je veřejná routovaná jako /32 mi může být jedno, nebo ne? Prostě mi paket přijde na veřejnou VPSku, ta ho forwardne na privátní, nicméně pak se musí paket vrátit zase zpátky, což nevím, jestli jsem schopen na té druhé VPS udělat...
P.
po 6. 5. 2019 v 18:58 odesílatel Stanislav Petr glux@glux.org napsal:
Jedina moznost je udelat si mezi servery napr. ipip tunel a routovat to prez nej. Verejny adresy jsou na VPS routovany jako samostatny /32 routy. Pripadne jestli jde nekde ve vpsadminu udelat privatni VLAN...
Odesláno z iPhonu
- 2019 v 15:43, Pavel Hruška mrpear@mrpear.net:
Ahojte,
potřeboval bych poradit, resp. ujistit, že je to možné a nedělám nějakou hloupost. Vzhledem k nedostatku public IPv4 chci mít druhou VPSku pouze s privátní IP a chci si na ní směrovat určitý provoz (tcp porty) z venku z public IPv4, kterou má první VPSka. Na začátek si chci zřídit SSH přístup, tedy například z veku x.x.x.x:222 -> y.y.y.y:22. Běžně NAT dělám přes iptables.
Tohle jsem zkoušel: iptables -t nat -A PREROUTING -d x.x.x.x -p tcp -m tcp --match multiport --dports 222 -j DNAT --to-destination y.y.y.y:22 iptables -A FORWARD -i venet0:0 -o venet0:1 -p tcp -m tcp --match multiport --dports 222 -m conntrack --ctstate NEW -j ACCEPT (tady přesně nevím, jestli cílový port je 222 nebo 22, ale zkoušel jsem oboje)
Plus toto: iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
sysctl net.ipv4.ip_forward (vrací net.ipv4.ip_forward = 1)
Něco mi říká, že bych na té druhé VPSce měl mít bránu zpět na tu první VPSku, ať se pakety můžou vracet, nicméně pokud dělám traceroute, tak mi jde provoz přes nějakou pro mě neznámou bránu, ačkoliv route vidím takový:
Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface default 0.0.0.0 0.0.0.0 U 0 0 0 venet0
traceroute to seznam.cz (77.75.74.172), 30 hops max, 60 byte packets 1 172.16.0.27 (172.16.0.27) 0.050 ms 0.017 ms 0.014 ms 2 vl128.cr3.r1-8.dc1.4d.prg.masterinter.net (81.31.40.97) 0.389 ms 0.629 ms 0.60 ...
Nevím, jestli dělám něco úplně špatně, nevím jak do toho zasahuje OpenVZ, atd... Budu rád za každou radu, díky.
P.
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-- Ing. Pavel Hruška mrpear@mrpear.net
web, webdesign, web-aplikace: https://www.pearfect.cz http://www.pearfect.cz/ _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-- Ing. Pavel Hruška mrpear@mrpear.net
web, webdesign, web-aplikace: https://www.pearfect.cz http://www.pearfect.cz/ _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Já tomu rozumím tak, že když mám položku v routovací tabulce pro IP protokol, tak brána, přes kterou směřuje, musí být na stejném segmentu sítě, tj. musí být ping na 1 hop. Jinak to nefunguje.
Co s tím - udělat mezi nimi VPN routu. Asi bych zkoušel OpenVPN, s tím mám asi nejvíc zkušeností. A ještě bych uvažoval, jestli jít cestou forwardování paketů. Pokud ty služby mají být přístupné pouze pro tebe, tak bych si na vlastním stroji spustil dalšího klienta pro OpenVPN a v tom okamžiku budu mít všeschny stroje na jedné sítě a můžu k nim přistupovat přes adresní rozsah VPNky.
Pokud potřebuješ veřejně přístupné služby, tak bych asi uvažoval spíš o nějaké proxy - pokud tam budeš provozovat třeba nějaké webové služby, tak nejjednodušší je nginx a v něm bych definoval virtual hosty pro tyto služby jako forwarding proxy.
R.
On Tue, May 7, 2019 at 10:05 AM Stefan Stefanov - C.C.C. s.r.o. < stefan@ccc.sk> wrote:
Ahojte,
ak tomu spravne rozumiem, ale nemusim mat pravdu:
VPS ktore mas s verejnou IP je na uplne inom rozsahu ako VPS kde nechces mat verejnu IP. Tym padom logicky nie su na “rovnakej” sieti ak ked fyzicky tomu tak je. Je to proste routovanim. Velmi prehnane je to ako keby si chcel spojit komp v praci s kompom doma lebo doma nemas pevnu verejnu IP ale chces pristupovat cez IP ktoru mas v robote…
Toto je asi laicky povedane to, co Ti pisal Stano.
Asi najrozumnejsie riesenie tohoto je aby si si na VPS ktora ma verejnu IP spravil VPN server a VPS ktora nema verejnu IP sa bude na to VPN pripajat ako klient. Tym padom si vytvoria medzi sebou spojenie a mal by si vediet robit to, co potrebujes :)
Ak nemam pravdu sorry... Prajem Vam prijemny den.
S pozdravom
Stefan Stefanov
C.C.C. spol. s r.o. Námestie Biely kríž 1 831 02 Bratislava SLOVAKIA mob: +421 902 572 848 tel: +421 2 44459955, 43411450 mail: stefan@ccc.sk servisný mail : servis@ccc.sk www.ccc.sk
Facebook - www.facebook.com/www.ccc.sk/
Dňa 7. 5. 2019 o 9:43, Pavel Hruška mrpear@mrpear.net napísal:
Já jsem se (slušně) zeptal, protože nevím, jak situaci vyřešit. S touhle situací se totiž setkávám poprvé, takže si hned nedokážu představit, proč dvě síťová rozhraní nejsou ve stejné L2, proč to funguje tak a proč to nefunguje jinak. Nemusíš mi odpovídat jen proto, aby jsi mi řekl, že tomu nerozumím, to já totiž vím, jinak bych se neptal.
Pokud by se tedy našel někdo, kdo mi víc pomůže, budu rád.
Díky, P.
út 7. 5. 2019 v 9:23 odesílatel Stanislav Petr glux@glux.org napsal:
Jedno je tak mozna kolecko u trakare… Ale tak jak si to predstavujes to proste nejde IP protokol (IPv4 ani IPv6) nepodporuji indirect gateway (to umi napriklad nektere pokrocilejsi sitove protokoly, jako treba MPLS). Pokud spolu nejsou ty dve sitove rozhrani ve stejne L2 a nevidi na sebe primo, nemuze byt ten druhy pro prvni branou… Neboli vysvetli nam jakym genialnim zpusobem chces do site s prefixem /32 nacpat vic nez jednu IPv4 adresu?
— Stanislav Petr
- 2019 v 8:31, Pavel Hruška mrpear@mrpear.net:
Privátní VLAN jsem nikde ve vpsadminu neviděl. To, že je veřejná routovaná jako /32 mi může být jedno, nebo ne? Prostě mi paket přijde na veřejnou VPSku, ta ho forwardne na privátní, nicméně pak se musí paket vrátit zase zpátky, což nevím, jestli jsem schopen na té druhé VPS udělat...
P.
po 6. 5. 2019 v 18:58 odesílatel Stanislav Petr glux@glux.org napsal:
Jedina moznost je udelat si mezi servery napr. ipip tunel a routovat to prez nej. Verejny adresy jsou na VPS routovany jako samostatny /32 routy. Pripadne jestli jde nekde ve vpsadminu udelat privatni VLAN...
Odesláno z iPhonu
- 2019 v 15:43, Pavel Hruška mrpear@mrpear.net:
Ahojte,
potřeboval bych poradit, resp. ujistit, že je to možné a nedělám nějakou hloupost. Vzhledem k nedostatku public IPv4 chci mít druhou VPSku pouze s privátní IP a chci si na ní směrovat určitý provoz (tcp porty) z venku z public IPv4, kterou má první VPSka. Na začátek si chci zřídit SSH přístup, tedy například z veku x.x.x.x:222 -> y.y.y.y:22. Běžně NAT dělám přes iptables.
Tohle jsem zkoušel: iptables -t nat -A PREROUTING -d x.x.x.x -p tcp -m tcp --match multiport --dports 222 -j DNAT --to-destination y.y.y.y:22 iptables -A FORWARD -i venet0:0 -o venet0:1 -p tcp -m tcp --match multiport --dports 222 -m conntrack --ctstate NEW -j ACCEPT (tady přesně nevím, jestli cílový port je 222 nebo 22, ale zkoušel jsem oboje)
Plus toto: iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
sysctl net.ipv4.ip_forward (vrací net.ipv4.ip_forward = 1)
Něco mi říká, že bych na té druhé VPSce měl mít bránu zpět na tu první VPSku, ať se pakety můžou vracet, nicméně pokud dělám traceroute, tak mi jde provoz přes nějakou pro mě neznámou bránu, ačkoliv route vidím takový:
Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface default 0.0.0.0 0.0.0.0 U 0 0 0 venet0
traceroute to seznam.cz (77.75.74.172), 30 hops max, 60 byte packets 1 172.16.0.27 (172.16.0.27) 0.050 ms 0.017 ms 0.014 ms 2 vl128.cr3.r1-8.dc1.4d.prg.masterinter.net (81.31.40.97) 0.389 ms 0.629 ms 0.60 ...
Nevím, jestli dělám něco úplně špatně, nevím jak do toho zasahuje OpenVZ, atd... Budu rád za každou radu, díky.
P.
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-- Ing. Pavel Hruška mrpear@mrpear.net
web, webdesign, web-aplikace: https://www.pearfect.cz http://www.pearfect.cz/ _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-- Ing. Pavel Hruška mrpear@mrpear.net
web, webdesign, web-aplikace: https://www.pearfect.cz http://www.pearfect.cz/ _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Díky za reakci, začíná mi to být jasnější. Hlavně s tím příkladem OpenVPN. Zatím to potřebuji na web (takže ano, nginx a proxy_pass) ale z principu jsem chtěl vědět, jak to udělat i pro veřejné služby. Celkově to beru jako možnost se něco i přiučit.
Ještě jednou díky, P.
út 7. 5. 2019 v 10:20 odesílatel Richard Korinek richard.korinek@gmail.com napsal:
Já tomu rozumím tak, že když mám položku v routovací tabulce pro IP protokol, tak brána, přes kterou směřuje, musí být na stejném segmentu sítě, tj. musí být ping na 1 hop. Jinak to nefunguje.
Co s tím - udělat mezi nimi VPN routu. Asi bych zkoušel OpenVPN, s tím mám asi nejvíc zkušeností. A ještě bych uvažoval, jestli jít cestou forwardování paketů. Pokud ty služby mají být přístupné pouze pro tebe, tak bych si na vlastním stroji spustil dalšího klienta pro OpenVPN a v tom okamžiku budu mít všeschny stroje na jedné sítě a můžu k nim přistupovat přes adresní rozsah VPNky.
Pokud potřebuješ veřejně přístupné služby, tak bych asi uvažoval spíš o nějaké proxy - pokud tam budeš provozovat třeba nějaké webové služby, tak nejjednodušší je nginx a v něm bych definoval virtual hosty pro tyto služby jako forwarding proxy.
R.
On Tue, May 7, 2019 at 10:05 AM Stefan Stefanov - C.C.C. s.r.o. < stefan@ccc.sk> wrote:
Ahojte,
ak tomu spravne rozumiem, ale nemusim mat pravdu:
VPS ktore mas s verejnou IP je na uplne inom rozsahu ako VPS kde nechces mat verejnu IP. Tym padom logicky nie su na “rovnakej” sieti ak ked fyzicky tomu tak je. Je to proste routovanim. Velmi prehnane je to ako keby si chcel spojit komp v praci s kompom doma lebo doma nemas pevnu verejnu IP ale chces pristupovat cez IP ktoru mas v robote…
Toto je asi laicky povedane to, co Ti pisal Stano.
