[vpsFree.cz: community-list] Forwarding z public IPv4 na privátní

Richard Korinek richard.korinek at gmail.com
Tue May 7 10:18:57 CEST 2019 

Já tomu rozumím tak, že když mám položku v routovací tabulce pro IP
protokol, tak brána, přes kterou směřuje, musí být na stejném segmentu
sítě, tj. musí být ping na 1 hop. Jinak to nefunguje.

Co s tím - udělat mezi nimi VPN routu. Asi bych zkoušel OpenVPN, s tím mám
asi nejvíc zkušeností. A ještě bych uvažoval, jestli jít cestou
forwardování paketů. Pokud ty služby mají být přístupné pouze pro tebe, tak
bych si na vlastním stroji spustil dalšího klienta pro OpenVPN a v tom
okamžiku budu mít všeschny stroje na jedné sítě a můžu k nim přistupovat
přes adresní rozsah VPNky.

Pokud potřebuješ veřejně přístupné služby, tak  bych asi uvažoval spíš o
nějaké proxy - pokud tam budeš provozovat třeba nějaké webové služby, tak
nejjednodušší je nginx a v něm bych definoval virtual hosty pro tyto služby
jako forwarding proxy.

R.


On Tue, May 7, 2019 at 10:05 AM Stefan Stefanov - C.C.C. s.r.o. <
stefan at ccc.sk> wrote:

