[vpsFree.cz: community-list] Forwarding z public IPv4 na privátní

Vaclav Kratochvil vencour at gmail.com
Tue May 7 10:46:19 CEST 2019 

Rozhodující asi bude, zda má VPSka jeden interfejs pro vše nebo u privátní
LAN přibude další interfejs s tímto rozsahem (LAN). (A ano, default routa
musí být z rozsahu subnetu interfejsu)
Lze dělat různá zvěrstva, provádět source routing, policing podle TOS
apod., pokud je veřejný i privátní rozsah na jednom interfejsu, to by mohl
někdo od správců VPS doplnit, jak to na L2 funguje?
Sice je v KB něco napsané (
https://kb.vpsfree.cz/informace/internal_address_plan,
https://kb.vpsfree.cz/navody/server/gre), ale nevidím tam, co je
preferovaná varianta pro spojení 2 VPS instancí?

V.

On Tue, May 7, 2019 at 10:33 AM Pavel Hruška <mrpear at mrpear.net> wrote:

> Díky za reakci, začíná mi to být jasnější. Hlavně s tím příkladem OpenVPN.
> Zatím to potřebuji na web (takže ano, nginx a proxy_pass) ale z principu
> jsem chtěl vědět, jak to udělat i pro veřejné služby. Celkově to beru jako
> možnost se něco i přiučit.
>
> Ještě jednou díky,
> P.
>
> út 7. 5. 2019 v 10:20 odesílatel Richard Korinek <
> richard.korinek at gmail.com> napsal:
>
>> Já tomu rozumím tak, že když mám položku v routovací tabulce pro IP
>> protokol, tak brána, přes kterou směřuje, musí být na stejném segmentu
>> sítě, tj. musí být ping na 1 hop. Jinak to nefunguje.
>>
>> Co s tím - udělat mezi nimi VPN routu. Asi bych zkoušel OpenVPN, s tím
>> mám asi nejvíc zkušeností. A ještě bych uvažoval, jestli jít cestou
>> forwardování paketů. Pokud ty služby mají být přístupné pouze pro tebe, tak
>> bych si na vlastním stroji spustil dalšího klienta pro OpenVPN a v tom
>> okamžiku budu mít všeschny stroje na jedné sítě a můžu k nim přistupovat
>> přes adresní rozsah VPNky.
>>
>> Pokud potřebuješ veřejně přístupné služby, tak  bych asi uvažoval spíš o
>> nějaké proxy - pokud tam budeš provozovat třeba nějaké webové služby, tak
>> nejjednodušší je nginx a v něm bych definoval virtual hosty pro tyto služby
>> jako forwarding proxy.
>>
>> R.
>>
>>
>> On Tue, May 7, 2019 at 10:05 AM Stefan Stefanov - C.C.C. s.r.o. <
>> stefan at ccc.sk> wrote:
>>
>>> Ahojte,
>>>
>>> ak tomu spravne rozumiem, ale nemusim mat pravdu:
>>>
>>> VPS ktore mas s verejnou IP je na uplne inom rozsahu ako VPS kde nechces
>>> mat verejnu IP. Tym padom logicky nie su na “rovnakej” sieti ak ked fyzicky
>>> tomu tak je. Je to proste routovanim. Velmi prehnane je to ako keby si
>>> chcel spojit komp v praci s kompom doma lebo doma nemas pevnu verejnu IP
>>> ale chces pristupovat cez IP ktoru mas v robote…
>>>
>>> Toto je asi laicky povedane to, co Ti pisal Stano.
>>>
>>> Asi najrozumnejsie riesenie tohoto je aby si si na VPS ktora ma verejnu
>>> IP spravil VPN server a VPS ktora nema verejnu IP sa bude na to VPN
>>> pripajat ako klient. Tym padom si vytvoria medzi sebou spojenie a mal by si
>>> vediet robit to, co potrebujes :)
>>>
>>> Ak nemam pravdu sorry...
>>> Prajem Vam prijemny den.
>>>
>>> S pozdravom
>>>
>>> Stefan Stefanov
>>>
>>> C.C.C. spol. s r.o.