Asi najrozumnejsie riesenie tohoto je aby si si na VPS ktora ma verejnu IP spravil VPN server a VPS ktora nema verejnu IP sa bude na to VPN pripajat ako klient. Tym padom si vytvoria medzi sebou spojenie a mal by si vediet robit to, co potrebujes :)
Ak nemam pravdu sorry... Prajem Vam prijemny den.
S pozdravom
Stefan Stefanov
C.C.C. spol. s r.o. Námestie Biely kríž 1 831 02 Bratislava SLOVAKIA mob: +421 902 572 848 tel: +421 2 44459955, 43411450 mail: stefan@ccc.sk servisný mail : servis@ccc.sk www.ccc.sk
Facebook - www.facebook.com/www.ccc.sk/
Dňa 7. 5. 2019 o 9:43, Pavel Hruška mrpear@mrpear.net napísal:
Já jsem se (slušně) zeptal, protože nevím, jak situaci vyřešit. S touhle situací se totiž setkávám poprvé, takže si hned nedokážu představit, proč dvě síťová rozhraní nejsou ve stejné L2, proč to funguje tak a proč to nefunguje jinak. Nemusíš mi odpovídat jen proto, aby jsi mi řekl, že tomu nerozumím, to já totiž vím, jinak bych se neptal.
Pokud by se tedy našel někdo, kdo mi víc pomůže, budu rád.
Díky, P.
út 7. 5. 2019 v 9:23 odesílatel Stanislav Petr glux@glux.org napsal:
Jedno je tak mozna kolecko u trakare… Ale tak jak si to predstavujes to proste nejde IP protokol (IPv4 ani IPv6) nepodporuji indirect gateway (to umi napriklad nektere pokrocilejsi sitove protokoly, jako treba MPLS). Pokud spolu nejsou ty dve sitove rozhrani ve stejne L2 a nevidi na sebe primo, nemuze byt ten druhy pro prvni branou… Neboli vysvetli nam jakym genialnim zpusobem chces do site s prefixem /32 nacpat vic nez jednu IPv4 adresu?
— Stanislav Petr
- 2019 v 8:31, Pavel Hruška mrpear@mrpear.net:
Privátní VLAN jsem nikde ve vpsadminu neviděl. To, že je veřejná routovaná jako /32 mi může být jedno, nebo ne? Prostě mi paket přijde na veřejnou VPSku, ta ho forwardne na privátní, nicméně pak se musí paket vrátit zase zpátky, což nevím, jestli jsem schopen na té druhé VPS udělat...
P.
po 6. 5. 2019 v 18:58 odesílatel Stanislav Petr glux@glux.org napsal:
Jedina moznost je udelat si mezi servery napr. ipip tunel a routovat to prez nej. Verejny adresy jsou na VPS routovany jako samostatny /32 routy. Pripadne jestli jde nekde ve vpsadminu udelat privatni VLAN...
Odesláno z iPhonu
- 2019 v 15:43, Pavel Hruška mrpear@mrpear.net:
Ahojte,
potřeboval bych poradit, resp. ujistit, že je to možné a nedělám nějakou hloupost. Vzhledem k nedostatku public IPv4 chci mít druhou VPSku pouze s privátní IP a chci si na ní směrovat určitý provoz (tcp porty) z venku z public IPv4, kterou má první VPSka. Na začátek si chci zřídit SSH přístup, tedy například z veku x.x.x.x:222 -> y.y.y.y:22. Běžně NAT dělám přes iptables.
Tohle jsem zkoušel: iptables -t nat -A PREROUTING -d x.x.x.x -p tcp -m tcp --match multiport --dports 222 -j DNAT --to-destination y.y.y.y:22 iptables -A FORWARD -i venet0:0 -o venet0:1 -p tcp -m tcp --match multiport --dports 222 -m conntrack --ctstate NEW -j ACCEPT (tady přesně nevím, jestli cílový port je 222 nebo 22, ale zkoušel jsem oboje)
Plus toto: iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
sysctl net.ipv4.ip_forward (vrací net.ipv4.ip_forward = 1)
Něco mi říká, že bych na té druhé VPSce měl mít bránu zpět na tu první VPSku, ať se pakety můžou vracet, nicméně pokud dělám traceroute, tak mi jde provoz přes nějakou pro mě neznámou bránu, ačkoliv route vidím takový:
Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface default 0.0.0.0 0.0.0.0 U 0 0 0 venet0
traceroute to seznam.cz (77.75.74.172), 30 hops max, 60 byte packets 1 172.16.0.27 (172.16.0.27) 0.050 ms 0.017 ms 0.014 ms 2 vl128.cr3.r1-8.dc1.4d.prg.masterinter.net (81.31.40.97) 0.389 ms 0.629 ms 0.60 ...
Nevím, jestli dělám něco úplně špatně, nevím jak do toho zasahuje OpenVZ, atd... Budu rád za každou radu, díky.
P.
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-- Ing. Pavel Hruška mrpear@mrpear.net
web, webdesign, web-aplikace: https://www.pearfect.cz http://www.pearfect.cz/ _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-- Ing. Pavel Hruška mrpear@mrpear.net
web, webdesign, web-aplikace: https://www.pearfect.cz http://www.pearfect.cz/ _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-- Richard Kořínek ^^^^^^^^^^^^^^ email: richard.korinek@gmail.com phone: +420 604 777 044
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Rozhodující asi bude, zda má VPSka jeden interfejs pro vše nebo u privátní LAN přibude další interfejs s tímto rozsahem (LAN). (A ano, default routa musí být z rozsahu subnetu interfejsu) Lze dělat různá zvěrstva, provádět source routing, policing podle TOS apod., pokud je veřejný i privátní rozsah na jednom interfejsu, to by mohl někdo od správců VPS doplnit, jak to na L2 funguje? Sice je v KB něco napsané ( https://kb.vpsfree.cz/informace/internal_address_plan, https://kb.vpsfree.cz/navody/server/gre), ale nevidím tam, co je preferovaná varianta pro spojení 2 VPS instancí?
V.
On Tue, May 7, 2019 at 10:33 AM Pavel Hruška mrpear@mrpear.net wrote:
Díky za reakci, začíná mi to být jasnější. Hlavně s tím příkladem OpenVPN. Zatím to potřebuji na web (takže ano, nginx a proxy_pass) ale z principu jsem chtěl vědět, jak to udělat i pro veřejné služby. Celkově to beru jako možnost se něco i přiučit.
Ještě jednou díky, P.
út 7. 5. 2019 v 10:20 odesílatel Richard Korinek < richard.korinek@gmail.com> napsal:
Já tomu rozumím tak, že když mám položku v routovací tabulce pro IP protokol, tak brána, přes kterou směřuje, musí být na stejném segmentu sítě, tj. musí být ping na 1 hop. Jinak to nefunguje.
Co s tím - udělat mezi nimi VPN routu. Asi bych zkoušel OpenVPN, s tím mám asi nejvíc zkušeností. A ještě bych uvažoval, jestli jít cestou forwardování paketů. Pokud ty služby mají být přístupné pouze pro tebe, tak bych si na vlastním stroji spustil dalšího klienta pro OpenVPN a v tom okamžiku budu mít všeschny stroje na jedné sítě a můžu k nim přistupovat přes adresní rozsah VPNky.
Pokud potřebuješ veřejně přístupné služby, tak bych asi uvažoval spíš o nějaké proxy - pokud tam budeš provozovat třeba nějaké webové služby, tak nejjednodušší je nginx a v něm bych definoval virtual hosty pro tyto služby jako forwarding proxy.
R.
On Tue, May 7, 2019 at 10:05 AM Stefan Stefanov - C.C.C. s.r.o. < stefan@ccc.sk> wrote:
Ahojte,
ak tomu spravne rozumiem, ale nemusim mat pravdu:
VPS ktore mas s verejnou IP je na uplne inom rozsahu ako VPS kde nechces mat verejnu IP. Tym padom logicky nie su na “rovnakej” sieti ak ked fyzicky tomu tak je. Je to proste routovanim. Velmi prehnane je to ako keby si chcel spojit komp v praci s kompom doma lebo doma nemas pevnu verejnu IP ale chces pristupovat cez IP ktoru mas v robote…
Toto je asi laicky povedane to, co Ti pisal Stano.
Asi najrozumnejsie riesenie tohoto je aby si si na VPS ktora ma verejnu IP spravil VPN server a VPS ktora nema verejnu IP sa bude na to VPN pripajat ako klient. Tym padom si vytvoria medzi sebou spojenie a mal by si vediet robit to, co potrebujes :)
Ak nemam pravdu sorry... Prajem Vam prijemny den.
S pozdravom
Stefan Stefanov
C.C.C. spol. s r.o. Námestie Biely kríž 1 831 02 Bratislava SLOVAKIA mob: +421 902 572 848 tel: +421 2 44459955, 43411450 mail: stefan@ccc.sk servisný mail : servis@ccc.sk www.ccc.sk
Facebook - www.facebook.com/www.ccc.sk/
Dňa 7. 5. 2019 o 9:43, Pavel Hruška mrpear@mrpear.net napísal:
Já jsem se (slušně) zeptal, protože nevím, jak situaci vyřešit. S touhle situací se totiž setkávám poprvé, takže si hned nedokážu představit, proč dvě síťová rozhraní nejsou ve stejné L2, proč to funguje tak a proč to nefunguje jinak. Nemusíš mi odpovídat jen proto, aby jsi mi řekl, že tomu nerozumím, to já totiž vím, jinak bych se neptal.
Pokud by se tedy našel někdo, kdo mi víc pomůže, budu rád.
Díky, P.
út 7. 5. 2019 v 9:23 odesílatel Stanislav Petr glux@glux.org napsal:
Jedno je tak mozna kolecko u trakare… Ale tak jak si to predstavujes to proste nejde IP protokol (IPv4 ani IPv6) nepodporuji indirect gateway (to umi napriklad nektere pokrocilejsi sitove protokoly, jako treba MPLS). Pokud spolu nejsou ty dve sitove rozhrani ve stejne L2 a nevidi na sebe primo, nemuze byt ten druhy pro prvni branou… Neboli vysvetli nam jakym genialnim zpusobem chces do site s prefixem /32 nacpat vic nez jednu IPv4 adresu?
— Stanislav Petr
- 2019 v 8:31, Pavel Hruška mrpear@mrpear.net:
Privátní VLAN jsem nikde ve vpsadminu neviděl. To, že je veřejná routovaná jako /32 mi může být jedno, nebo ne? Prostě mi paket přijde na veřejnou VPSku, ta ho forwardne na privátní, nicméně pak se musí paket vrátit zase zpátky, což nevím, jestli jsem schopen na té druhé VPS udělat...
P.
po 6. 5. 2019 v 18:58 odesílatel Stanislav Petr glux@glux.org napsal:
Jedina moznost je udelat si mezi servery napr. ipip tunel a routovat to prez nej. Verejny adresy jsou na VPS routovany jako samostatny /32 routy. Pripadne jestli jde nekde ve vpsadminu udelat privatni VLAN...
Odesláno z iPhonu
- 2019 v 15:43, Pavel Hruška mrpear@mrpear.net:
Ahojte,
potřeboval bych poradit, resp. ujistit, že je to možné a nedělám nějakou hloupost. Vzhledem k nedostatku public IPv4 chci mít druhou VPSku pouze s privátní IP a chci si na ní směrovat určitý provoz (tcp porty) z venku z public IPv4, kterou má první VPSka. Na začátek si chci zřídit SSH přístup, tedy například z veku x.x.x.x:222 -> y.y.y.y:22. Běžně NAT dělám přes iptables.