> Ahojte,
>
> ak tomu spravne rozumiem, ale nemusim mat pravdu:
>
> VPS ktore mas s verejnou IP je na uplne inom rozsahu ako VPS kde nechces
> mat verejnu IP. Tym padom logicky nie su na “rovnakej” sieti ak ked fyzicky
> tomu tak je. Je to proste routovanim. Velmi prehnane je to ako keby si
> chcel spojit komp v praci s kompom doma lebo doma nemas pevnu verejnu IP
> ale chces pristupovat cez IP ktoru mas v robote…
>
> Toto je asi laicky povedane to, co Ti pisal Stano.
>
> Asi najrozumnejsie riesenie tohoto je aby si si na VPS ktora ma verejnu IP
> spravil VPN server a VPS ktora nema verejnu IP sa bude na to VPN pripajat
> ako klient. Tym padom si vytvoria medzi sebou spojenie a mal by si vediet
> robit to, co potrebujes :)
>
> Ak nemam pravdu sorry...
> Prajem Vam prijemny den.
>
> S pozdravom
>
> Stefan Stefanov
>
> C.C.C. spol. s r.o.
> Námestie Biely kríž 1
> 831 02 Bratislava
> SLOVAKIA
> mob: +421 902 572 848
> tel: +421 2 44459955, 43411450
> mail: stefan at ccc.sk
> servisný mail : servis at ccc.sk
> www.ccc.sk
>
> Facebook  - www.facebook.com/www.ccc.sk/
>
> Dňa 7. 5. 2019 o 9:43, Pavel Hruška <mrpear at mrpear.net> napísal:
>
> Já jsem se (slušně) zeptal, protože nevím, jak situaci vyřešit. S touhle
> situací se totiž setkávám poprvé, takže si hned nedokážu představit, proč
> dvě síťová rozhraní nejsou ve stejné L2, proč to funguje tak a proč to
> nefunguje jinak. Nemusíš mi odpovídat jen proto, aby jsi mi řekl, že tomu
> nerozumím, to já totiž vím, jinak bych se neptal.
>
> Pokud by se tedy našel někdo, kdo mi víc pomůže, budu rád.
>
> Díky,
> P.
>
> út 7. 5. 2019 v 9:23 odesílatel Stanislav Petr <glux at glux.org> napsal:
>
>> Jedno je tak mozna kolecko u trakare… Ale tak jak si to predstavujes to
>> proste nejde IP protokol (IPv4 ani IPv6) nepodporuji indirect gateway (to
>> umi napriklad nektere pokrocilejsi sitove protokoly, jako treba MPLS).
>> Pokud spolu nejsou ty dve sitove rozhrani ve stejne L2 a nevidi na sebe
>> primo, nemuze byt ten druhy pro prvni branou… Neboli vysvetli nam jakym
>> genialnim zpusobem chces do site s prefixem /32 nacpat vic nez jednu IPv4
>> adresu?
>>
>>>> Stanislav Petr
>>
>>
>> 7. 5. 2019 v 8:31, Pavel Hruška <mrpear at mrpear.net>:
>>
>> Privátní VLAN jsem nikde ve vpsadminu neviděl. To, že je veřejná
>> routovaná jako /32 mi může být jedno, nebo ne? Prostě mi paket přijde na
>> veřejnou VPSku, ta ho forwardne na privátní, nicméně pak se musí paket
>> vrátit zase zpátky, což nevím, jestli jsem schopen na té druhé VPS udělat...
>>
>> P.
>>
>> po 6. 5. 2019 v 18:58 odesílatel Stanislav Petr <glux at glux.org> napsal:
>>
>>> Jedina moznost je udelat si mezi servery napr. ipip tunel a routovat to
>>> prez nej. Verejny adresy jsou na VPS routovany jako samostatny /32 routy.
>>> Pripadne jestli jde nekde ve vpsadminu udelat privatni VLAN...
>>>
>>> Odesláno z iPhonu
>>>
>>> 6. 5. 2019 v 15:43, Pavel Hruška <mrpear at mrpear.net>:
>>>
>>> Ahojte,
>>>
>>>   potřeboval bych poradit, resp. ujistit, že je to možné a nedělám
>>> nějakou hloupost. Vzhledem k nedostatku public IPv4 chci mít druhou VPSku
>>> pouze s privátní IP a chci si na ní směrovat určitý provoz (tcp porty) z
>>> venku z public IPv4, kterou má první VPSka. Na začátek si chci zřídit SSH
>>> přístup, tedy například z veku x.x.x.x:222 -> y.y.y.y:22. Běžně NAT dělám
>>> přes iptables.
>>>
>>>   Tohle jsem zkoušel:
>>>   iptables -t nat -A PREROUTING -d x.x.x.x -p tcp -m tcp --match
>>> multiport --dports 222 -j DNAT --to-destination y.y.y.y:22
>>>   iptables -A FORWARD -i venet0:0 -o venet0:1 -p tcp -m tcp --match
>>> multiport --dports 222 -m conntrack --ctstate NEW -j ACCEPT (tady přesně
>>> nevím, jestli cílový port je 222 nebo 22, ale zkoušel jsem oboje)
>>>
>>>   Plus toto:
>>>   iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j
>>> ACCEPT
>>>
>>>   sysctl net.ipv4.ip_forward
>>>     (vrací net.ipv4.ip_forward = 1)
>>>
>>>   Něco mi říká, že bych na té druhé VPSce měl mít bránu zpět na tu první
>>> VPSku, ať se pakety můžou vracet, nicméně pokud dělám traceroute, tak mi
>>> jde provoz přes nějakou pro mě neznámou bránu, ačkoliv route vidím takový:
>>>
>>> Kernel IP routing
>>> table
>>> Destination     Gateway         Genmask         Flags Metric Ref    Use
>>> Iface
>>> default         0.0.0.0         0.0.0.0         U     0      0        0
>>> venet0
>>>
>>> traceroute to seznam.cz (77.75.74.172), 30 hops max, 60 byte
>>> packets
>>>  1  172.16.0.27 (172.16.0.27)  0.050 ms  0.017 ms  0.014
>>> ms
>>>  2  vl128.cr3.r1-8.dc1.4d.prg.masterinter.net (81.31.40.97)  0.389 ms
>>> 0.629 ms  0.60
>>> ...
>>>
>>>   Nevím, jestli dělám něco úplně špatně, nevím jak do toho zasahuje
>>> OpenVZ, atd... Budu rád za každou radu, díky.
>>>
>>>
>>> P.
>>>
>>> _______________________________________________
>>> Community-list mailing list
>>> Community-list at lists.vpsfree.cz
>>> http://lists.vpsfree.cz/listinfo/community-list
>>>
>>> _______________________________________________
>>> Community-list mailing list
>>> Community-list at lists.vpsfree.cz
>>> http://lists.vpsfree.cz/listinfo/community-list
>>>
>>
>>
>> --
>> Ing. Pavel Hruška
>> mrpear at mrpear.net
>>
>> web, webdesign, web-aplikace:
>> https://www.pearfect.cz <http://www.pearfect.cz/>
>> _______________________________________________
>> Community-list mailing list
>> Community-list at lists.vpsfree.cz
>> http://lists.vpsfree.cz/listinfo/community-list
>>
>>
>> _______________________________________________
>> Community-list mailing list
>> Community-list at lists.vpsfree.cz
>> http://lists.vpsfree.cz/listinfo/community-list
>>
>
>
> --
> Ing. Pavel Hruška
> mrpear at mrpear.net
>
> web, webdesign, web-aplikace:
> https://www.pearfect.cz <http://www.pearfect.cz/>
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
>
>
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
>


-- 
Richard Kořínek
^^^^^^^^^^^^^^
email: richard.korinek at gmail.com
phone: +420 604 777 044
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.vpsfree.cz/pipermail/community-list/attachments/20190507/68c03ac2/attachment.html>

More information about the Community-list mailing list