REQ Netzwerk Routing/NAT/VPN

deleted5875454

Bloody Newbie

Registered: Dec 2021
Location:
Posts: 0

08.10.2018 - 20:55

Servus!

Ich bin ja schon lang in nem Lernprozess, und irgendwo scheiterts bei mir an der Logik.

ich habe folgendes Netzwerk:

svr1, svr2 sind vps server mit opnsense und der andere steht bei mir zhaus

auf svr1 und svr2 hab ich folgende routen eingetragen:
10.10.0.0/24 via 10.10.10.2
10.10.1.0/24 via 10.10.20.2

Funktioniert auch in alle Richtungen! (ausser svr1 <-> svr2)

Was will ich eigentlich?

meine.domain soll im Endeffekt am http Server ankommen (10.10.1.1)

Jetzt gibt es natürlich viele Wege nach Rom - Wie löse ich das am besten & nachhaltigsten?

Ich will natürlich lets encrypt & co verwenden, und datentechnisch soll quasi alles zuhause im Rack bleiben (kann aber in Zukunft auf 2ten Wohnsitz erweitert werden, zwecks Verfügbarkeit).
Pakete direkt von svr1,svr22 zu svr_zhaus routen(rule, nat,...?) und mein opnsense haproxy/nginx(hat das schon wer gemacht?) spielen lassen?
oder gleich svr1 und svr2 als haproxy/nginx(HA?) nutzen, und dann übers VPN direkt zum https Server routen?

Edit: Toll wäre halt -> Input kommt über die 2(3) Public IP Adressen und Antwort kommt über meine opnsense zhaus zurück (damit der traffic ned nochmal übers vpn muss)

hat da jemand input für mich?

(oder denk ich eh viel zu kompliziert? :O )

Bearbeitet von deleted5875454 am 08.10.2018, 20:58

userohnenamen

leider kein name

Registered: Feb 2004
Location: -
Posts: 15859

08.10.2018 - 21:05

Zitat aus einem Post von Innovaset
Edit: Toll wäre halt -> Input kommt über die 2(3) Public IP Adressen und Antwort kommt über meine opnsense zhaus zurück (damit der traffic ned nochmal übers vpn muss)

das vergiss mal besser wieder gleich, das ist asynchrones routing und wird dir nicht funktionieren (in diesem rahmen)

zum rest würd ich haproxy direkt auf den srv1 und srv1 ansetzen, allerdings wirst dir dann bei 2 haproxys was überlegen müssen zwecks lets encrypt endpunkt und cert austausch zwischen den beiden

um das routing dafür hinzubekommen kannst OSPF verwenden (wennst was neues einsetzen willst), oder einfach die routen dementsprechend setzen oder ein weiteres vpn direkt zwischen 1 und 2

deleted5875454

Bloody Newbie

Registered: Dec 2021
Location:
Posts: 0

08.10.2018 - 21:17

Zitat aus einem Post von userohnenamen
(.....)

zum rest würd ich haproxy direkt auf den srv1 und srv1 ansetzen, allerdings wirst dir dann bei 2 haproxys was überlegen müssen zwecks lets encrypt endpunkt und cert austausch zwischen den beiden (...)

deswegen hab ich mir gedacht, wenn ich die dementsprechenden ports von svr1+svr2 auf meine opnsense zuhause weiterleite, hätte ich lei einen haproxy, welcher ja auch dann kein problem mit LE hätte, und quasi failover, was die vps anbelangt. Zumindest wenn ich das mitn dns richtig verstanden habe (2*A eintrag = round robin)

userohnenamen

leider kein name

Registered: Feb 2004
Location: -
Posts: 15859

08.10.2018 - 21:41

ja kannst dann genauso machen und ist wohl eigentlich auch die bessere solang du kein performance problem zwecks SSL Offloading hast (was du wohl sicher nicht bekommst)

davebastard

Vinyl-Sammler

Registered: Jun 2002
Location: wean
Posts: 12384

08.10.2018 - 21:49

Zitat
und quasi failover, was die vps anbelangt. Zumindest wenn ich das mitn dns richtig verstanden habe (2*A eintrag = round robin)

sicher dass das geht ? ich glaub wenn beim dns zufällig der A eintrag matcht der grad down ist kommt einfach nix und irgendwann ein timeout... oder ?

also mmn funktioniert dns round robin für load balancing aber nicht für failover

jop
https://de.wikipedia.org/wiki/Lastverteilung_per_DNS

Bearbeitet von davebastard am 08.10.2018, 21:52

deleted5875454

Bloody Newbie

Registered: Dec 2021
Location:
Posts: 0

08.10.2018 - 21:56

Zitat aus einem Post von userohnenamen
ja kannst dann genauso machen und ist wohl eigentlich auch die bessere solang du kein performance problem zwecks SSL Offloading hast (was du wohl sicher nicht bekommst)

Jetzt - blöde Frage - wie mach ich das? nat? firewall rule?