Tohle jsem zkoušel: iptables -t nat -A PREROUTING -d x.x.x.x -p tcp -m tcp --match multiport --dports 222 -j DNAT --to-destination y.y.y.y:22 iptables -A FORWARD -i venet0:0 -o venet0:1 -p tcp -m tcp --match multiport --dports 222 -m conntrack --ctstate NEW -j ACCEPT (tady přesně nevím, jestli cílový port je 222 nebo 22, ale zkoušel jsem oboje)
Plus toto: iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
sysctl net.ipv4.ip_forward (vrací net.ipv4.ip_forward = 1)
Něco mi říká, že bych na té druhé VPSce měl mít bránu zpět na tu první VPSku, ať se pakety můžou vracet, nicméně pokud dělám traceroute, tak mi jde provoz přes nějakou pro mě neznámou bránu, ačkoliv route vidím takový:
Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface default 0.0.0.0 0.0.0.0 U 0 0 0 venet0
traceroute to seznam.cz (77.75.74.172), 30 hops max, 60 byte packets 1 172.16.0.27 (172.16.0.27) 0.050 ms 0.017 ms 0.014 ms 2 vl128.cr3.r1-8.dc1.4d.prg.masterinter.net (81.31.40.97) 0.389 ms 0.629 ms 0.60 ...
Nevím, jestli dělám něco úplně špatně, nevím jak do toho zasahuje OpenVZ, atd... Budu rád za každou radu, díky.
P.
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-- Ing. Pavel Hruška mrpear@mrpear.net
web, webdesign, web-aplikace: https://www.pearfect.cz http://www.pearfect.cz/ _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-- Ing. Pavel Hruška mrpear@mrpear.net
web, webdesign, web-aplikace: https://www.pearfect.cz http://www.pearfect.cz/ _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-- Richard Kořínek ^^^^^^^^^^^^^^ email: richard.korinek@gmail.com phone: +420 604 777 044
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-- Ing. Pavel Hruška mrpear@mrpear.net
web, webdesign, web-aplikace: https://www.pearfect.cz http://www.pearfect.cz/ _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
První věc, když vidím ta pravidla pro iptables: co je venet0:1? To je něco, co jste vytvořil pomocí ifconfig kvůli druhé IP adrese? Pokud jo, tak pro info, tohle je už víc než deset let zastaralé, kvůli přidání další IP adresy na rozhraní, které už nějakou má, není potřeba vytvářet žádné virtuální síťovky a stačí udělat tohle:
ip addr add y.y.y.y/z dev venet0
Druhá věc - pokud takhle přidáváte adresu k rozhraní venet0 (a platí to samé, i když to uděláte tím ifconfig), tak si to představte z pohledu provozovatele - ten vám nemůže (neměl by) dovolit, abyste si na síťovku nastavil jakoukoliv adresu, která se vám zlíbí. Co kdyby ji někdo používal? Rozumný poskytovatel zablokouje cokoliv, co pochází z Vašeho serveru, ale ne z IP, kterou Vám dal.
Na to, abyste mohl takhle propojit dvě VPS, potřebujete na té VPS, která má být přístupná z internetu, dvě síťová rozhraní. Je už v podstatě jedno, jestli to druhé bude nějaký tunel, VPN nebo co, ale pokud to chcete udělat rozumně, potřebujete dvě.
Takže bych doporučil napsat na podporu, čeho se snažíte docílit a jestli je možné to druhé rozhraní přidat. Uvidíte, co vám řeknou - podle toho můžete postupovat dál.
On 07. 05. 19 9:43, Pavel Hruška wrote:
Já jsem se (slušně) zeptal, protože nevím, jak situaci vyřešit. S touhle situací se totiž setkávám poprvé, takže si hned nedokážu představit, proč dvě síťová rozhraní nejsou ve stejné L2, proč to funguje tak a proč to nefunguje jinak. Nemusíš mi odpovídat jen proto, aby jsi mi řekl, že tomu nerozumím, to já totiž vím, jinak bych se neptal.
Pokud by se tedy našel někdo, kdo mi víc pomůže, budu rád.
Díky, P.
út 7. 5. 2019 v 9:23 odesílatel Stanislav Petr glux@glux.org napsal:
Jedno je tak mozna kolecko u trakare… Ale tak jak si to predstavujes to proste nejde IP protokol (IPv4 ani IPv6) nepodporuji indirect gateway (to umi napriklad nektere pokrocilejsi sitove protokoly, jako treba MPLS). Pokud spolu nejsou ty dve sitove rozhrani ve stejne L2 a nevidi na sebe primo, nemuze byt ten druhy pro prvni branou… Neboli vysvetli nam jakym genialnim zpusobem chces do site s prefixem /32 nacpat vic nez jednu IPv4 adresu?
— Stanislav Petr
- 2019 v 8:31, Pavel Hruška mrpear@mrpear.net:
Privátní VLAN jsem nikde ve vpsadminu neviděl. To, že je veřejná routovaná jako /32 mi může být jedno, nebo ne? Prostě mi paket přijde na veřejnou VPSku, ta ho forwardne na privátní, nicméně pak se musí paket vrátit zase zpátky, což nevím, jestli jsem schopen na té druhé VPS udělat...
P.
po 6. 5. 2019 v 18:58 odesílatel Stanislav Petr glux@glux.org napsal:
Jedina moznost je udelat si mezi servery napr. ipip tunel a routovat to prez nej. Verejny adresy jsou na VPS routovany jako samostatny /32 routy. Pripadne jestli jde nekde ve vpsadminu udelat privatni VLAN...
Odesláno z iPhonu
- 2019 v 15:43, Pavel Hruška mrpear@mrpear.net:
Ahojte,
potřeboval bych poradit, resp. ujistit, že je to možné a nedělám nějakou hloupost. Vzhledem k nedostatku public IPv4 chci mít druhou VPSku pouze s privátní IP a chci si na ní směrovat určitý provoz (tcp porty) z venku z public IPv4, kterou má první VPSka. Na začátek si chci zřídit SSH přístup, tedy například z veku x.x.x.x:222 -> y.y.y.y:22. Běžně NAT dělám přes iptables.
Tohle jsem zkoušel: iptables -t nat -A PREROUTING -d x.x.x.x -p tcp -m tcp --match multiport --dports 222 -j DNAT --to-destination y.y.y.y:22 iptables -A FORWARD -i venet0:0 -o venet0:1 -p tcp -m tcp --match multiport --dports 222 -m conntrack --ctstate NEW -j ACCEPT (tady přesně nevím, jestli cílový port je 222 nebo 22, ale zkoušel jsem oboje)
Plus toto: iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
sysctl net.ipv4.ip_forward (vrací net.ipv4.ip_forward = 1)
Něco mi říká, že bych na té druhé VPSce měl mít bránu zpět na tu první VPSku, ať se pakety můžou vracet, nicméně pokud dělám traceroute, tak mi jde provoz přes nějakou pro mě neznámou bránu, ačkoliv route vidím takový:
Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface default 0.0.0.0 0.0.0.0 U 0 0 0 venet0
traceroute to seznam.cz (77.75.74.172), 30 hops max, 60 byte packets 1 172.16.0.27 (172.16.0.27) 0.050 ms 0.017 ms 0.014 ms 2 vl128.cr3.r1-8.dc1.4d.prg.masterinter.net (81.31.40.97) 0.389 ms 0.629 ms 0.60 ...
Nevím, jestli dělám něco úplně špatně, nevím jak do toho zasahuje OpenVZ, atd... Budu rád za každou radu, díky.
P.
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-- Ing. Pavel Hruška mrpear@mrpear.net
web, webdesign, web-aplikace: https://www.pearfect.cz http://www.pearfect.cz/ _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Na podporu jsem psal jako první, tam mi poradili pohrát si s NATem a forwardem (což po diskuzi tady vidím, že asi nestačí) a pak mě odkázali na community :o).
Každopádně já jsem nic "ručně" nepřidával, mám k dispozici rozhraní (venet0), které má dvě IP adresy (a odtud venet0:x), privátní a public, obě adresy jsem samozřejmě dostal od provozovatele. Nevím, zda jsem udělal chybu, když jsem použitl venet0:x jako interface u iptables...
P.
út 7. 5. 2019 v 11:55 odesílatel Jirka Bourek vpsfree-list@keroub.cz napsal:
První věc, když vidím ta pravidla pro iptables: co je venet0:1? To je něco, co jste vytvořil pomocí ifconfig kvůli druhé IP adrese? Pokud jo, tak pro info, tohle je už víc než deset let zastaralé, kvůli přidání další IP adresy na rozhraní, které už nějakou má, není potřeba vytvářet žádné virtuální síťovky a stačí udělat tohle:
ip addr add y.y.y.y/z dev venet0
Druhá věc - pokud takhle přidáváte adresu k rozhraní venet0 (a platí to samé, i když to uděláte tím ifconfig), tak si to představte z pohledu provozovatele - ten vám nemůže (neměl by) dovolit, abyste si na síťovku nastavil jakoukoliv adresu, která se vám zlíbí. Co kdyby ji někdo používal? Rozumný poskytovatel zablokouje cokoliv, co pochází z Vašeho serveru, ale ne z IP, kterou Vám dal.
Na to, abyste mohl takhle propojit dvě VPS, potřebujete na té VPS, která má být přístupná z internetu, dvě síťová rozhraní. Je už v podstatě jedno, jestli to druhé bude nějaký tunel, VPN nebo co, ale pokud to chcete udělat rozumně, potřebujete dvě.
Takže bych doporučil napsat na podporu, čeho se snažíte docílit a jestli je možné to druhé rozhraní přidat. Uvidíte, co vám řeknou - podle toho můžete postupovat dál.
On 07. 05. 19 9:43, Pavel Hruška wrote:
Já jsem se (slušně) zeptal, protože nevím, jak situaci vyřešit. S touhle situací se totiž setkávám poprvé, takže si hned nedokážu představit, proč dvě síťová rozhraní nejsou ve stejné L2, proč to funguje tak a proč to nefunguje jinak. Nemusíš mi odpovídat jen proto, aby jsi mi řekl, že tomu nerozumím, to já totiž vím, jinak bych se neptal.
Pokud by se tedy našel někdo, kdo mi víc pomůže, budu rád.
Díky, P.
út 7. 5. 2019 v 9:23 odesílatel Stanislav Petr glux@glux.org napsal:
Jedno je tak mozna kolecko u trakare… Ale tak jak si to predstavujes to proste nejde IP protokol (IPv4 ani IPv6) nepodporuji indirect gateway
(to
umi napriklad nektere pokrocilejsi sitove protokoly, jako treba MPLS). Pokud spolu nejsou ty dve sitove rozhrani ve stejne L2 a nevidi na sebe primo, nemuze byt ten druhy pro prvni branou… Neboli vysvetli nam jakym genialnim zpusobem chces do site s prefixem /32 nacpat vic nez jednu
IPv4
adresu?
— Stanislav Petr
- 2019 v 8:31, Pavel Hruška mrpear@mrpear.net:
Privátní VLAN jsem nikde ve vpsadminu neviděl. To, že je veřejná
routovaná
jako /32 mi může být jedno, nebo ne? Prostě mi paket přijde na veřejnou VPSku, ta ho forwardne na privátní, nicméně pak se musí paket vrátit
zase
zpátky, což nevím, jestli jsem schopen na té druhé VPS udělat...
P.
po 6. 5. 2019 v 18:58 odesílatel Stanislav Petr glux@glux.org napsal:
Jedina moznost je udelat si mezi servery napr. ipip tunel a routovat to prez nej. Verejny adresy jsou na VPS routovany jako samostatny /32
routy.
Pripadne jestli jde nekde ve vpsadminu udelat privatni VLAN...
