LINUX.ORG.RU

VPS и локальный debian

 , ,


2

2

Здравствуйте, вопрос состоит следующий, есть локальный свой сервер debian, а также куплен VPS с статическим IP, как можно сделать чтобы локальный сервер подключался к IP от VPS(можно было при установке допустим apache на локалке зайти на IP от VPS). Пробовал через openvpn подключался успешно, IP менялся, но вот все равно IP не работал, по SSH соответственно подрубиться не мог

можно было при установке допустим apache на локалке зайти на IP от VPS

ЯННП, тебе надо спрятать локальный апач, чтоб из интернетов на него ходили через VPS?

Пробовал через openvpn подключался успешно, IP менялся, но вот все равно IP не работал, по SSH соответственно подрубиться не мог

А тут вообще ЯННП, каша какая-то... Объяни что хочешь в итоге.

mandala ★★★★ ()
Последнее исправление: mandala (всего исправлений: 1)
Ответ на: комментарий от parger

Ты говоришь openvpn настраивал. Вот. Поднималась виртуальная приватная шифрованная сеть между локальным компом и впс, траффик шел «обернутый в туннель». Все снаружи тебя видели как IP впс-ки. На обоих сторонах создавались два виртуальных сетевых интерфейса с внутренними IP, которые принадлежат виртуальной сети.

И ssh у тебя при включенном openvpn станет работать только по внутреннему адресу приватной сети.

Так что я не понимаю что у тебя не так, все норм должно быть.

mandala ★★★★ ()
Последнее исправление: mandala (всего исправлений: 2)
Ответ на: комментарий от parger

Простой конфиг для опенвпн так и делает, траффик весь заворачивается. Наоборот сложнее намного настроить чтоб часть траффика шла на впс, а часть напрямую — но тебе это не надо, так даже в голову не бери.

Физически у тебя останется твой реальный IP, но о нем будут знать только ты и твой провайдер — и тут не обойдешь, это «физика». А вот весь внешний мир будет думать что ты впс-ка с ее IP.

Тут нюанс который ты и упустил в стартовом посте: у тебя и у вск-ки при работе по туннелю будет пара «виртуальных» IP. Вот они чисто технические и выпоняют просто «края туннеля», ведь ты перестаешь использовать свой реальный адрес для коннекта с конечными сервисами (сайты интернет, например).

mandala ★★★★ ()
Последнее исправление: mandala (всего исправлений: 1)
Ответ на: комментарий от parger

Это ты знаешь что «не работает», а по правде работает для внешней сторооны. Но ты и админ, тебе знать положено. А источником, «шлюзом» в мир при опенвпн служит впс и ни кто не знает где твой локальный сервер, вообще не знают что есть какой то локальный сервер, все видят вску и всё, не дальше.

mandala ★★★★ ()
Последнее исправление: mandala (всего исправлений: 2)
Ответ на: комментарий от Twissel

Я понял :). Я сам в «концепцию туннелирования» траффика тяжело врубился в своё время, правда мне простительно было — у меня комп был, но не было ни модема, ни локалки тогда, чисто локальный одинокий комп посреди квартиры (начало нулевых).

mandala ★★★★ ()

На VPSке настрой forwarding через iptables/nftables с внешнего интерфейса на туннель.
Для этого допиши в /etc/sysctl.conf строку net.ipv4.ip_forward = 1.
Если используешь nftables, можешь взять за основу мой конфиг, он делает почти то же, что ты просишь, нужно лишь выкинуть ненужное и добавить нужное. Хотя, теоретически, достаточно изменить только блок с define.
SSH тебе, вероятнее всего, нужен и на сервере и на VPSке, поэтому его порт пробрасывать не надо, но нужно открыть. В конфиге выше это есть.
ssh -J vps_user@vps_host:port server_user@server_host что бы подключиться к серверу, ssh vps_user@vps_host:port.

Deleted ()

Давайте с самого начала, подскажите, что мне сделать вот с самого начала есть чистый VPS и чистый локальный сервер, допустим поставлю на VPS openvpn, подключаюсь к VPS с локалки, всё, что и какие мне действия производить дальше

parger ()
Ответ на: комментарий от parger

хех, мало поставить опенвпн, надо настроить, мануалов полно.

Настраиваешь на впс-ке опенвпн-сервер и запускаешь его на впс, всё, впс не трогаешь пока, и ни когда опенвпн-сервер на впс не выключаешь ни когда вообще.

Потом настраиваешь впн-клиент на локальном компе и подключаешься к серверу. И вот тут твой трафик начинает ходить через впс, проверить можно на internet.ya.ru какой IP адрес.

Когда тебе надо ходить не через впс, а напрямую (как обычно, как щас ходишь) то на локальном компе останавливаешь впн-клиент.

И чтоб подключиться при включенном впн-клиенте на впску надо использовать внутренний виртуальный IP (который висит на сетевом интерфейсе tun впски).

mandala ★★★★ ()
Последнее исправление: mandala (всего исправлений: 1)
Ответ на: комментарий от mandala

Вообщем настроил локальную машину и VPS. Теперь на локальной машине IP от VPS, а как мне теперь допустим подключаться или как мне допустим дальше работать с этим? Допустим захочу разместить apache, как мне сделать чтобы устанавливал с локалки, а появился на IP от VPS

parger ()
Ответ на: комментарий от parger

по идее должно так сработать

Пробросить порты на VPS с реального IP-адреса на IP-адрес OpenVPN-server VPS-ки (который на сетевом интерфей tun на VPS-ке). Пусть порты у тебя 80 и 443. Команды выполняешь естественно на VPS.

