[vpsFree.cz: community-list] Forwarding z public IPv4 na privátní

Vaclav Kratochvil vencour at gmail.com
Tue May 7 18:46:46 CEST 2019


Abych ještě doplnil či nadhodil téma k diskusi, tak podle odpovědi podpory
(použít nat a forward) ti vypadá, že se má provoz mezi dvěma VPS vést přes
"veřejný internet". Souhlasí to?

V.

On Tue, May 7, 2019 at 12:16 PM Pavel Hruška <mrpear at mrpear.net> wrote:

> Na podporu jsem psal jako první, tam mi poradili pohrát si s NATem a
> forwardem (což po diskuzi tady vidím, že asi nestačí) a pak mě odkázali na
> community :o).
>
> Každopádně já jsem nic "ručně" nepřidával, mám k dispozici rozhraní
> (venet0), které má dvě IP adresy (a odtud venet0:x), privátní a public, obě
> adresy jsem samozřejmě dostal od provozovatele. Nevím, zda jsem udělal
> chybu, když jsem použitl venet0:x jako interface u iptables...
>
> P.
>
>
> út 7. 5. 2019 v 11:55 odesílatel Jirka Bourek <vpsfree-list at keroub.cz>
> napsal:
>
>> První věc, když vidím ta pravidla pro iptables: co je venet0:1? To je
>> něco, co jste vytvořil pomocí ifconfig kvůli druhé IP adrese? Pokud jo,
>> tak pro info, tohle je už víc než deset let zastaralé, kvůli přidání
>> další IP adresy na rozhraní, které už nějakou má, není potřeba vytvářet
>> žádné virtuální síťovky a stačí udělat tohle:
>>
>> ip addr add y.y.y.y/z dev venet0
>>
>> Druhá věc - pokud takhle přidáváte adresu k rozhraní venet0 (a platí to
>> samé, i když to uděláte tím ifconfig), tak si to představte z pohledu
>> provozovatele - ten vám nemůže (neměl by) dovolit, abyste si na síťovku
>> nastavil jakoukoliv adresu, která se vám zlíbí. Co kdyby ji někdo
>> používal? Rozumný poskytovatel zablokouje cokoliv, co pochází z Vašeho
>> serveru, ale ne z IP, kterou Vám dal.
>>
>> Na to, abyste mohl takhle propojit dvě VPS, potřebujete na té VPS, která
>> má být přístupná z internetu, dvě síťová rozhraní. Je už v podstatě
>> jedno, jestli to druhé bude nějaký tunel, VPN nebo co, ale pokud to
>> chcete udělat rozumně, potřebujete dvě.
>>
>> Takže bych doporučil napsat na podporu, čeho se snažíte docílit a jestli
>> je možné to druhé rozhraní přidat. Uvidíte, co vám řeknou - podle toho
>> můžete postupovat dál.
>>
>>
>>
>> On 07. 05. 19 9:43, Pavel Hruška wrote:
>> > Já jsem se (slušně) zeptal, protože nevím, jak situaci vyřešit. S touhle
>> > situací se totiž setkávám poprvé, takže si hned nedokážu představit,
>> proč
>> > dvě síťová rozhraní nejsou ve stejné L2, proč to funguje tak a proč to
>> > nefunguje jinak. Nemusíš mi odpovídat jen proto, aby jsi mi řekl, že
>> tomu
>> > nerozumím, to já totiž vím, jinak bych se neptal.
>> >
>> > Pokud by se tedy našel někdo, kdo mi víc pomůže, budu rád.
>> >
>> > Díky,
>> > P.
>> >
>> > út 7. 5. 2019 v 9:23 odesílatel Stanislav Petr <glux at glux.org> napsal:
>> >
>> >> Jedno je tak mozna kolecko u trakare… Ale tak jak si to predstavujes to
>> >> proste nejde IP protokol (IPv4 ani IPv6) nepodporuji indirect gateway
>> (to
>> >> umi napriklad nektere pokrocilejsi sitove protokoly, jako treba MPLS).
>> >> Pokud spolu nejsou ty dve sitove rozhrani ve stejne L2 a nevidi na sebe
>> >> primo, nemuze byt ten druhy pro prvni branou… Neboli vysvetli nam jakym
>> >> genialnim zpusobem chces do site s prefixem /32 nacpat vic nez jednu
>> IPv4
>> >> adresu?
>> >>
>> >> —
>> >> Stanislav Petr
>> >>
>> >>
>> >> 7. 5. 2019 v 8:31, Pavel Hruška <mrpear at mrpear.net>:
>> >>
>> >> Privátní VLAN jsem nikde ve vpsadminu neviděl. To, že je veřejná
>> routovaná
>> >> jako /32 mi může být jedno, nebo ne? Prostě mi paket přijde na veřejnou
>> >> VPSku, ta ho forwardne na privátní, nicméně pak se musí paket vrátit
>> zase
>> >> zpátky, což nevím, jestli jsem schopen na té druhé VPS udělat...
>> >>
>> >> P.
>> >>
>> >> po 6. 5. 2019 v 18:58 odesílatel Stanislav Petr <glux at glux.org>
>> napsal:
>> >>
>> >>> Jedina moznost je udelat si mezi servery napr. ipip tunel a routovat