Odesláno z iPhonu
- 2019 v 15:43, Pavel Hruška mrpear@mrpear.net:
Ahojte,
potřeboval bych poradit, resp. ujistit, že je to možné a nedělám nějakou hloupost. Vzhledem k nedostatku public IPv4 chci mít druhou
VPSku
pouze s privátní IP a chci si na ní směrovat určitý provoz (tcp porty)
z
venku z public IPv4, kterou má první VPSka. Na začátek si chci zřídit
SSH
přístup, tedy například z veku x.x.x.x:222 -> y.y.y.y:22. Běžně NAT
dělám
přes iptables.
Tohle jsem zkoušel: iptables -t nat -A PREROUTING -d x.x.x.x -p tcp -m tcp --match multiport --dports 222 -j DNAT --to-destination y.y.y.y:22 iptables -A FORWARD -i venet0:0 -o venet0:1 -p tcp -m tcp --match multiport --dports 222 -m conntrack --ctstate NEW -j ACCEPT (tady
přesně
nevím, jestli cílový port je 222 nebo 22, ale zkoušel jsem oboje)
Plus toto: iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j
ACCEPT
sysctl net.ipv4.ip_forward (vrací net.ipv4.ip_forward = 1)
Něco mi říká, že bych na té druhé VPSce měl mít bránu zpět na tu
první
VPSku, ať se pakety můžou vracet, nicméně pokud dělám traceroute, tak
mi
jde provoz přes nějakou pro mě neznámou bránu, ačkoliv route vidím
takový:
Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface default 0.0.0.0 0.0.0.0 U 0 0 0 venet0
traceroute to seznam.cz (77.75.74.172), 30 hops max, 60 byte packets 1 172.16.0.27 (172.16.0.27) 0.050 ms 0.017 ms 0.014 ms 2 vl128.cr3.r1-8.dc1.4d.prg.masterinter.net (81.31.40.97) 0.389 ms 0.629 ms 0.60 ...
Nevím, jestli dělám něco úplně špatně, nevím jak do toho zasahuje OpenVZ, atd... Budu rád za každou radu, díky.
P.
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-- Ing. Pavel Hruška mrpear@mrpear.net
web, webdesign, web-aplikace: https://www.pearfect.cz http://www.pearfect.cz/ _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Abych ještě doplnil či nadhodil téma k diskusi, tak podle odpovědi podpory (použít nat a forward) ti vypadá, že se má provoz mezi dvěma VPS vést přes "veřejný internet". Souhlasí to?
V.
On Tue, May 7, 2019 at 12:16 PM Pavel Hruška mrpear@mrpear.net wrote:
Na podporu jsem psal jako první, tam mi poradili pohrát si s NATem a forwardem (což po diskuzi tady vidím, že asi nestačí) a pak mě odkázali na community :o).
Každopádně já jsem nic "ručně" nepřidával, mám k dispozici rozhraní (venet0), které má dvě IP adresy (a odtud venet0:x), privátní a public, obě adresy jsem samozřejmě dostal od provozovatele. Nevím, zda jsem udělal chybu, když jsem použitl venet0:x jako interface u iptables...
P.
út 7. 5. 2019 v 11:55 odesílatel Jirka Bourek vpsfree-list@keroub.cz napsal:
První věc, když vidím ta pravidla pro iptables: co je venet0:1? To je něco, co jste vytvořil pomocí ifconfig kvůli druhé IP adrese? Pokud jo, tak pro info, tohle je už víc než deset let zastaralé, kvůli přidání další IP adresy na rozhraní, které už nějakou má, není potřeba vytvářet žádné virtuální síťovky a stačí udělat tohle:
ip addr add y.y.y.y/z dev venet0
Druhá věc - pokud takhle přidáváte adresu k rozhraní venet0 (a platí to samé, i když to uděláte tím ifconfig), tak si to představte z pohledu provozovatele - ten vám nemůže (neměl by) dovolit, abyste si na síťovku nastavil jakoukoliv adresu, která se vám zlíbí. Co kdyby ji někdo používal? Rozumný poskytovatel zablokouje cokoliv, co pochází z Vašeho serveru, ale ne z IP, kterou Vám dal.
Na to, abyste mohl takhle propojit dvě VPS, potřebujete na té VPS, která má být přístupná z internetu, dvě síťová rozhraní. Je už v podstatě jedno, jestli to druhé bude nějaký tunel, VPN nebo co, ale pokud to chcete udělat rozumně, potřebujete dvě.
Takže bych doporučil napsat na podporu, čeho se snažíte docílit a jestli je možné to druhé rozhraní přidat. Uvidíte, co vám řeknou - podle toho můžete postupovat dál.
On 07. 05. 19 9:43, Pavel Hruška wrote:
Já jsem se (slušně) zeptal, protože nevím, jak situaci vyřešit. S touhle situací se totiž setkávám poprvé, takže si hned nedokážu představit,
proč
dvě síťová rozhraní nejsou ve stejné L2, proč to funguje tak a proč to nefunguje jinak. Nemusíš mi odpovídat jen proto, aby jsi mi řekl, že
tomu
nerozumím, to já totiž vím, jinak bych se neptal.
Pokud by se tedy našel někdo, kdo mi víc pomůže, budu rád.
Díky, P.
út 7. 5. 2019 v 9:23 odesílatel Stanislav Petr glux@glux.org napsal:
Jedno je tak mozna kolecko u trakare… Ale tak jak si to predstavujes to proste nejde IP protokol (IPv4 ani IPv6) nepodporuji indirect gateway
(to
umi napriklad nektere pokrocilejsi sitove protokoly, jako treba MPLS). Pokud spolu nejsou ty dve sitove rozhrani ve stejne L2 a nevidi na sebe primo, nemuze byt ten druhy pro prvni branou… Neboli vysvetli nam jakym genialnim zpusobem chces do site s prefixem /32 nacpat vic nez jednu
IPv4
adresu?
— Stanislav Petr
- 2019 v 8:31, Pavel Hruška mrpear@mrpear.net:
Privátní VLAN jsem nikde ve vpsadminu neviděl. To, že je veřejná
routovaná
jako /32 mi může být jedno, nebo ne? Prostě mi paket přijde na veřejnou VPSku, ta ho forwardne na privátní, nicméně pak se musí paket vrátit
zase
zpátky, což nevím, jestli jsem schopen na té druhé VPS udělat...
P.
po 6. 5. 2019 v 18:58 odesílatel Stanislav Petr glux@glux.org
napsal:
Jedina moznost je udelat si mezi servery napr. ipip tunel a routovat
to
prez nej. Verejny adresy jsou na VPS routovany jako samostatny /32
routy.
Pripadne jestli jde nekde ve vpsadminu udelat privatni VLAN...
Odesláno z iPhonu
- 2019 v 15:43, Pavel Hruška mrpear@mrpear.net:
Ahojte,
potřeboval bych poradit, resp. ujistit, že je to možné a nedělám nějakou hloupost. Vzhledem k nedostatku public IPv4 chci mít druhou
VPSku
pouze s privátní IP a chci si na ní směrovat určitý provoz (tcp
porty) z
venku z public IPv4, kterou má první VPSka. Na začátek si chci zřídit
SSH
přístup, tedy například z veku x.x.x.x:222 -> y.y.y.y:22. Běžně NAT
dělám
přes iptables.
Tohle jsem zkoušel: iptables -t nat -A PREROUTING -d x.x.x.x -p tcp -m tcp --match multiport --dports 222 -j DNAT --to-destination y.y.y.y:22 iptables -A FORWARD -i venet0:0 -o venet0:1 -p tcp -m tcp --match multiport --dports 222 -m conntrack --ctstate NEW -j ACCEPT (tady
přesně
nevím, jestli cílový port je 222 nebo 22, ale zkoušel jsem oboje)
Plus toto: iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j
ACCEPT
sysctl net.ipv4.ip_forward (vrací net.ipv4.ip_forward = 1)
Něco mi říká, že bych na té druhé VPSce měl mít bránu zpět na tu
první
VPSku, ať se pakety můžou vracet, nicméně pokud dělám traceroute, tak
mi
jde provoz přes nějakou pro mě neznámou bránu, ačkoliv route vidím
takový:
Kernel IP routing table Destination Gateway Genmask Flags Metric Ref
Use
Iface default 0.0.0.0 0.0.0.0 U 0 0
0
venet0
traceroute to seznam.cz (77.75.74.172), 30 hops max, 60 byte packets 1 172.16.0.27 (172.16.0.27) 0.050 ms 0.017 ms 0.014 ms 2 vl128.cr3.r1-8.dc1.4d.prg.masterinter.net (81.31.40.97) 0.389
ms
0.629 ms 0.60 ...
Nevím, jestli dělám něco úplně špatně, nevím jak do toho zasahuje OpenVZ, atd... Budu rád za každou radu, díky.
P.
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-- Ing. Pavel Hruška mrpear@mrpear.net
web, webdesign, web-aplikace: https://www.pearfect.cz http://www.pearfect.cz/ _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-- Ing. Pavel Hruška mrpear@mrpear.net
web, webdesign, web-aplikace: https://www.pearfect.cz http://www.pearfect.cz/ _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Aha, tak jo. (Rejp: OpenVZ je divný a přiřazování různých IP na něco, co vypadá jako jedna síťovka, taky)
Pošlete sem výstupy ip addr show a ip route show z obou těch strojů - pokud budete skrývat adresy, tak ať je z nich poznat, které jsou privátní a které veřejné
Jinak to pravidlo s FORWARD NEW by AFAIK mělo být s dport 22, protože FORWARD ten paket vidí už upravený tím DNATem v PREROUTING.
Pravidla s PREROUTING vypadá taky dobře, ale aby to fungovalo takhle, tak je potřeba, aby buď
a) privátní IP adresa na tom druhém stroji byla na stejné (L2) síti jako na tom prvním stroji (tj. ping -t 1 ta.ip.adre.sa bude fungovat)
- nebo -
b) routery mezi těmi Vašimi stroji počítaly s tím, o co se pokoušíte (velká ptákovina, teoreticky by to šlo, prakticky na to zapomeňte a zkuste ten ping)
Pak je taky potřeba, aby ten druhý stroj, co má mít jenom privátní adresu, měl ten první stroj nastavený jako výchozí bránu, což podle toho výpisu route moc nevypadá.
Tak mě napadá, jak se na ten druhý stroj, který nemá veřejnou IP, připojujete teď? Z té webové konzole ve vpsadminu?
On 07. 05. 19 12:14, Pavel Hruška wrote:
Na podporu jsem psal jako první, tam mi poradili pohrát si s NATem a forwardem (což po diskuzi tady vidím, že asi nestačí) a pak mě odkázali na community :o).
Každopádně já jsem nic "ručně" nepřidával, mám k dispozici rozhraní (venet0), které má dvě IP adresy (a odtud venet0:x), privátní a public, obě adresy jsem samozřejmě dostal od provozovatele. Nevím, zda jsem udělal chybu, když jsem použitl venet0:x jako interface u iptables...
P.
út 7. 5. 2019 v 11:55 odesílatel Jirka Bourek vpsfree-list@keroub.cz napsal:
První věc, když vidím ta pravidla pro iptables: co je venet0:1? To je něco, co jste vytvořil pomocí ifconfig kvůli druhé IP adrese? Pokud jo, tak pro info, tohle je už víc než deset let zastaralé, kvůli přidání další IP adresy na rozhraní, které už nějakou má, není potřeba vytvářet žádné virtuální síťovky a stačí udělat tohle:
ip addr add y.y.y.y/z dev venet0
Druhá věc - pokud takhle přidáváte adresu k rozhraní venet0 (a platí to samé, i když to uděláte tím ifconfig), tak si to představte z pohledu provozovatele - ten vám nemůže (neměl by) dovolit, abyste si na síťovku nastavil jakoukoliv adresu, která se vám zlíbí. Co kdyby ji někdo používal? Rozumný poskytovatel zablokouje cokoliv, co pochází z Vašeho serveru, ale ne z IP, kterou Vám dal.
