[vpsFree.cz: community-list] Forwarding z public IPv4 na privátní
Pavel Hruška
mrpear at mrpear.net
Tue May 7 10:31:59 CEST 2019
Díky za reakci, začíná mi to být jasnější. Hlavně s tím příkladem OpenVPN.
Zatím to potřebuji na web (takže ano, nginx a proxy_pass) ale z principu
jsem chtěl vědět, jak to udělat i pro veřejné služby. Celkově to beru jako
možnost se něco i přiučit.
Ještě jednou díky,
P.
út 7. 5. 2019 v 10:20 odesílatel Richard Korinek <richard.korinek at gmail.com>
napsal:
> Já tomu rozumím tak, že když mám položku v routovací tabulce pro IP
> protokol, tak brána, přes kterou směřuje, musí být na stejném segmentu
> sítě, tj. musí být ping na 1 hop. Jinak to nefunguje.
>
> Co s tím - udělat mezi nimi VPN routu. Asi bych zkoušel OpenVPN, s tím mám
> asi nejvíc zkušeností. A ještě bych uvažoval, jestli jít cestou
> forwardování paketů. Pokud ty služby mají být přístupné pouze pro tebe, tak
> bych si na vlastním stroji spustil dalšího klienta pro OpenVPN a v tom
> okamžiku budu mít všeschny stroje na jedné sítě a můžu k nim přistupovat
> přes adresní rozsah VPNky.
>
> Pokud potřebuješ veřejně přístupné služby, tak bych asi uvažoval spíš o
> nějaké proxy - pokud tam budeš provozovat třeba nějaké webové služby, tak
> nejjednodušší je nginx a v něm bych definoval virtual hosty pro tyto služby
> jako forwarding proxy.
>
> R.
>
>
> On Tue, May 7, 2019 at 10:05 AM Stefan Stefanov - C.C.C. s.r.o. <
> stefan at ccc.sk> wrote:
>
>> Ahojte,
>>
>> ak tomu spravne rozumiem, ale nemusim mat pravdu:
>>
>> VPS ktore mas s verejnou IP je na uplne inom rozsahu ako VPS kde nechces
>> mat verejnu IP. Tym padom logicky nie su na “rovnakej” sieti ak ked fyzicky
>> tomu tak je. Je to proste routovanim. Velmi prehnane je to ako keby si
>> chcel spojit komp v praci s kompom doma lebo doma nemas pevnu verejnu IP
>> ale chces pristupovat cez IP ktoru mas v robote…
>>
>> Toto je asi laicky povedane to, co Ti pisal Stano.
>>
>> Asi najrozumnejsie riesenie tohoto je aby si si na VPS ktora ma verejnu
>> IP spravil VPN server a VPS ktora nema verejnu IP sa bude na to VPN
>> pripajat ako klient. Tym padom si vytvoria medzi sebou spojenie a mal by si
>> vediet robit to, co potrebujes :)
>>
>> Ak nemam pravdu sorry...
>> Prajem Vam prijemny den.
>>
>> S pozdravom
>>
>> Stefan Stefanov
>>
>> C.C.C. spol. s r.o.
>> Námestie Biely kríž 1
>> 831 02 Bratislava
>> SLOVAKIA
>> mob: +421 902 572 848
>> tel: +421 2 44459955, 43411450
>> mail: stefan at ccc.sk
>> servisný mail : servis at ccc.sk
>> www.ccc.sk
>>
>> Facebook - www.facebook.com/www.ccc.sk/
>>
>> Dňa 7. 5. 2019 o 9:43, Pavel Hruška <mrpear at mrpear.net> napísal:
>>
>> Já jsem se (slušně) zeptal, protože nevím, jak situaci vyřešit. S touhle
>> situací se totiž setkávám poprvé, takže si hned nedokážu představit, proč
>> dvě síťová rozhraní nejsou ve stejné L2, proč to funguje tak a proč to
>> nefunguje jinak. Nemusíš mi odpovídat jen proto, aby jsi mi řekl, že tomu
>> nerozumím, to já totiž vím, jinak bych se neptal.
>>
>> Pokud by se tedy našel někdo, kdo mi víc pomůže, budu rád.
>>
>> Díky,
>> P.
>>
>> út 7. 5. 2019 v 9:23 odesílatel Stanislav Petr <glux at glux.org> napsal:
>>
>>> Jedno je tak mozna kolecko u trakare… Ale tak jak si to predstavujes to
>>> proste nejde IP protokol (IPv4 ani IPv6) nepodporuji indirect gateway (to
>>> umi napriklad nektere pokrocilejsi sitove protokoly, jako treba MPLS).
>>> Pokud spolu nejsou ty dve sitove rozhrani ve stejne L2 a nevidi na sebe
>>> primo, nemuze byt ten druhy pro prvni branou… Neboli vysvetli nam jakym
>>> genialnim zpusobem chces do site s prefixem /32 nacpat vic nez jednu IPv4
>>> adresu?
>>>
>>> —
>>> Stanislav Petr
>>>
>>>
>>> 7. 5. 2019 v 8:31, Pavel Hruška <mrpear at mrpear.net>:
>>>
>>> Privátní VLAN jsem nikde ve vpsadminu neviděl. To, že je veřejná
>>> routovaná jako /32 mi může být jedno, nebo ne? Prostě mi paket přijde na
>>> veřejnou VPSku, ta ho forwardne na privátní, nicméně pak se musí paket
>>> vrátit zase zpátky, což nevím, jestli jsem schopen na té druhé VPS udělat...