sudo iptables -A FORWARD -i eth0 -o tun0 -p tcp --syn --dport 80 -m conntrack --ctstate NEW -j ACCEPT
sudo iptables -A FORWARD -i eth0 -o tun0 -p tcp --syn --dport 443 -m conntrack --ctstate NEW -j ACCEPT

sudo iptables -A FORWARD -i eth0 -o tun0 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A FORWARD -i tun0 -o eth0 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

sudo iptables -P FORWARD DROP

sudo iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 10.8.0.1
sudo iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j DNAT --to-destination 10.8.0.1

sudo iptables -t nat -A POSTROUTING -o tun0 -p tcp --dport 80 -d 10.8.0.1 -j SNAT --to-source 192.168.1.1
sudo iptables -t nat -A POSTROUTING -o tun0 -p tcp --dport 443 -d 10.8.0.1 -j SNAT --to-source 192.168.1.1

sudo service iptables-persistent save

В командах имена интерфейсов и IP-адреса указаны для примера, где:

tun0 — сетевой интерфейс OpenVPN-server, скорее всего совпадает
eth0 — сетевой интерфейс VPS-ки
192.168.1.1 — IP-адрес VPS-ки реальный
10.8.0.1 — IP-адрес интерфейса tun0 на vps-ке

mandala ★★★★ ()
Ответ на: комментарий от parger

Хотя если вся задача стоит показать не весь локальный сервер в интернет, а лишь апач — можно сделать было проще. Но ты сначала просил весь локальный сервер )))

mandala ★★★★ ()
Ответ на: комментарий от parger

да и не факт что должно заработать было, уж извини

Тебе только апач надо в интернет пробросить, или принципиально весь сервер?

И извини за не скромный вопрос, а почему тот же апач не сунуть на впс-ку? Такие страшно секретные сайты?

mandala ★★★★ ()
Ответ на: комментарий от parger

Хм, пока идей нет. Хотя вот те мои правила могут быть и лажовые, сетевик из меня так себе.

Может тебе лучше создать новую тему, но с более внятным вопросом. Сформулирую твой вопрос примерно:

Нужно предоставить полный сетевой доступ из интернета к локальному серверу, который за NAT провайдера, статического белого IP нет. Есть VPS, уже настроен OpenVPN. Как лучше сделать?

Вот примерно так.

mandala ★★★★ ()
Ответ на: комментарий от parger

Говорят тут мне знающие люди, что должно работать. Проверь адреса, имена сетевых интерфейсов чтоб были как у тебя. Прям по истории команд можешь проверять (стрелочка вверх в ssh).

mandala ★★★★ ()
Ответ на: комментарий от mandala

мне очень кажется, что ты его плохо понимаешь. хотя, мне кажется, что и я его тоже плохо понимаю, но думаю лучше чем ты. он хочет, чтоб все сервисы поднятые на его локальном серве - виделись на белом айпи. всегото.

shashilx ()
Ответ на: комментарий от shashilx

Я это понял тоже, мне просто стало интересно удалить гланды через анус.

Можно конечно решать задачи проброса по отдельности: вебсервер, ссш и т.д. а настроенный впн не помешает, пусть будет.

mandala ★★★★ ()
Ответ на: комментарий от mandala

ну вот зачем... зачем ты придумываешь задачу, если

Вообщем мне нужно, чтобы у меня использовался на локальном серваке IP от VPS

он же ясно сказал, хочу вот так. нет же, ты зачемто перекраиваешь задачу, потому что - так правильнее, так лучше, так надо. епт, да нучитесь вы четко отвечать на поставленный вопрос, без своих придумываний. просит чел - как выстрелить в ногу - вот так, берем, направляем дуло в ногу, нажимаем курок. оно вам нада - объяснять, что без ноги туго будет, что это ранение, что это неправильно... есть вопрос - есть ответ. без придумываний.

shashilx ()
Ответ на: комментарий от shashilx

зачемто перекраиваешь задачу, потому что - так правильнее, так лучше, так надо. епт,

Мы ж на ЛОРе )

и ненада городить 100800 правил.

А тут я начал решать конкретную задачу про только апач :D

mandala ★★★★ ()
Ответ на: комментарий от mandala

Мы ж на ЛОРе )

ну, это конечно без всякого порно. но это все молодо, зелено. повзрослев - проще просто ответить на вопрос. если знаешь ответ. плевать - вопрос об том как себе в ногу выстрелить, как себе голову отрезать или апач установить. четко, по делу или ваще ну его нафиг. будем подразумевать, что спрашивающий знает что он хочет. а даже если и не знает - пусть пару раз ногу прострелит. он сам спросил? сам. никто его не заставлял.

shashilx ()
Последнее исправление: shashilx (всего исправлений: 1)
Ответ на: комментарий от mandala

кстати, еще вот вопрос, про - мы ж на ЛОРе. ты когда заходишь в туалет (руки чтоб помыть) палюбасику сразу срать садишься? бо - ты ж в туалете? или порнхаб случайно открылся - нада подрачить, мы ж на порнхабе? что за стереотипы...

shashilx ()
Ответ на: комментарий от shashilx

Ну, ну, разошелся... Вот это можно понять двояко:

как можно сделать чтобы локальный сервер подключался к IP от VPS

Потом ТС сказал про апач, потом про опенвпн. Ну вот так я его понял кривовато. Правильно ты говоришь, не фиг умничать было, согласен.

mandala ★★★★ ()
Ответ на: комментарий от mandala

апач надо в интернет пробросить
а почему тот же апач не сунуть на впс-ку?

Подозреваю, что ему надо просто dyndns и весь огород строится вокруг динамического айпишника локального сервера.

P.S. Поражаюсь твоему терпению.

ivn86 ()