Na to, abyste mohl takhle propojit dvě VPS, potřebujete na té VPS, která má být přístupná z internetu, dvě síťová rozhraní. Je už v podstatě jedno, jestli to druhé bude nějaký tunel, VPN nebo co, ale pokud to chcete udělat rozumně, potřebujete dvě.
Takže bych doporučil napsat na podporu, čeho se snažíte docílit a jestli je možné to druhé rozhraní přidat. Uvidíte, co vám řeknou - podle toho můžete postupovat dál.
On 07. 05. 19 9:43, Pavel Hruška wrote:
Já jsem se (slušně) zeptal, protože nevím, jak situaci vyřešit. S touhle situací se totiž setkávám poprvé, takže si hned nedokážu představit, proč dvě síťová rozhraní nejsou ve stejné L2, proč to funguje tak a proč to nefunguje jinak. Nemusíš mi odpovídat jen proto, aby jsi mi řekl, že tomu nerozumím, to já totiž vím, jinak bych se neptal.
Pokud by se tedy našel někdo, kdo mi víc pomůže, budu rád.
Díky, P.
út 7. 5. 2019 v 9:23 odesílatel Stanislav Petr glux@glux.org napsal:
Jedno je tak mozna kolecko u trakare… Ale tak jak si to predstavujes to proste nejde IP protokol (IPv4 ani IPv6) nepodporuji indirect gateway
(to
umi napriklad nektere pokrocilejsi sitove protokoly, jako treba MPLS). Pokud spolu nejsou ty dve sitove rozhrani ve stejne L2 a nevidi na sebe primo, nemuze byt ten druhy pro prvni branou… Neboli vysvetli nam jakym genialnim zpusobem chces do site s prefixem /32 nacpat vic nez jednu
IPv4
adresu?
— Stanislav Petr
- 2019 v 8:31, Pavel Hruška mrpear@mrpear.net:
Privátní VLAN jsem nikde ve vpsadminu neviděl. To, že je veřejná
routovaná
jako /32 mi může být jedno, nebo ne? Prostě mi paket přijde na veřejnou VPSku, ta ho forwardne na privátní, nicméně pak se musí paket vrátit
zase
zpátky, což nevím, jestli jsem schopen na té druhé VPS udělat...
P.
po 6. 5. 2019 v 18:58 odesílatel Stanislav Petr glux@glux.org napsal:
Jedina moznost je udelat si mezi servery napr. ipip tunel a routovat to prez nej. Verejny adresy jsou na VPS routovany jako samostatny /32
routy.
Pripadne jestli jde nekde ve vpsadminu udelat privatni VLAN...
Odesláno z iPhonu
- 2019 v 15:43, Pavel Hruška mrpear@mrpear.net:
Ahojte,
potřeboval bych poradit, resp. ujistit, že je to možné a nedělámnějakou hloupost. Vzhledem k nedostatku public IPv4 chci mít druhou
VPSku
pouze s privátní IP a chci si na ní směrovat určitý provoz (tcp porty)
z
venku z public IPv4, kterou má první VPSka. Na začátek si chci zřídit
SSH
přístup, tedy například z veku x.x.x.x:222 -> y.y.y.y:22. Běžně NAT
dělám
přes iptables.
Tohle jsem zkoušel: iptables -t nat -A PREROUTING -d x.x.x.x -p tcp -m tcp --matchmultiport --dports 222 -j DNAT --to-destination y.y.y.y:22 iptables -A FORWARD -i venet0:0 -o venet0:1 -p tcp -m tcp --match multiport --dports 222 -m conntrack --ctstate NEW -j ACCEPT (tady
přesně
nevím, jestli cílový port je 222 nebo 22, ale zkoušel jsem oboje)
Plus toto: iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -jACCEPT
sysctl net.ipv4.ip_forward (vrací net.ipv4.ip_forward = 1) Něco mi říká, že bych na té druhé VPSce měl mít bránu zpět na tuprvní
VPSku, ať se pakety můžou vracet, nicméně pokud dělám traceroute, tak
mi
jde provoz přes nějakou pro mě neznámou bránu, ačkoliv route vidím
takový:
Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface default 0.0.0.0 0.0.0.0 U 0 0 0 venet0
traceroute to seznam.cz (77.75.74.172), 30 hops max, 60 byte packets 1 172.16.0.27 (172.16.0.27) 0.050 ms 0.017 ms 0.014 ms 2 vl128.cr3.r1-8.dc1.4d.prg.masterinter.net (81.31.40.97) 0.389 ms 0.629 ms 0.60 ...
Nevím, jestli dělám něco úplně špatně, nevím jak do toho zasahujeOpenVZ, atd... Budu rád za každou radu, díky.
P.
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-- Ing. Pavel Hruška mrpear@mrpear.net
web, webdesign, web-aplikace: https://www.pearfect.cz http://www.pearfect.cz/ _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Udělám souhrn, čím jsem teda prošel, napíšu k tomu svoje komentáře, pokud něco chápu špatně, klidně mě opravte. Začnu ale od konce reakcí na Tvůj poslední email:
ping-t 1 172.16.b.b => from 172.16.0.24 icmp_seq=1 Time to live exceeded
Ano, jediná možnost, jak se připojit, je přes konzoli VPS adminu.
Pravidlo prerouting s ohledem na veřejnou/privátní je následující iptables -t nat -A PREROUTING -d public.ip -p tcp -m tcp --match multiport --dports 222 -j DNAT --to-destination private.ip:22
U FORWARDU jsem pak dočasně povolil veškerý provoz, abych se někde nechytl (iptables -P FORWARD ACCEPT)
Traceroute mezi dvěma privátními adresami je takový (traceroute z 172.16.b.b.):
traceroute to 172.16.a.a (172.16.a.a), 30 hops max, 60 byte packets 1 172.16.0.27 (172.16.0.27) 0.095 ms 0.031 ms 0.049 ms 2 172.16.a.a (172.16.9.60) 0.311 ms 0.258 ms 0.254 ms
Takže to jde přes 172.16.0.27, podle mě, pokud změním default gateway, tak mi nikdy nic nebude fungovat, protože aby to fungovalo, pakety ve finále musí jít právě přes tu 172.16.0.27 (protože /32)??? Přes tu samou bránu mi jde provoz z té privátní VPSky taky do veřejného internetu.
Snažil jsem se včera udělat tunel
ip tunnel add tun0 mode gre remote 172.16.b.b local 172.16.a.a ip addr add 10.0.0.1/24 dev tun0 ...
Na druhé straně obdobně. Dokázal jsem si pingnout na druhou stranu tunelu, ale pokud jsem začal měnit bránu na té privátní VPS, nic nefungovalo, myslím, že kvůli tomu, co jsem psal dříve s ohledem na traceroute (zabalený paket ve finále musí někudy jít). Nebo se pletu?
Napadlo mě potom, že bych zkusil na výstupu NATu public VPS měnit source, aby se paket pak vracel přes tunel (10.0.0.1 je jeden konec tunelu, 10.0.0.254 druhý konec). Nevím, jestli to není blbost. Tady ale trošku plavu, omlouvám se, zkoušel jsem různě: -o tun0 -d 10.0.0.254
iptables -t nat -A POSTROUTING -d 10.0.0.254 -j SNAT --to-source 10.0.0.1 iptables -t nat -A POSTROUTING -d 10.0.0.254 -j MASQUERADE
Pozn.: zkoušel jsem různé varianty tunelů (10.0.0.1/24 <-> 10.0.0.254/24, 10.0.1.1/24 <-> 10.0.2.1/24), ale už jsem se do toho v podstatě zamotal a nechal jsem toho, budu zkoušet zase někdy příště...
P.
út 7. 5. 2019 v 21:51 odesílatel Jirka Bourek vpsfree-list@keroub.cz napsal:
Aha, tak jo. (Rejp: OpenVZ je divný a přiřazování různých IP na něco, co vypadá jako jedna síťovka, taky)
Pošlete sem výstupy ip addr show a ip route show z obou těch strojů - pokud budete skrývat adresy, tak ať je z nich poznat, které jsou privátní a které veřejné
Jinak to pravidlo s FORWARD NEW by AFAIK mělo být s dport 22, protože FORWARD ten paket vidí už upravený tím DNATem v PREROUTING.
Pravidla s PREROUTING vypadá taky dobře, ale aby to fungovalo takhle, tak je potřeba, aby buď
a) privátní IP adresa na tom druhém stroji byla na stejné (L2) síti jako na tom prvním stroji (tj. ping -t 1 ta.ip.adre.sa bude fungovat)
- nebo -
b) routery mezi těmi Vašimi stroji počítaly s tím, o co se pokoušíte (velká ptákovina, teoreticky by to šlo, prakticky na to zapomeňte a zkuste ten ping)
Pak je taky potřeba, aby ten druhý stroj, co má mít jenom privátní adresu, měl ten první stroj nastavený jako výchozí bránu, což podle toho výpisu route moc nevypadá.
Tak mě napadá, jak se na ten druhý stroj, který nemá veřejnou IP, připojujete teď? Z té webové konzole ve vpsadminu?
On 07. 05. 19 12:14, Pavel Hruška wrote:
Na podporu jsem psal jako první, tam mi poradili pohrát si s NATem a forwardem (což po diskuzi tady vidím, že asi nestačí) a pak mě odkázali
na
community :o).
Každopádně já jsem nic "ručně" nepřidával, mám k dispozici rozhraní (venet0), které má dvě IP adresy (a odtud venet0:x), privátní a public,
obě
adresy jsem samozřejmě dostal od provozovatele. Nevím, zda jsem udělal chybu, když jsem použitl venet0:x jako interface u iptables...
P.
út 7. 5. 2019 v 11:55 odesílatel Jirka Bourek vpsfree-list@keroub.cz napsal:
První věc, když vidím ta pravidla pro iptables: co je venet0:1? To je něco, co jste vytvořil pomocí ifconfig kvůli druhé IP adrese? Pokud jo, tak pro info, tohle je už víc než deset let zastaralé, kvůli přidání další IP adresy na rozhraní, které už nějakou má, není potřeba vytvářet žádné virtuální síťovky a stačí udělat tohle:
ip addr add y.y.y.y/z dev venet0
Druhá věc - pokud takhle přidáváte adresu k rozhraní venet0 (a platí to samé, i když to uděláte tím ifconfig), tak si to představte z pohledu provozovatele - ten vám nemůže (neměl by) dovolit, abyste si na síťovku nastavil jakoukoliv adresu, která se vám zlíbí. Co kdyby ji někdo používal? Rozumný poskytovatel zablokouje cokoliv, co pochází z Vašeho serveru, ale ne z IP, kterou Vám dal.
Na to, abyste mohl takhle propojit dvě VPS, potřebujete na té VPS, která má být přístupná z internetu, dvě síťová rozhraní. Je už v podstatě jedno, jestli to druhé bude nějaký tunel, VPN nebo co, ale pokud to chcete udělat rozumně, potřebujete dvě.
Takže bych doporučil napsat na podporu, čeho se snažíte docílit a jestli je možné to druhé rozhraní přidat. Uvidíte, co vám řeknou - podle toho můžete postupovat dál.
On 07. 05. 19 9:43, Pavel Hruška wrote:
Já jsem se (slušně) zeptal, protože nevím, jak situaci vyřešit. S
touhle
situací se totiž setkávám poprvé, takže si hned nedokážu představit,
proč
dvě síťová rozhraní nejsou ve stejné L2, proč to funguje tak a proč to nefunguje jinak. Nemusíš mi odpovídat jen proto, aby jsi mi řekl, že
tomu
nerozumím, to já totiž vím, jinak bych se neptal.
