LINUX.ORG.RU
ФорумAdmin

переброс трафика

 


0

1

Добрый день подскажите как перебросить трафик с сервера на сервер есть 2 сервера в разных ДЦ 1.1.1.1 ип основного с него надо трафик перебросить на сервер 2.2.2.2 чтобы когда коннект идет на 1.1.1.1 он по подал в 2.2.2.2 между 2 серверами поднял openvpn тунель на сервере в данный момент делаю так

iptables -t nat -A PREROUTING -d 1.1.1.1 -j DNAT --to 10.8.0.6 iptables -t nat -A POSTROUTING -d 10.8.0.6 -j MASQUERADE трафик перебросился но ип клиента становится 10.8.0.1 а не его реальный ип подскажите как добиться чтобы святился реальный ип клиентов а не 10.8.0.1 (это ип 1.1.1.1 в тунеле )

Добрый день подскажите как построить сарай на данный момент залил фундамент возвел стены 1 2 3 4 чтобы когда дождь не капало покрыл крышу 8 листов но потолок высокий можно ходить подскажите как уменьшить потолок чтобы прям не выше стапы а не высокий (это 200 см пачти )

t184256 ★★★★★
()

ты используешь нат, т.е. подмену адреса и хочешь чтоб нат адрес не менял, так не бывает

коннект идет на 1.1.1.1 он по подал в 2.2.2.2

сомнительный финт ушами, зачем оно нужно.

vxzvxz ★★★
()
Ответ на: комментарий от vxzvxz

на ДЦ где расположен сервер 2.2.2.2 в данный момент пропал доступ для сайта из внешнего мира остался чисто Казахстанский провайдеры вот хочется избавится от данный проблемой перебросив трафик с одного сервера на другой

kazakh777
() автор топика
Ответ на: комментарий от kazakh777

доступ для сайта

тебе nginx нужен в режиме proxy

vxzvxz ★★★
()
Ответ на: комментарий от vxzvxz

Ребята в том проблема что там не только сайты стоят и пару игровых серверов CS а там уже nginx не поможет

kazakh777
() автор топика

1. На 1.1.1.1 добавить маршрут до 2.2.2.2 через vpn

2. В iptables только одно правило
iptables -t nat -A PREROUTING -d 1.1.1.1 -j DNAT --to 2.2.2.2

3. На 2.2.2.2 добавить маршрут до 1.1.1.1 через vpn

anonymous
()
Ответ на: комментарий от kazakh777

попробуй ssh туннели, хз видныли там ip клиентов, перетяни порты на 2.2.2.2 с 1.1.1.1

vxzvxz ★★★
()
Ответ на: комментарий от anc

в данный момент стоит ip ro

10.8.0.2 dev tun1 proto kernel scope link src 10.8.0.1 10.8.0.0/24 via 10.8.0.2 dev tun1 1.1.1.1/24 dev eth3 proto kernel scope link src 1.1.1.1 default via 1.1.1.1 dev eth3

kazakh777
() автор топика
Ответ на: комментарий от kazakh777

1.
Прописать:
push «redirect-gateway def1»
в файлик клиента на сервере (см. client-config-dir)
или
в конфиг openvpn (но тогда для всех будет работать)
Обрати внимание весь трафик клиента пойдет через тунель.
2.
на сервере прописать nat для него, например беря твой же вариант
iptables -t nat -A POSTROUTING -s 10.8.0.6 -o интерфейс1.1.1.1 -j MASQUERADE
или
10.8.0.0/24 для весь подсетки

anc ★★★★★
()
Ответ на: комментарий от anc

вроде получилось а не как не получится сделать чтобы у клиента оставался свой трафик не переворачивая его трафик полностью

kazakh777
() автор топика
Ответ на: комментарий от anc

к примеру я добавил push «redirect-gateway def1» push «dhcp-option DNS 8.8.8.8» push «dhcp-option DNS 8.8.4.4» и теперь на 2 сервер по его ип 2.2.2.2 не могу достучатся а через 1.1.1.1 все прекрасно пошло

kazakh777
() автор топика
Ответ на: комментарий от kazakh777

Можно попробовать следующее:
redirect-gateway def1 не прописывать
на клиенте
1. в /etc/iproute2/rt_tables добавить строку

200 openvpn
убедись что таких таблиц (номер и название там нет, если есть то измени как нравиться)

2.
ip route add default via ip-vpn-gw (посмотри_что_у_тебя_сейчас_там) dev tunТвой_номер table openvpn
ip rule add from 10.8.0.6 table openvpn

Возможно будет работать, написал то что в голову пришло.

anc ★★★★★
()

Решал на днях похожую задачу, вариант я вижу такой:

1. Забываем что такое MASQUERADE, только SNAT и DNAT.

2. Для VPN туннеля сетка /24 ? замечательно.

3. Поднимаем alias на интерфейсе VPN на ДЦ2, например 10.8.0.7

4. В ДЦ1 делаем редирект нужных портов на ДЦ2:

iptables -t nat -A PREROUTING -p tcp -d $WAN --dport 80 -j DNAT --to-destination 10.8.0.7:80

И NAT обратно:

iptables -t nat -A POSTROUTING -s 10.8.0.7 -j SNAT --to-source $WAN

5. На ДЦ2 делаем:

ip ro add default via 10.8.0.1 table 101

ip ru add from 10.8.0.7 to 0/0 table 101 pref 101

В итоге запросы прилетевшие в ДЦ1 отправляются в ДЦ2 на левую айпишку, обрабатываются, возвращаются с нее в ДЦ1 и упешно улетают клиенту.Прямые запросы на внешнюю айпишку ДЦ2 успешно отправляются с него по его default route. И да: прямая маршрутизация между 10.8.0.1 и 10.8.0.6 сохраняется без изменений.

crlam0
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.