abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    včera 23:22 | Pozvánky

    Již tuto středu proběhne 50. Virtuální Bastlírna, tedy dle římského číslování L. Bude L značit velikost, tedy více diskutujících než obvykle, či délku, neboť díky svátku lze diskutovat dlouho do noci? Bude i příští Virtuální Bastlírna virtuální nebo reálná? Nejen to se dozvíte, když dorazíte na diskuzní večer o elektronice, softwaru, ale technice obecně, který si můžete představit jako virtuální posezení u piva spojené s učenou

    … více »
    bkralik | Komentářů: 0
    včera 22:33 | IT novinky

    Dle plánu dnes končí služba Skype. Uživatelé mohou pokračovat v Microsoft Teams.

    Ladislav Hagara | Komentářů: 0
    včera 21:44 | IT novinky

    Český statistický úřad rozšiřuje Statistický geoportál o Datový portál GIS s otevřenými geografickými daty. Ten umožňuje stahování datových sad podle potřeb uživatelů i jejich prohlížení v mapě a přináší nové možnosti v oblasti analýzy a využití statistických dat.

    Ladislav Hagara | Komentářů: 1
    včera 12:33 | Zajímavý projekt

    Kevin Lin zkouší využívat chytré brýle Mentra při hraní na piano. Vytváří aplikaci AugmentedChords, pomocí které si do brýlí posílá notový zápis (YouTube). Uvnitř brýlí běží AugmentOS (GitHub), tj. open source operační systém pro chytré brýle.

    Ladislav Hagara | Komentářů: 1
    včera 12:11 | Pozvánky

    Jarní konference EurOpen.cz 2025 proběhne 26. až 28. května v Brandýse nad Labem. Věnována je programovacím jazykům, vývoji softwaru a programovacím technikám.

    Ladislav Hagara | Komentářů: 0
    4.5. 21:44 | Komunita

    Na čem aktuálně pracují vývojáři GNOME a KDE Plasma? Pravidelný přehled novinek v Týden v GNOME a Týden v KDE Plasma.

    Ladislav Hagara | Komentářů: 0
    4.5. 14:22 | IT novinky

    Před 25 lety zaplavil celý svět virus ILOVEYOU. Virus se šířil e-mailem, jenž nesl přílohu s názvem I Love You. Příjemci, zvědavému, kdo se do něj zamiloval, pak program spuštěný otevřením přílohy načetl z adresáře e-mailové adresy a na ně pak „milostný vzkaz“ poslal dál. Škody vznikaly jak zahlcením e-mailových serverů, tak i druhou činností viru, kterou bylo přemazání souborů uložených v napadeném počítači.

    Ladislav Hagara | Komentářů: 29
    3.5. 22:33 | Nová verze

    Byla vydána nová major verze 5.0.0 svobodného multiplatformního nástroje BleachBit (GitHub, Wikipedie) určeného především k efektivnímu čištění disku od nepotřebných souborů.

    Ladislav Hagara | Komentářů: 2
    2.5. 22:22 | Komunita

    Na čem pracují vývojáři webového prohlížeče Ladybird (GitHub)? Byl publikován přehled vývoje za duben (YouTube).

    Ladislav Hagara | Komentářů: 0
    2.5. 19:11 | IT novinky

    Provozovatel čínské sociální sítě TikTok dostal v Evropské unii pokutu 530 milionů eur (13,2 miliardy Kč) za nedostatky při ochraně osobních údajů. Ve svém oznámení to dnes uvedla irská Komise pro ochranu údajů (DPC), která jedná jménem EU. Zároveň TikToku nařídila, že pokud správu dat neuvede do šesti měsíců do souladu s požadavky, musí přestat posílat data o unijních uživatelích do Číny. TikTok uvedl, že se proti rozhodnutí odvolá.

    Ladislav Hagara | Komentářů: 5
    Jaký filesystém primárně používáte?
     (58%)
     (1%)
     (8%)
     (21%)
     (4%)
     (2%)
     (2%)
     (0%)
     (1%)
     (3%)
    Celkem 526 hlasů
     Komentářů: 22, poslední včera 10:06
    Rozcestník

    Dotaz: WireGuard, routing & firewall

    29.12.2021 10:59 Deryl | skóre: 11
    WireGuard, routing & firewall
    Přečteno: 408×
    Příloha:

    Ahoj, mám server2 s webovou službou v LAN2, jejíž router nemá veřejnou IP adresu.

    Pak mám jiný server1 v LAN1, jejíž router veřejnou IP adresu má.

    Aby se klienti z internetu dostali na server2, tak jsem vytvořil WireGuard tunel mezi server1 a server2. Ping mezi server1 a server2 funguje, obousměrně.

    Viz náčrtek v příloze.

    Můj dotaz v této fázi nesměřuje na řešení detailů, spíše na koncept:

     

    • Dává smysl kombinovat na serveru1 DNAT (pro posílání paketů na server2) a MASQUERADE (aby server2 odpovídal na server1 --> router1 --> laptop a nikoliv skrze router2 --> laptop)?
    • Pokud se mi podaří nastavit NAT a routing na serveru1, tak na serveru2 by se nic zvláštního nastavovat nemělo, že?

     

    P.S. server1 je poněkud komplikovanější (headless Archlinux, docker kontejnery s různými službami na jiných portech, iptables firewall, ...). Když se pokouším připojit na laptopu na A.B.C.D:4321, tak dle tcpdumpu na serveru2 něco chodí tunelem ze serveru1, ale protože na laptopu to nefunguje (connection timeout), tak se asi nedaří doručit zpět odpověď.


    Řešení dotazu:


    Odpovědi

    Řešení 1× (Deryl (tazatel))
    29.12.2021 11:27 X
    Rozbalit Rozbalit vše Re: WireGuard, routing & firewall
    Hadam, ze na server2 bude problem s tim, ze tunelem prichazi 2x dnatovany provoz s verejnou IP, ale podle routovaci tabulky se snazi odpovidat pres router2. Se zapnutym rp_filter by to neproslo vubec. Vhodnjsi by bylo pridat na server1 jeste SNAT, ktery to zamaskuje jako 10.99.0.10. Potom na server2 nemusi resit vubec nic:
    iptables -t nat -A POSTROUTING -d 10.99.0.10 -p tcp --dport 4321 -j SNAT --to 10.99.0.10
    
    Mimochodem ta maskarada nema na odesilani server2 zpet do tunelu zadny vliv..
    29.12.2021 16:13 Deryl | skóre: 11
    Rozbalit Rozbalit vše Re: WireGuard, routing & firewall

    Díky především za potvrzení, že DNAT & SNAT na serveru1 je vhodnou cestou.

    Jak už to bývá, problém byl trochu jinde - ve FORWARD chainu byl skok na DOCKER-USER, přes který se vracející pakety již nedostaly. Těžko říci, zda jsem jsem to tak kdysi dávno nastavil sám či zda je to kouzlení dockeru.

    Každopádně, '-j SNAT --to 10.99.0.10' či '-j MASQUERADE' je snad z pohledu přepisování zdrojové IP adresy totéž, ne? Nyní funguje obojí.
    29.12.2021 16:26 X
    Rozbalit Rozbalit vše Re: WireGuard, routing & firewall
    Na obrazku je "MASQ from wg0 to eno0", tedy smerem ven. SNAT ktery jsem navrhoval je smerem dovnitr.
    29.12.2021 16:35 Deryl | skóre: 11
    Rozbalit Rozbalit vše Re: WireGuard, routing & firewall
    Pravda, moje chyba :-(

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.