Pokud by se tedy našel někdo, kdo mi víc pomůže, budu rád.
Díky, P.
út 7. 5. 2019 v 9:23 odesílatel Stanislav Petr glux@glux.org napsal:
Jedno je tak mozna kolecko u trakare… Ale tak jak si to predstavujes
to
proste nejde IP protokol (IPv4 ani IPv6) nepodporuji indirect gateway
(to
umi napriklad nektere pokrocilejsi sitove protokoly, jako treba MPLS). Pokud spolu nejsou ty dve sitove rozhrani ve stejne L2 a nevidi na
sebe
primo, nemuze byt ten druhy pro prvni branou… Neboli vysvetli nam
jakym
genialnim zpusobem chces do site s prefixem /32 nacpat vic nez jednu
IPv4
adresu?
— Stanislav Petr
- 2019 v 8:31, Pavel Hruška mrpear@mrpear.net:
Privátní VLAN jsem nikde ve vpsadminu neviděl. To, že je veřejná
routovaná
jako /32 mi může být jedno, nebo ne? Prostě mi paket přijde na
veřejnou
VPSku, ta ho forwardne na privátní, nicméně pak se musí paket vrátit
zase
zpátky, což nevím, jestli jsem schopen na té druhé VPS udělat...
P.
po 6. 5. 2019 v 18:58 odesílatel Stanislav Petr glux@glux.org
napsal:
Jedina moznost je udelat si mezi servery napr. ipip tunel a routovat
to
prez nej. Verejny adresy jsou na VPS routovany jako samostatny /32
routy.
Pripadne jestli jde nekde ve vpsadminu udelat privatni VLAN...
Odesláno z iPhonu
- 2019 v 15:43, Pavel Hruška mrpear@mrpear.net:
Ahojte,
potřeboval bych poradit, resp. ujistit, že je to možné a nedělámnějakou hloupost. Vzhledem k nedostatku public IPv4 chci mít druhou
VPSku
pouze s privátní IP a chci si na ní směrovat určitý provoz (tcp
porty)
z
venku z public IPv4, kterou má první VPSka. Na začátek si chci zřídit
SSH
přístup, tedy například z veku x.x.x.x:222 -> y.y.y.y:22. Běžně NAT
dělám
přes iptables.
Tohle jsem zkoušel: iptables -t nat -A PREROUTING -d x.x.x.x -p tcp -m tcp --matchmultiport --dports 222 -j DNAT --to-destination y.y.y.y:22 iptables -A FORWARD -i venet0:0 -o venet0:1 -p tcp -m tcp --match multiport --dports 222 -m conntrack --ctstate NEW -j ACCEPT (tady
přesně
nevím, jestli cílový port je 222 nebo 22, ale zkoušel jsem oboje)
Plus toto: iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -jACCEPT
sysctl net.ipv4.ip_forward (vrací net.ipv4.ip_forward = 1) Něco mi říká, že bych na té druhé VPSce měl mít bránu zpět na tuprvní
VPSku, ať se pakety můžou vracet, nicméně pokud dělám traceroute, tak
mi
jde provoz přes nějakou pro mě neznámou bránu, ačkoliv route vidím
takový:
Kernel IP routing table Destination Gateway Genmask Flags Metric Ref
Use
Iface default 0.0.0.0 0.0.0.0 U 0 0
0
venet0
traceroute to seznam.cz (77.75.74.172), 30 hops max, 60 byte packets 1 172.16.0.27 (172.16.0.27) 0.050 ms 0.017 ms 0.014 ms 2 vl128.cr3.r1-8.dc1.4d.prg.masterinter.net (81.31.40.97)
0.389 ms
0.629 ms 0.60 ...
Nevím, jestli dělám něco úplně špatně, nevím jak do toho zasahujeOpenVZ, atd... Budu rád za každou radu, díky.
P.
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-- Ing. Pavel Hruška mrpear@mrpear.net
web, webdesign, web-aplikace: https://www.pearfect.cz http://www.pearfect.cz/ _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Jo, podle toho pingu je jediná možnost tunel
Máte ten mail strašně zmatený, některé adresy mají "a.a" a "b.b", jiné jsou v číslech, takže je v tom těžké se vyznat. Ale jestli to dobře chápu, tak stroj, který má veřejnou IP, má privátní IP 172.16.9.60 a u toho tunelu 10.0.0.1. Stroj, který nemá veřejnou IP, má privátní 172.16.0.27 a tunel 10.0.0.254. Pokud je to obráceně, tak si v následujícím textu budete muset IP přehazovat :-)
Taky by se hodil ten výpis routovacích tabulek, ale budu hádat, že na tom stroji bez veřejné adresy bude vypadat nějak takhle
10.0.0.0/24 dev tun0 default dev venet0 scope link
Jestli to tak je, tak máte pravdu - potřebujete mít jako default gateway IP adresu 10.0.0.1, ale když si tohle nastavíte jako default gateway, tak to nebude fungovat, protože přestane fungovat ten tunel
V takovém případě by řešení mělo být poměrně jednoduché, a sice nastavit pro tu IP adresu druhého konce tunelu samostatnou routu, tj.
172.16.9.60/32 dev venet0 default via 10.0.0.1
(Samozřejmě ponechat to 10.0.0.0/24 dev tun0, co se tam vyrobilo samo.)
Měnit zdrojovou IP adresu paketu pro ten NAT by mělo fungovat taky, ale je to horší řešení v tom, že se vám pak do všech logů bude zapisovat IP vaší vlastní VPS, to bych nedělal.
On 08. 05. 19 8:58, Pavel Hruška wrote:
Udělám souhrn, čím jsem teda prošel, napíšu k tomu svoje komentáře, pokud něco chápu špatně, klidně mě opravte. Začnu ale od konce reakcí na Tvůj poslední email:
ping-t 1 172.16.b.b => from 172.16.0.24 icmp_seq=1 Time to live exceeded
Ano, jediná možnost, jak se připojit, je přes konzoli VPS adminu.
Pravidlo prerouting s ohledem na veřejnou/privátní je následující iptables -t nat -A PREROUTING -d public.ip -p tcp -m tcp --match multiport --dports 222 -j DNAT --to-destination private.ip:22
U FORWARDU jsem pak dočasně povolil veškerý provoz, abych se někde nechytl (iptables -P FORWARD ACCEPT)
Traceroute mezi dvěma privátními adresami je takový (traceroute z 172.16.b.b.):
traceroute to 172.16.a.a (172.16.a.a), 30 hops max, 60 byte packets 1 172.16.0.27 (172.16.0.27) 0.095 ms 0.031 ms 0.049 ms 2 172.16.a.a (172.16.9.60) 0.311 ms 0.258 ms 0.254 ms
Takže to jde přes 172.16.0.27, podle mě, pokud změním default gateway, tak mi nikdy nic nebude fungovat, protože aby to fungovalo, pakety ve finále musí jít právě přes tu 172.16.0.27 (protože /32)??? Přes tu samou bránu mi jde provoz z té privátní VPSky taky do veřejného internetu.
Snažil jsem se včera udělat tunel
ip tunnel add tun0 mode gre remote 172.16.b.b local 172.16.a.a ip addr add 10.0.0.1/24 dev tun0 ...
Na druhé straně obdobně. Dokázal jsem si pingnout na druhou stranu tunelu, ale pokud jsem začal měnit bránu na té privátní VPS, nic nefungovalo, myslím, že kvůli tomu, co jsem psal dříve s ohledem na traceroute (zabalený paket ve finále musí někudy jít). Nebo se pletu?
Napadlo mě potom, že bych zkusil na výstupu NATu public VPS měnit source, aby se paket pak vracel přes tunel (10.0.0.1 je jeden konec tunelu, 10.0.0.254 druhý konec). Nevím, jestli to není blbost. Tady ale trošku plavu, omlouvám se, zkoušel jsem různě: -o tun0 -d 10.0.0.254
iptables -t nat -A POSTROUTING -d 10.0.0.254 -j SNAT --to-source 10.0.0.1 iptables -t nat -A POSTROUTING -d 10.0.0.254 -j MASQUERADE
Pozn.: zkoušel jsem různé varianty tunelů (10.0.0.1/24 <-> 10.0.0.254/24, 10.0.1.1/24 <-> 10.0.2.1/24), ale už jsem se do toho v podstatě zamotal a nechal jsem toho, budu zkoušet zase někdy příště...
P.
út 7. 5. 2019 v 21:51 odesílatel Jirka Bourek vpsfree-list@keroub.cz napsal:
Aha, tak jo. (Rejp: OpenVZ je divný a přiřazování různých IP na něco, co vypadá jako jedna síťovka, taky)
Pošlete sem výstupy ip addr show a ip route show z obou těch strojů - pokud budete skrývat adresy, tak ať je z nich poznat, které jsou privátní a které veřejné
Jinak to pravidlo s FORWARD NEW by AFAIK mělo být s dport 22, protože FORWARD ten paket vidí už upravený tím DNATem v PREROUTING.
Pravidla s PREROUTING vypadá taky dobře, ale aby to fungovalo takhle, tak je potřeba, aby buď
a) privátní IP adresa na tom druhém stroji byla na stejné (L2) síti jako na tom prvním stroji (tj. ping -t 1 ta.ip.adre.sa bude fungovat)
- nebo -
b) routery mezi těmi Vašimi stroji počítaly s tím, o co se pokoušíte (velká ptákovina, teoreticky by to šlo, prakticky na to zapomeňte a zkuste ten ping)
Pak je taky potřeba, aby ten druhý stroj, co má mít jenom privátní adresu, měl ten první stroj nastavený jako výchozí bránu, což podle toho výpisu route moc nevypadá.
Tak mě napadá, jak se na ten druhý stroj, který nemá veřejnou IP, připojujete teď? Z té webové konzole ve vpsadminu?
On 07. 05. 19 12:14, Pavel Hruška wrote:
Na podporu jsem psal jako první, tam mi poradili pohrát si s NATem a forwardem (což po diskuzi tady vidím, že asi nestačí) a pak mě odkázali
na
community :o).
Každopádně já jsem nic "ručně" nepřidával, mám k dispozici rozhraní (venet0), které má dvě IP adresy (a odtud venet0:x), privátní a public,
obě
adresy jsem samozřejmě dostal od provozovatele. Nevím, zda jsem udělal chybu, když jsem použitl venet0:x jako interface u iptables...
P.
út 7. 5. 2019 v 11:55 odesílatel Jirka Bourek vpsfree-list@keroub.cz napsal:
První věc, když vidím ta pravidla pro iptables: co je venet0:1? To je něco, co jste vytvořil pomocí ifconfig kvůli druhé IP adrese? Pokud jo, tak pro info, tohle je už víc než deset let zastaralé, kvůli přidání další IP adresy na rozhraní, které už nějakou má, není potřeba vytvářet žádné virtuální síťovky a stačí udělat tohle:
ip addr add y.y.y.y/z dev venet0
Druhá věc - pokud takhle přidáváte adresu k rozhraní venet0 (a platí to samé, i když to uděláte tím ifconfig), tak si to představte z pohledu provozovatele - ten vám nemůže (neměl by) dovolit, abyste si na síťovku nastavil jakoukoliv adresu, která se vám zlíbí. Co kdyby ji někdo používal? Rozumný poskytovatel zablokouje cokoliv, co pochází z Vašeho serveru, ale ne z IP, kterou Vám dal.
Na to, abyste mohl takhle propojit dvě VPS, potřebujete na té VPS, která má být přístupná z internetu, dvě síťová rozhraní. Je už v podstatě jedno, jestli to druhé bude nějaký tunel, VPN nebo co, ale pokud to chcete udělat rozumně, potřebujete dvě.
Takže bych doporučil napsat na podporu, čeho se snažíte docílit a jestli je možné to druhé rozhraní přidat. Uvidíte, co vám řeknou - podle toho můžete postupovat dál.
