Prestahovanie serveru za NAT

Dan Lukes dan at obluda.cz
Mon Apr 27 15:58:11 CEST 2009


Marian Cerny wrote:
> potrebujem prestahovat z hostingu jeden stary server. Dal by som ho do 
> kancelarii. Ale potreboval by som, aby ten server bol dalej funkcny na 
> starej IP adrese.

Jo, to je tak, kdyz nekdo ignoruje dulezitost DNS. Jak snadno by se to 
delalo, kdyby vsichni pouzivali jmeno - server by dostal novou IP, v DNS 
by se zmenil zaznam a vetsina lidi by prestehovani vubec nezaznamenala...

Jenze, ono udrzovat DNS je zbytecna prace - teda, zbytecna, nez se 
ukaze, kolik prace by usetrilo, kdyby byla udelana ... ;-)

No ja vim, ted uz je ti pozde neco takovyho rikat. I kdyz je to pravda.

> IP adresu mozem pridelit inemu serveru, ktory zostava 
> v hostingu. V kancelariach mame jednu IP adresu a sme za NATom.

Jinymi slovy, ty chces puvodni adresu prendat na jiny pocitac, stavajici 
pocitac kamsi odnest a zajistit, aby pri pristupu na puvodni IP na novem 
pocitaci dotaz obdrzel stary, prestehovany, pocitac kdesi jinde.

> Chcel by som poradit, co by na tento ucel bolo najvhodnejsie.

Pojem "server" je dost obecny. Jine reseni ti poradim pro SMTP server, 
jine pro WWW. Jine pro TCP-only sluzby.

> Uvazoval som, ze by som medzi routerom R v kancelarii a serverom S, 
> ktory zostane v hostingu a dostane staru IP adresu OLD_IP, urobil nejaky 
> tunel a vsetky pakety, ktore by boli urcene pre OLD_IP forwardoval do 
> tunela a na routeri R smeroval na stary server OLD_S.

> Dava to takto zmysel?

Vsechna data potecou pres in-out linku v hostingu dvakrat. Doufam, ze ji 
mas dost silnou.

> Da sa na taketo forwardovanie pouzit IPFW?

Ne.

> A co by ste odporucili na tunel? 

> napriklad je tam niekolko pripojeni cez IPsec

To je hezke, ze neco tak duleziteho zminis jen tak, mezi reci uplne na 
konci.

Transparentni redirect IPSEC paketu nekam uplne jinam ? Ty pakety musi 
na cilove misto dorazit nezmenene - to znamena tady zabalit do neceho, 
tam vybalit - a zpracovat s puvodni IP adresou tak, jako by na novem 
miste byla lokalni. A na tom starem se za lokalni povazovat nesmi, vyjma 
toho, ze ten pocitac musi odpovidat na ARP pro tuto IP. Pak by vhodnym 
nastavenim routivaci tabulky melo byt mozne nacpat prichozi pakety do 
GIF (IP-in-IP) tunelu. Zaplatis fragmentaci, ale to je popravde receno u 
takhle nestastneho problemu zanedbatelna cena.

Nevim, jak na Linuxu rozchodis aby odpovidal na ARP dotazy pro adresu, 
ktera mu nepatri, ale "info arp" to pri trose stesti asi prozradi. 
Stejne tak nevim, jestli jak tam rozchodit IP-in-IP tunel - a jestli tam 
vubec je (na FreeBSD je to soucast systemu a je to odvozenina RFC2893 
IPv6-in-IPv4 tunelu). Pokud tam nebude, potrebujes jiny IP tunel, ktery 
z hlediska systemu vypada jako interface (to kvuli tomu routovani). 
Treba PPPoE.

Na druhe strane bude zahnani odpovidajicich paketu do tunelu zrejme 
otazka source-routingu a tudiz asi nejlip ipfw fwd.

Zni mi to celkove jako strasna bejkarna. I kdyz to rozchodis, bude 
takrka nemozne v tom ladit poblemy. Videl's nedavnou debatu na tema 
IPSEC - to se ladi blbe i za normalnich okolnosti. Ja samozrejme nevim, 
proc jsi se rozhodnul prave pro takovehle reseni, protoze jsi nenaznacil 
jaky problem resis. Ale at si predstavim jakykoliv problem, u ktereho by 
toto mohlo byt resenim, vzdycky bych se pokusil usilovne hledat nejake 
jine reseni...

						Dan



More information about the Users-l mailing list