>>>
>>> P.
>>>
>>> po 6. 5. 2019 v 18:58 odesílatel Stanislav Petr <glux at glux.org> napsal:
>>>
>>>> Jedina moznost je udelat si mezi servery napr. ipip tunel a routovat to
>>>> prez nej. Verejny adresy jsou na VPS routovany jako samostatny /32 routy.
>>>> Pripadne jestli jde nekde ve vpsadminu udelat privatni VLAN...
>>>>
>>>> Odesláno z iPhonu
>>>>
>>>> 6. 5. 2019 v 15:43, Pavel Hruška <mrpear at mrpear.net>:
>>>>
>>>> Ahojte,
>>>>
>>>> potřeboval bych poradit, resp. ujistit, že je to možné a nedělám
>>>> nějakou hloupost. Vzhledem k nedostatku public IPv4 chci mít druhou VPSku
>>>> pouze s privátní IP a chci si na ní směrovat určitý provoz (tcp porty) z
>>>> venku z public IPv4, kterou má první VPSka. Na začátek si chci zřídit SSH
>>>> přístup, tedy například z veku x.x.x.x:222 -> y.y.y.y:22. Běžně NAT dělám
>>>> přes iptables.
>>>>
>>>> Tohle jsem zkoušel:
>>>> iptables -t nat -A PREROUTING -d x.x.x.x -p tcp -m tcp --match
>>>> multiport --dports 222 -j DNAT --to-destination y.y.y.y:22
>>>> iptables -A FORWARD -i venet0:0 -o venet0:1 -p tcp -m tcp --match
>>>> multiport --dports 222 -m conntrack --ctstate NEW -j ACCEPT (tady přesně
>>>> nevím, jestli cílový port je 222 nebo 22, ale zkoušel jsem oboje)
>>>>
>>>> Plus toto:
>>>> iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j
>>>> ACCEPT
>>>>
>>>> sysctl net.ipv4.ip_forward
>>>> (vrací net.ipv4.ip_forward = 1)
>>>>
>>>> Něco mi říká, že bych na té druhé VPSce měl mít bránu zpět na tu
>>>> první VPSku, ať se pakety můžou vracet, nicméně pokud dělám traceroute, tak
>>>> mi jde provoz přes nějakou pro mě neznámou bránu, ačkoliv route vidím
>>>> takový:
>>>>
>>>> Kernel IP routing
>>>> table
>>>> Destination Gateway Genmask Flags Metric Ref Use
>>>> Iface
>>>> default 0.0.0.0 0.0.0.0 U 0 0 0
>>>> venet0
>>>>
>>>> traceroute to seznam.cz (77.75.74.172), 30 hops max, 60 byte
>>>> packets
>>>> 1 172.16.0.27 (172.16.0.27) 0.050 ms 0.017 ms 0.014
>>>> ms
>>>> 2 vl128.cr3.r1-8.dc1.4d.prg.masterinter.net (81.31.40.97) 0.389 ms
>>>> 0.629 ms 0.60
>>>> ...
>>>>
>>>> Nevím, jestli dělám něco úplně špatně, nevím jak do toho zasahuje
>>>> OpenVZ, atd... Budu rád za každou radu, díky.
>>>>
>>>>
>>>> P.
>>>>
>>>> _______________________________________________
>>>> Community-list mailing list
>>>> Community-list at lists.vpsfree.cz
>>>> http://lists.vpsfree.cz/listinfo/community-list
>>>>
>>>> _______________________________________________
>>>> Community-list mailing list
>>>> Community-list at lists.vpsfree.cz
>>>> http://lists.vpsfree.cz/listinfo/community-list
>>>>
>>>
>>>
>>> --
>>> Ing. Pavel Hruška
>>> mrpear at mrpear.net
>>>
>>> web, webdesign, web-aplikace:
>>> https://www.pearfect.cz <http://www.pearfect.cz/>
>>> _______________________________________________
>>> Community-list mailing list
>>> Community-list at lists.vpsfree.cz
>>> http://lists.vpsfree.cz/listinfo/community-list
>>>
>>>
>>> _______________________________________________
>>> Community-list mailing list
>>> Community-list at lists.vpsfree.cz
>>> http://lists.vpsfree.cz/listinfo/community-list
>>>
>>
>>
>> --
>> Ing. Pavel Hruška
>> mrpear at mrpear.net
>>
>> web, webdesign, web-aplikace:
>> https://www.pearfect.cz <http://www.pearfect.cz/>
>> _______________________________________________
>> Community-list mailing list
>> Community-list at lists.vpsfree.cz
>> http://lists.vpsfree.cz/listinfo/community-list
>>
>>
>> _______________________________________________
>> Community-list mailing list
>> Community-list at lists.vpsfree.cz
>> http://lists.vpsfree.cz/listinfo/community-list
>>
>
>
> --
> Richard Kořínek
> ^^^^^^^^^^^^^^
> email: richard.korinek at gmail.com
> phone: +420 604 777 044
>
>
>
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
>
--
Ing. Pavel Hruška
mrpear at mrpear.net
web, webdesign, web-aplikace:
https://www.pearfect.cz <http://www.pearfect.cz/>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.vpsfree.cz/pipermail/community-list/attachments/20190507/42d72ee1/attachment-0001.html>
More information about the Community-list
mailing list