On 07. 05. 19 9:43, Pavel Hruška wrote:
Já jsem se (slušně) zeptal, protože nevím, jak situaci vyřešit. S
touhle
situací se totiž setkávám poprvé, takže si hned nedokážu představit,
proč
dvě síťová rozhraní nejsou ve stejné L2, proč to funguje tak a proč to nefunguje jinak. Nemusíš mi odpovídat jen proto, aby jsi mi řekl, že
tomu
nerozumím, to já totiž vím, jinak bych se neptal.
Pokud by se tedy našel někdo, kdo mi víc pomůže, budu rád.
Díky, P.
út 7. 5. 2019 v 9:23 odesílatel Stanislav Petr glux@glux.org napsal:
Jedno je tak mozna kolecko u trakare… Ale tak jak si to predstavujes
to
proste nejde IP protokol (IPv4 ani IPv6) nepodporuji indirect gateway
(to
umi napriklad nektere pokrocilejsi sitove protokoly, jako treba MPLS). Pokud spolu nejsou ty dve sitove rozhrani ve stejne L2 a nevidi na
sebe
primo, nemuze byt ten druhy pro prvni branou… Neboli vysvetli nam
jakym
genialnim zpusobem chces do site s prefixem /32 nacpat vic nez jednu
IPv4
adresu?
— Stanislav Petr
- 2019 v 8:31, Pavel Hruška mrpear@mrpear.net:
Privátní VLAN jsem nikde ve vpsadminu neviděl. To, že je veřejná
routovaná
jako /32 mi může být jedno, nebo ne? Prostě mi paket přijde na
veřejnou
VPSku, ta ho forwardne na privátní, nicméně pak se musí paket vrátit
zase
zpátky, což nevím, jestli jsem schopen na té druhé VPS udělat...
P.
po 6. 5. 2019 v 18:58 odesílatel Stanislav Petr glux@glux.org
napsal:
> Jedina moznost je udelat si mezi servery napr. ipip tunel a routovat
to
> prez nej. Verejny adresy jsou na VPS routovany jako samostatny /32
routy.
> Pripadne jestli jde nekde ve vpsadminu udelat privatni VLAN... > > Odesláno z iPhonu > > 6. 5. 2019 v 15:43, Pavel Hruška mrpear@mrpear.net: > > Ahojte, > > potřeboval bych poradit, resp. ujistit, že je to možné a nedělám > nějakou hloupost. Vzhledem k nedostatku public IPv4 chci mít druhou
VPSku
> pouze s privátní IP a chci si na ní směrovat určitý provoz (tcp
porty)
z
> venku z public IPv4, kterou má první VPSka. Na začátek si chci zřídit
SSH
> přístup, tedy například z veku x.x.x.x:222 -> y.y.y.y:22. Běžně NAT
dělám
> přes iptables. > > Tohle jsem zkoušel: > iptables -t nat -A PREROUTING -d x.x.x.x -p tcp -m tcp --match > multiport --dports 222 -j DNAT --to-destination y.y.y.y:22 > iptables -A FORWARD -i venet0:0 -o venet0:1 -p tcp -m tcp --match > multiport --dports 222 -m conntrack --ctstate NEW -j ACCEPT (tady
přesně
> nevím, jestli cílový port je 222 nebo 22, ale zkoušel jsem oboje) > > Plus toto: > iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j
ACCEPT
> > sysctl net.ipv4.ip_forward > (vrací net.ipv4.ip_forward = 1) > > Něco mi říká, že bych na té druhé VPSce měl mít bránu zpět na tu
první
> VPSku, ať se pakety můžou vracet, nicméně pokud dělám traceroute, tak
mi
> jde provoz přes nějakou pro mě neznámou bránu, ačkoliv route vidím
takový:
> > Kernel IP routing > table > Destination Gateway Genmask Flags Metric Ref
Use
> Iface > default 0.0.0.0 0.0.0.0 U 0 0
0
> venet0 > > traceroute to seznam.cz (77.75.74.172), 30 hops max, 60 byte > packets > 1 172.16.0.27 (172.16.0.27) 0.050 ms 0.017 ms 0.014 > ms > 2 vl128.cr3.r1-8.dc1.4d.prg.masterinter.net (81.31.40.97)
0.389 ms
> 0.629 ms 0.60 > ... > > Nevím, jestli dělám něco úplně špatně, nevím jak do toho zasahuje > OpenVZ, atd... Budu rád za každou radu, díky. > > > P. > > _______________________________________________ > Community-list mailing list > Community-list@lists.vpsfree.cz > http://lists.vpsfree.cz/listinfo/community-list > > _______________________________________________ > Community-list mailing list > Community-list@lists.vpsfree.cz > http://lists.vpsfree.cz/listinfo/community-list >
-- Ing. Pavel Hruška mrpear@mrpear.net
web, webdesign, web-aplikace: https://www.pearfect.cz http://www.pearfect.cz/ _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
...ještě poznámka, že jakmile jsem vytvořil tunel, tak jsem samozřejmě změnil DNAT:
iptables -t nat -A PREROUTING ... -j DNAT --to-destination 10.0.0.254:22
P.
http://www.avg.com/email-signature?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=webmail Bez virů. www.avg.com http://www.avg.com/email-signature?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=webmail <#DAB4FAD8-2DD7-40BB-A1B8-4E2AA1F9FDF2>
út 7. 5. 2019 v 21:51 odesílatel Jirka Bourek vpsfree-list@keroub.cz napsal:
Aha, tak jo. (Rejp: OpenVZ je divný a přiřazování různých IP na něco, co vypadá jako jedna síťovka, taky)
Pošlete sem výstupy ip addr show a ip route show z obou těch strojů - pokud budete skrývat adresy, tak ať je z nich poznat, které jsou privátní a které veřejné
Jinak to pravidlo s FORWARD NEW by AFAIK mělo být s dport 22, protože FORWARD ten paket vidí už upravený tím DNATem v PREROUTING.
Pravidla s PREROUTING vypadá taky dobře, ale aby to fungovalo takhle, tak je potřeba, aby buď
a) privátní IP adresa na tom druhém stroji byla na stejné (L2) síti jako na tom prvním stroji (tj. ping -t 1 ta.ip.adre.sa bude fungovat)
- nebo -
b) routery mezi těmi Vašimi stroji počítaly s tím, o co se pokoušíte (velká ptákovina, teoreticky by to šlo, prakticky na to zapomeňte a zkuste ten ping)
Pak je taky potřeba, aby ten druhý stroj, co má mít jenom privátní adresu, měl ten první stroj nastavený jako výchozí bránu, což podle toho výpisu route moc nevypadá.
Tak mě napadá, jak se na ten druhý stroj, který nemá veřejnou IP, připojujete teď? Z té webové konzole ve vpsadminu?
On 07. 05. 19 12:14, Pavel Hruška wrote:
Na podporu jsem psal jako první, tam mi poradili pohrát si s NATem a forwardem (což po diskuzi tady vidím, že asi nestačí) a pak mě odkázali
na
community :o).
Každopádně já jsem nic "ručně" nepřidával, mám k dispozici rozhraní (venet0), které má dvě IP adresy (a odtud venet0:x), privátní a public,
obě
adresy jsem samozřejmě dostal od provozovatele. Nevím, zda jsem udělal chybu, když jsem použitl venet0:x jako interface u iptables...
P.
út 7. 5. 2019 v 11:55 odesílatel Jirka Bourek vpsfree-list@keroub.cz napsal:
První věc, když vidím ta pravidla pro iptables: co je venet0:1? To je něco, co jste vytvořil pomocí ifconfig kvůli druhé IP adrese? Pokud jo, tak pro info, tohle je už víc než deset let zastaralé, kvůli přidání další IP adresy na rozhraní, které už nějakou má, není potřeba vytvářet žádné virtuální síťovky a stačí udělat tohle:
ip addr add y.y.y.y/z dev venet0
Druhá věc - pokud takhle přidáváte adresu k rozhraní venet0 (a platí to samé, i když to uděláte tím ifconfig), tak si to představte z pohledu provozovatele - ten vám nemůže (neměl by) dovolit, abyste si na síťovku nastavil jakoukoliv adresu, která se vám zlíbí. Co kdyby ji někdo používal? Rozumný poskytovatel zablokouje cokoliv, co pochází z Vašeho serveru, ale ne z IP, kterou Vám dal.
Na to, abyste mohl takhle propojit dvě VPS, potřebujete na té VPS, která má být přístupná z internetu, dvě síťová rozhraní. Je už v podstatě jedno, jestli to druhé bude nějaký tunel, VPN nebo co, ale pokud to chcete udělat rozumně, potřebujete dvě.
Takže bych doporučil napsat na podporu, čeho se snažíte docílit a jestli je možné to druhé rozhraní přidat. Uvidíte, co vám řeknou - podle toho můžete postupovat dál.
On 07. 05. 19 9:43, Pavel Hruška wrote:
Já jsem se (slušně) zeptal, protože nevím, jak situaci vyřešit. S
touhle
situací se totiž setkávám poprvé, takže si hned nedokážu představit,
proč
dvě síťová rozhraní nejsou ve stejné L2, proč to funguje tak a proč to nefunguje jinak. Nemusíš mi odpovídat jen proto, aby jsi mi řekl, že
tomu
nerozumím, to já totiž vím, jinak bych se neptal.
Pokud by se tedy našel někdo, kdo mi víc pomůže, budu rád.
Díky, P.
út 7. 5. 2019 v 9:23 odesílatel Stanislav Petr glux@glux.org napsal:
Jedno je tak mozna kolecko u trakare… Ale tak jak si to predstavujes
to
proste nejde IP protokol (IPv4 ani IPv6) nepodporuji indirect gateway
(to
umi napriklad nektere pokrocilejsi sitove protokoly, jako treba MPLS). Pokud spolu nejsou ty dve sitove rozhrani ve stejne L2 a nevidi na
sebe
primo, nemuze byt ten druhy pro prvni branou… Neboli vysvetli nam
jakym
genialnim zpusobem chces do site s prefixem /32 nacpat vic nez jednu
IPv4
adresu?
— Stanislav Petr
- 2019 v 8:31, Pavel Hruška mrpear@mrpear.net:
Privátní VLAN jsem nikde ve vpsadminu neviděl. To, že je veřejná
routovaná
jako /32 mi může být jedno, nebo ne? Prostě mi paket přijde na
veřejnou
VPSku, ta ho forwardne na privátní, nicméně pak se musí paket vrátit
zase
zpátky, což nevím, jestli jsem schopen na té druhé VPS udělat...
P.
po 6. 5. 2019 v 18:58 odesílatel Stanislav Petr glux@glux.org
napsal:
Jedina moznost je udelat si mezi servery napr. ipip tunel a routovat
to
prez nej. Verejny adresy jsou na VPS routovany jako samostatny /32
routy.
Pripadne jestli jde nekde ve vpsadminu udelat privatni VLAN...
Odesláno z iPhonu
- 2019 v 15:43, Pavel Hruška mrpear@mrpear.net:
Ahojte,
potřeboval bych poradit, resp. ujistit, že je to možné a nedělámnějakou hloupost. Vzhledem k nedostatku public IPv4 chci mít druhou
VPSku
pouze s privátní IP a chci si na ní směrovat určitý provoz (tcp
porty)
z
venku z public IPv4, kterou má první VPSka. Na začátek si chci zřídit
SSH
přístup, tedy například z veku x.x.x.x:222 -> y.y.y.y:22. Běžně NAT
dělám
přes iptables.