>> to
>> >>> prez nej. Verejny adresy jsou na VPS routovany jako samostatny /32
>> routy.
>> >>> Pripadne jestli jde nekde ve vpsadminu udelat privatni VLAN...
>> >>>
>> >>> Odesláno z iPhonu
>> >>>
>> >>> 6. 5. 2019 v 15:43, Pavel Hruška <mrpear at mrpear.net>:
>> >>>
>> >>> Ahojte,
>> >>>
>> >>>    potřeboval bych poradit, resp. ujistit, že je to možné a nedělám
>> >>> nějakou hloupost. Vzhledem k nedostatku public IPv4 chci mít druhou
>> VPSku
>> >>> pouze s privátní IP a chci si na ní směrovat určitý provoz (tcp
>> porty) z
>> >>> venku z public IPv4, kterou má první VPSka. Na začátek si chci zřídit
>> SSH
>> >>> přístup, tedy například z veku x.x.x.x:222 -> y.y.y.y:22. Běžně NAT
>> dělám
>> >>> přes iptables.
>> >>>
>> >>>    Tohle jsem zkoušel:
>> >>>    iptables -t nat -A PREROUTING -d x.x.x.x -p tcp -m tcp --match
>> >>> multiport --dports 222 -j DNAT --to-destination y.y.y.y:22
>> >>>    iptables -A FORWARD -i venet0:0 -o venet0:1 -p tcp -m tcp --match
>> >>> multiport --dports 222 -m conntrack --ctstate NEW -j ACCEPT (tady
>> přesně
>> >>> nevím, jestli cílový port je 222 nebo 22, ale zkoušel jsem oboje)
>> >>>
>> >>>    Plus toto:
>> >>>    iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j
>> ACCEPT
>> >>>
>> >>>    sysctl net.ipv4.ip_forward
>> >>>      (vrací net.ipv4.ip_forward = 1)
>> >>>
>> >>>    Něco mi říká, že bych na té druhé VPSce měl mít bránu zpět na tu
>> první
>> >>> VPSku, ať se pakety můžou vracet, nicméně pokud dělám traceroute, tak
>> mi
>> >>> jde provoz přes nějakou pro mě neznámou bránu, ačkoliv route vidím
>> takový:
>> >>>
>> >>> Kernel IP routing
>> >>> table
>> >>> Destination     Gateway         Genmask         Flags Metric Ref
>> Use
>> >>> Iface
>> >>> default         0.0.0.0         0.0.0.0         U     0      0
>> 0
>> >>> venet0
>> >>>
>> >>> traceroute to seznam.cz (77.75.74.172), 30 hops max, 60 byte
>> >>> packets
>> >>>   1  172.16.0.27 (172.16.0.27)  0.050 ms  0.017 ms  0.014
>> >>> ms
>> >>>   2  vl128.cr3.r1-8.dc1.4d.prg.masterinter.net (81.31.40.97)  0.389
>> ms
>> >>> 0.629 ms  0.60
>> >>> ...
>> >>>
>> >>>    Nevím, jestli dělám něco úplně špatně, nevím jak do toho zasahuje
>> >>> OpenVZ, atd... Budu rád za každou radu, díky.
>> >>>
>> >>>
>> >>> P.
>> >>>
>> >>> _______________________________________________
>> >>> Community-list mailing list
>> >>> Community-list at lists.vpsfree.cz
>> >>> http://lists.vpsfree.cz/listinfo/community-list
>> >>>
>> >>> _______________________________________________
>> >>> Community-list mailing list
>> >>> Community-list at lists.vpsfree.cz
>> >>> http://lists.vpsfree.cz/listinfo/community-list
>> >>>
>> >>
>> >>
>> >> --
>> >> Ing. Pavel Hruška
>> >> mrpear at mrpear.net
>> >>
>> >> web, webdesign, web-aplikace:
>> >> https://www.pearfect.cz <http://www.pearfect.cz/>
>> >> _______________________________________________
>> >> Community-list mailing list
>> >> Community-list at lists.vpsfree.cz
>> >> http://lists.vpsfree.cz/listinfo/community-list
>> >>
>> >>
>> >> _______________________________________________
>> >> Community-list mailing list
>> >> Community-list at lists.vpsfree.cz
>> >> http://lists.vpsfree.cz/listinfo/community-list
>> >>
>> >
>> >
>> >
>> > _______________________________________________
>> > Community-list mailing list
>> > Community-list at lists.vpsfree.cz
>> > http://lists.vpsfree.cz/listinfo/community-list
>> >
>> _______________________________________________
>> Community-list mailing list
>> Community-list at lists.vpsfree.cz
>> http://lists.vpsfree.cz/listinfo/community-list
>>
>
>
> --
> Ing. Pavel Hruška
> mrpear at mrpear.net
>
> web, webdesign, web-aplikace:
> https://www.pearfect.cz <http://www.pearfect.cz/>
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.vpsfree.cz/pipermail/community-list/attachments/20190507/2fe5433e/attachment-0001.html>


More information about the Community-list mailing list