>>> Námestie Biely kríž 1
>>> 831 02 Bratislava
>>> SLOVAKIA
>>> mob: +421 902 572 848
>>> tel: +421 2 44459955, 43411450
>>> mail: stefan at ccc.sk
>>> servisný mail : servis at ccc.sk
>>> www.ccc.sk
>>>
>>> Facebook  - www.facebook.com/www.ccc.sk/
>>>
>>> Dňa 7. 5. 2019 o 9:43, Pavel Hruška <mrpear at mrpear.net> napísal:
>>>
>>> Já jsem se (slušně) zeptal, protože nevím, jak situaci vyřešit. S touhle
>>> situací se totiž setkávám poprvé, takže si hned nedokážu představit, proč
>>> dvě síťová rozhraní nejsou ve stejné L2, proč to funguje tak a proč to
>>> nefunguje jinak. Nemusíš mi odpovídat jen proto, aby jsi mi řekl, že tomu
>>> nerozumím, to já totiž vím, jinak bych se neptal.
>>>
>>> Pokud by se tedy našel někdo, kdo mi víc pomůže, budu rád.
>>>
>>> Díky,
>>> P.
>>>
>>> út 7. 5. 2019 v 9:23 odesílatel Stanislav Petr <glux at glux.org> napsal:
>>>
>>>> Jedno je tak mozna kolecko u trakare… Ale tak jak si to predstavujes to
>>>> proste nejde IP protokol (IPv4 ani IPv6) nepodporuji indirect gateway (to
>>>> umi napriklad nektere pokrocilejsi sitove protokoly, jako treba MPLS).
>>>> Pokud spolu nejsou ty dve sitove rozhrani ve stejne L2 a nevidi na sebe
>>>> primo, nemuze byt ten druhy pro prvni branou… Neboli vysvetli nam jakym
>>>> genialnim zpusobem chces do site s prefixem /32 nacpat vic nez jednu IPv4
>>>> adresu?
>>>>
>>>>>>>> Stanislav Petr
>>>>
>>>>
>>>> 7. 5. 2019 v 8:31, Pavel Hruška <mrpear at mrpear.net>:
>>>>
>>>> Privátní VLAN jsem nikde ve vpsadminu neviděl. To, že je veřejná
>>>> routovaná jako /32 mi může být jedno, nebo ne? Prostě mi paket přijde na
>>>> veřejnou VPSku, ta ho forwardne na privátní, nicméně pak se musí paket
>>>> vrátit zase zpátky, což nevím, jestli jsem schopen na té druhé VPS udělat...
>>>>
>>>> P.
>>>>
>>>> po 6. 5. 2019 v 18:58 odesílatel Stanislav Petr <glux at glux.org> napsal:
>>>>
>>>>> Jedina moznost je udelat si mezi servery napr. ipip tunel a routovat
>>>>> to prez nej. Verejny adresy jsou na VPS routovany jako samostatny /32
>>>>> routy. Pripadne jestli jde nekde ve vpsadminu udelat privatni VLAN...
>>>>>
>>>>> Odesláno z iPhonu
>>>>>
>>>>> 6. 5. 2019 v 15:43, Pavel Hruška <mrpear at mrpear.net>:
>>>>>
>>>>> Ahojte,
>>>>>
>>>>>   potřeboval bych poradit, resp. ujistit, že je to možné a nedělám
>>>>> nějakou hloupost. Vzhledem k nedostatku public IPv4 chci mít druhou VPSku
>>>>> pouze s privátní IP a chci si na ní směrovat určitý provoz (tcp porty) z
>>>>> venku z public IPv4, kterou má první VPSka. Na začátek si chci zřídit SSH
>>>>> přístup, tedy například z veku x.x.x.x:222 -> y.y.y.y:22. Běžně NAT dělám
>>>>> přes iptables.
>>>>>
>>>>>   Tohle jsem zkoušel:
>>>>>   iptables -t nat -A PREROUTING -d x.x.x.x -p tcp -m tcp --match
>>>>> multiport --dports 222 -j DNAT --to-destination y.y.y.y:22
>>>>>   iptables -A FORWARD -i venet0:0 -o venet0:1 -p tcp -m tcp --match
>>>>> multiport --dports 222 -m conntrack --ctstate NEW -j ACCEPT (tady přesně
>>>>> nevím, jestli cílový port je 222 nebo 22, ale zkoušel jsem oboje)
>>>>>
>>>>>   Plus toto:
>>>>>   iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j