Tohle jsem zkoušel: iptables -t nat -A PREROUTING -d x.x.x.x -p tcp -m tcp --matchmultiport --dports 222 -j DNAT --to-destination y.y.y.y:22 iptables -A FORWARD -i venet0:0 -o venet0:1 -p tcp -m tcp --match multiport --dports 222 -m conntrack --ctstate NEW -j ACCEPT (tady
přesně
nevím, jestli cílový port je 222 nebo 22, ale zkoušel jsem oboje)
Plus toto: iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -jACCEPT
sysctl net.ipv4.ip_forward (vrací net.ipv4.ip_forward = 1) Něco mi říká, že bych na té druhé VPSce měl mít bránu zpět na tuprvní
VPSku, ať se pakety můžou vracet, nicméně pokud dělám traceroute, tak
mi
jde provoz přes nějakou pro mě neznámou bránu, ačkoliv route vidím
takový:
Kernel IP routing table Destination Gateway Genmask Flags Metric Ref
Use
Iface default 0.0.0.0 0.0.0.0 U 0 0
0
venet0
traceroute to seznam.cz (77.75.74.172), 30 hops max, 60 byte packets 1 172.16.0.27 (172.16.0.27) 0.050 ms 0.017 ms 0.014 ms 2 vl128.cr3.r1-8.dc1.4d.prg.masterinter.net (81.31.40.97)
0.389 ms
0.629 ms 0.60 ...
Nevím, jestli dělám něco úplně špatně, nevím jak do toho zasahujeOpenVZ, atd... Budu rád za každou radu, díky.
P.
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-- Ing. Pavel Hruška mrpear@mrpear.net
web, webdesign, web-aplikace: https://www.pearfect.cz http://www.pearfect.cz/ _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Sry nestiham a nemam cas to moc rozebirat, ale mas tam zbytecne moc specifikovane interfacy, chybi ti zpatecni pravidlo a forward pravidlo.
-A PREROUTING -d 37.205.8.36/32 -p tcp -m tcp --dport 2022 -j DNAT --to-destination 172.16.9.61:22 -A POSTROUTING -d 172.16.9.61/32 -p tcp -m tcp --dport 22 -j SNAT --to-source 37.205.8.36 -A FORWARD -d 172.16.9.61/32 -p tcp -m tcp --dport 22 -j ACCEPT
Voila,
snajpa@snajpaStation:~/tmp/linux-754 (master)$ ssh 37.205.8.36 -p 2022 The authenticity of host '[37.205.8.36]:2022 ([37.205.8.36]:2022)' can't be established. ECDSA key fingerprint is SHA256:I+uz1yxDXaIIBg7VPWlsdG/XdBtb2xerg3rK6Ac29y8. Are you sure you want to continue connecting (yes/no)?
/snajpa
On 2019-05-06 15:43, Pavel Hruška wrote:
Ahojte,
potřeboval bych poradit, resp. ujistit, že je to možné a nedělám nějakou hloupost. Vzhledem k nedostatku public IPv4 chci mít druhou VPSku pouze s privátní IP a chci si na ní směrovat určitý provoz (tcp porty) z venku z public IPv4, kterou má první VPSka. Na začátek si chci zřídit SSH přístup, tedy například z veku x.x.x.x:222 -> y.y.y.y:22. Běžně NAT dělám přes iptables.
Tohle jsem zkoušel:
iptables -t nat -A PREROUTING -d x.x.x.x -p tcp -m tcp --match multiport --dports 222 -j DNAT --to-destination y.y.y.y:22 iptables -A FORWARD -i venet0:0 -o venet0:1 -p tcp -m tcp --match multiport --dports 222 -m conntrack --ctstate NEW -j ACCEPT (tady přesně nevím, jestli cílový port je 222 nebo 22, ale zkoušel jsem oboje)
Plus toto:
iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
sysctl net.ipv4.ip_forward
(vrací net.ipv4.ip_forward = 1)Něco mi říká, že bych na té druhé VPSce měl mít bránu zpět na tu první VPSku, ať se pakety můžou vracet, nicméně pokud dělám traceroute, tak mi jde provoz přes nějakou pro mě neznámou bránu, ačkoliv route vidím takový:
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface default 0.0.0.0 0.0.0.0 U 0 0 0 venet0
traceroute to seznam.cz [1] (77.75.74.172), 30 hops max, 60 byte packets 1 172.16.0.27 (172.16.0.27) 0.050 ms 0.017 ms 0.014 ms
2 vl128.cr3.r1-8.dc1.4d.prg.masterinter.net [2] (81.31.40.97) 0.389 ms 0.629 ms 0.60 ...
Nevím, jestli dělám něco úplně špatně, nevím jak do toho zasahuje OpenVZ, atd... Budu rád za každou radu, díky.
P.
Links:
[1] http://seznam.cz [2] http://vl128.cr3.r1-8.dc1.4d.prg.masterinter.net
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
A samozrejme, ze jsem pastnul neuplnou blbost, ty prvni dve pravidla patri do -t nat...
Fakt se omlouvam, ale kdyz to ted nasledujicich par tydnu nepodelame s klukama v Brne, tak vysledky budou husty s paradnima implikacema pro celou komunitu, tak prosim trochu shovivavosti krz moji zhorsenou dostupnost...
Diky,
/snajpa
On 9 May 2019, at 01:50, Pavel Snajdr snajpa@snajpa.net wrote:
Sry nestiham a nemam cas to moc rozebirat, ale mas tam zbytecne moc specifikovane interfacy, chybi ti zpatecni pravidlo a forward pravidlo.
-A PREROUTING -d 37.205.8.36/32 -p tcp -m tcp --dport 2022 -j DNAT --to-destination 172.16.9.61:22 -A POSTROUTING -d 172.16.9.61/32 -p tcp -m tcp --dport 22 -j SNAT --to-source 37.205.8.36 -A FORWARD -d 172.16.9.61/32 -p tcp -m tcp --dport 22 -j ACCEPT
Voila,
snajpa@snajpaStation:~/tmp/linux-754 (master)$ ssh 37.205.8.36 -p 2022 The authenticity of host '[37.205.8.36]:2022 ([37.205.8.36]:2022)' can't be established. ECDSA key fingerprint is SHA256:I+uz1yxDXaIIBg7VPWlsdG/XdBtb2xerg3rK6Ac29y8. Are you sure you want to continue connecting (yes/no)?
/snajpa
On 2019-05-06 15:43, Pavel Hruška wrote: Ahojte, potřeboval bych poradit, resp. ujistit, že je to možné a nedělám nějakou hloupost. Vzhledem k nedostatku public IPv4 chci mít druhou VPSku pouze s privátní IP a chci si na ní směrovat určitý provoz (tcp porty) z venku z public IPv4, kterou má první VPSka. Na začátek si chci zřídit SSH přístup, tedy například z veku x.x.x.x:222 -> y.y.y.y:22. Běžně NAT dělám přes iptables. Tohle jsem zkoušel: iptables -t nat -A PREROUTING -d x.x.x.x -p tcp -m tcp --match multiport --dports 222 -j DNAT --to-destination y.y.y.y:22 iptables -A FORWARD -i venet0:0 -o venet0:1 -p tcp -m tcp --match multiport --dports 222 -m conntrack --ctstate NEW -j ACCEPT (tady přesně nevím, jestli cílový port je 222 nebo 22, ale zkoušel jsem oboje) Plus toto: iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT sysctl net.ipv4.ip_forward (vrací net.ipv4.ip_forward = 1) Něco mi říká, že bych na té druhé VPSce měl mít bránu zpět na tu první VPSku, ať se pakety můžou vracet, nicméně pokud dělám traceroute, tak mi jde provoz přes nějakou pro mě neznámou bránu, ačkoliv route vidím takový: Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface default 0.0.0.0 0.0.0.0 U 0 0 0 venet0 traceroute to seznam.cz [1] (77.75.74.172), 30 hops max, 60 byte packets 1 172.16.0.27 (172.16.0.27) 0.050 ms 0.017 ms 0.014 ms 2 vl128.cr3.r1-8.dc1.4d.prg.masterinter.net [2] (81.31.40.97) 0.389 ms 0.629 ms 0.60 ... Nevím, jestli dělám něco úplně špatně, nevím jak do toho zasahuje OpenVZ, atd... Budu rád za každou radu, díky. P. Links:
[1] http://seznam.cz [2] http://vl128.cr3.r1-8.dc1.4d.prg.masterinter.net _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Čau, nevím jestli se mám smát nebo brečet, ale funguje to :). Díky moc!
P.
čt 9. 5. 2019 v 1:59 odesílatel Pavel Snajdr snajpa@snajpa.net napsal:
Sry nestiham a nemam cas to moc rozebirat, ale mas tam zbytecne moc specifikovane interfacy, chybi ti zpatecni pravidlo a forward pravidlo.
-A PREROUTING -d 37.205.8.36/32 -p tcp -m tcp --dport 2022 -j DNAT --to-destination 172.16.9.61:22 -A POSTROUTING -d 172.16.9.61/32 -p tcp -m tcp --dport 22 -j SNAT --to-source 37.205.8.36 -A FORWARD -d 172.16.9.61/32 -p tcp -m tcp --dport 22 -j ACCEPT
Voila,
snajpa@snajpaStation:~/tmp/linux-754 (master)$ ssh 37.205.8.36 -p 2022 The authenticity of host '[37.205.8.36]:2022 ([37.205.8.36]:2022)' can't be established. ECDSA key fingerprint is SHA256:I+uz1yxDXaIIBg7VPWlsdG/XdBtb2xerg3rK6Ac29y8. Are you sure you want to continue connecting (yes/no)?
/snajpa
On 2019-05-06 15:43, Pavel Hruška wrote:
Ahojte,
potřeboval bych poradit, resp. ujistit, že je to možné a nedělám nějakou hloupost. Vzhledem k nedostatku public IPv4 chci mít druhou VPSku pouze s privátní IP a chci si na ní směrovat určitý provoz (tcp porty) z venku z public IPv4, kterou má první VPSka. Na začátek si chci zřídit SSH přístup, tedy například z veku x.x.x.x:222 -> y.y.y.y:22. Běžně NAT dělám přes iptables.
Tohle jsem zkoušel:
iptables -t nat -A PREROUTING -d x.x.x.x -p tcp -m tcp --match multiport --dports 222 -j DNAT --to-destination y.y.y.y:22 iptables -A FORWARD -i venet0:0 -o venet0:1 -p tcp -m tcp --match multiport --dports 222 -m conntrack --ctstate NEW -j ACCEPT (tady přesně nevím, jestli cílový port je 222 nebo 22, ale zkoušel jsem oboje)
Plus toto:
iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
sysctl net.ipv4.ip_forward
(vrací net.ipv4.ip_forward = 1)Něco mi říká, že bych na té druhé VPSce měl mít bránu zpět na tu první VPSku, ať se pakety můžou vracet, nicméně pokud dělám traceroute, tak mi jde provoz přes nějakou pro mě neznámou bránu, ačkoliv route vidím takový:
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface default 0.0.0.0 0.0.0.0 U 0 0 0 venet0
traceroute to seznam.cz [1] (77.75.74.172), 30 hops max, 60 byte packets 1 172.16.0.27 (172.16.0.27) 0.050 ms 0.017 ms 0.014 ms
2 vl128.cr3.r1-8.dc1.4d.prg.masterinter.net [2] (81.31.40.97) 0.389 ms 0.629 ms 0.60 ...
Nevím, jestli dělám něco úplně špatně, nevím jak do toho zasahuje OpenVZ, atd... Budu rád za každou radu, díky.
P.
Links:
[1] http://seznam.cz [2] http://vl128.cr3.r1-8.dc1.4d.prg.masterinter.net
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
community-list@lists.vpsfree.cz
-
Jirka Bourek -
Pavel Hruška -
Pavel Snajdr -
Richard Korinek -
Stanislav Petr -
Stefan Stefanov - C.C.C. s.r.o. -
Vaclav Kratochvil