>>>>> ACCEPT
>>>>>
>>>>>   sysctl net.ipv4.ip_forward
>>>>>     (vrací net.ipv4.ip_forward = 1)
>>>>>
>>>>>   Něco mi říká, že bych na té druhé VPSce měl mít bránu zpět na tu
>>>>> první VPSku, ať se pakety můžou vracet, nicméně pokud dělám traceroute, tak
>>>>> mi jde provoz přes nějakou pro mě neznámou bránu, ačkoliv route vidím
>>>>> takový:
>>>>>
>>>>> Kernel IP routing
>>>>> table
>>>>> Destination     Gateway         Genmask         Flags Metric Ref
>>>>> Use Iface
>>>>> default         0.0.0.0         0.0.0.0         U     0      0
>>>>> 0 venet0
>>>>>
>>>>> traceroute to seznam.cz (77.75.74.172), 30 hops max, 60 byte
>>>>> packets
>>>>>  1  172.16.0.27 (172.16.0.27)  0.050 ms  0.017 ms  0.014
>>>>> ms
>>>>>  2  vl128.cr3.r1-8.dc1.4d.prg.masterinter.net (81.31.40.97)  0.389
>>>>> ms  0.629 ms  0.60
>>>>> ...
>>>>>
>>>>>   Nevím, jestli dělám něco úplně špatně, nevím jak do toho zasahuje
>>>>> OpenVZ, atd... Budu rád za každou radu, díky.
>>>>>
>>>>>
>>>>> P.
>>>>>
>>>>> _______________________________________________
>>>>> Community-list mailing list
>>>>> Community-list at lists.vpsfree.cz
>>>>> http://lists.vpsfree.cz/listinfo/community-list
>>>>>
>>>>> _______________________________________________
>>>>> Community-list mailing list
>>>>> Community-list at lists.vpsfree.cz
>>>>> http://lists.vpsfree.cz/listinfo/community-list
>>>>>
>>>>
>>>>
>>>> --
>>>> Ing. Pavel Hruška
>>>> mrpear at mrpear.net
>>>>
>>>> web, webdesign, web-aplikace:
>>>> https://www.pearfect.cz <http://www.pearfect.cz/>
>>>> _______________________________________________
>>>> Community-list mailing list
>>>> Community-list at lists.vpsfree.cz
>>>> http://lists.vpsfree.cz/listinfo/community-list
>>>>
>>>>
>>>> _______________________________________________
>>>> Community-list mailing list
>>>> Community-list at lists.vpsfree.cz
>>>> http://lists.vpsfree.cz/listinfo/community-list
>>>>
>>>
>>>
>>> --
>>> Ing. Pavel Hruška
>>> mrpear at mrpear.net
>>>
>>> web, webdesign, web-aplikace:
>>> https://www.pearfect.cz <http://www.pearfect.cz/>
>>> _______________________________________________
>>> Community-list mailing list
>>> Community-list at lists.vpsfree.cz
>>> http://lists.vpsfree.cz/listinfo/community-list
>>>
>>>
>>> _______________________________________________
>>> Community-list mailing list
>>> Community-list at lists.vpsfree.cz
>>> http://lists.vpsfree.cz/listinfo/community-list
>>>
>>
>>
>> --
>> Richard Kořínek
>> ^^^^^^^^^^^^^^
>> email: richard.korinek at gmail.com
>> phone: +420 604 777 044
>>
>>
>>
>> _______________________________________________
>> Community-list mailing list
>> Community-list at lists.vpsfree.cz
>> http://lists.vpsfree.cz/listinfo/community-list
>>
>
>
> --
> Ing. Pavel Hruška
> mrpear at mrpear.net
>
> web, webdesign, web-aplikace:
> https://www.pearfect.cz <http://www.pearfect.cz/>
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.vpsfree.cz/pipermail/community-list/attachments/20190507/32d8da28/attachment-0001.html>

More information about the Community-list mailing list