Zitat
sicher dass das geht ? ich glaub wenn beim dns zufällig der A eintrag matcht der grad down ist kommt einfach nix und irgendwann ein timeout... oder ? also mmn funktioniert dns round robin für load balancing aber nicht für failover jop https://de.wikipedia.org/wiki/Lastverteilung_per_DNS

In dem Fall muss ich daweil wohl damit leben, solange ich nicht meine eigenen dns server benutze

Viper780

Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 50251

08.10.2018 - 22:03

Warum?
Lastverteilung und Failover macht man üblicherweise mit einem vorgeschaltenen Loadbalancer
Muss ja keine F5 sein

davebastard

Vinyl-Sammler

Registered: Jun 2002
Location: wean
Posts: 12384

08.10.2018 - 22:09

Zitat
In dem Fall muss ich daweil wohl damit leben, solange ich nicht meine eigenen dns server benutze

man verliert halt 50% der requests wenn einmal ein VPN down ist

und wozu das dns round robin überhaupt ? limitierend wird ja sowieso die leitung zuhaus sein ?
also zwecks load balancing bringts auch nix.

aber wenns nur zum rumspielen ist, gehen sollte es.
es müsste auch mit 2 haproxy gehen wo ein server das mit lets encrypt erneuern macht und dann per script mit scp oder so das cert auf den anderen kopiert.
eventuell gibts da auch schon was eleganteres

kA aber wahrscheinlich

davebastard

Vinyl-Sammler

Registered: Jun 2002
Location: wean
Posts: 12384

08.10.2018 - 22:15

Zitat aus einem Post von Viper780
Warum?
Lastverteilung und Failover macht man üblicherweise mit einem vorgeschaltenen Loadbalancer
Muss ja keine F5 sein

haproxy wär ja ein loadbalancer unter anderem

sein problem ist aber dass er den single point of failure bei den vps servern gern eleminieren würde. seh ich aber momentan nicht dass das mit den gegebenheiten geht.

Bearbeitet von davebastard am 08.10.2018, 22:17

userohnenamen

leider kein name

Registered: Feb 2004
Location: -
Posts: 15859

08.10.2018 - 22:16

so machs ich z.b. (also per scp auf den anderen host usw)

@innovaset: nat (inkl firewall rule) die dann einfach auf die opnsense bei dir zuhause zeigt (und darauf dann haproxy mit z.b. ssl offloading der wiederum an deinen dienst weiterreicht)

Crash Override

BOfH

Registered: Jun 2005
Location: Germany
Posts: 2951

08.10.2018 - 22:32

Warum nutzt du nicht einfach dynamische DNS Zuweisungen für deine WAN IP oder pakst die IPs direkt auf das WAN Gateway?

deleted5875454

Bloody Newbie

Registered: Dec 2021
Location:
Posts: 0

08.10.2018 - 22:40

Zitat aus einem Post von Crash Override
Warum nutzt du nicht einfach dynamische DNS Zuweisungen für deine WAN IP oder pakst die IPs direkt auf das WAN Gateway?

Zitat
hat da jemand input für mich?
(oder denk ich eh viel zu kompliziert? :O )

bin kein dyndns fan. in demfall bin ich ja "vpn client", d.h ich hab nach aussen hin static ips (ich bild mir ein, das sei praktisch, falls ich irgendwann mal eigene dns server haben will, etc...)

@IP als gateway, - ich versteh nicht ganz wie du das meinst?

Bearbeitet von deleted5875454 am 08.10.2018, 22:45

davebastard

Vinyl-Sammler

Registered: Jun 2002
Location: wean
Posts: 12384

08.10.2018 - 22:43

Zitat aus einem Post von Crash Override
Warum nutzt du nicht einfach dynamische DNS Zuweisungen für deine WAN IP oder pakst die IPs direkt auf das WAN Gateway?

das wär doch zu einfach

edit: den 2ten part versteh ich auch ned

bitte genauer

deleted5875454

Bloody Newbie

Registered: Dec 2021
Location:
Posts: 0

08.10.2018 - 23:29

#Update

hab jetzt mal nat eingerichtet, fehlt lei mein ha proxy

lt. log sollte des so funktionieren

edit: an der antwort scheiterts? vorausgesetzt mein HAproxy ist richtig konfiguriert, was hats da?

Anfrage kommt, Antwort darf nicht raus -> ich kann aber keine passende FW Regel erstellen?

hat wer nen input?

beim googln komm ich in nichtung nat reflektion

Bearbeitet von deleted5875454 am 09.10.2018, 00:47

davebastard

Vinyl-Sammler

Registered: Jun 2002
Location: wean
Posts: 12384

09.10.2018 - 08:17

wie schaut dein routing table aus ?

deleted5875454 Bloody Newbie Registered: Dec 2021 Location: Posts: 0	08.10.2018 - 20:55 Servus! Ich bin ja schon lang in nem Lernprozess, und irgendwo scheiterts bei mir an der Logik. ich habe folgendes Netzwerk: svr1, svr2 sind vps server mit opnsense und der andere steht bei mir zhaus auf svr1 und svr2 hab ich folgende routen eingetragen: 10.10.0.0/24 via 10.10.10.2 10.10.1.0/24 via 10.10.20.2 Funktioniert auch in alle Richtungen! (ausser svr1 <-> svr2) Was will ich eigentlich? meine.domain soll im Endeffekt am http Server ankommen (10.10.1.1) Jetzt gibt es natürlich viele Wege nach Rom - Wie löse ich das am besten & nachhaltigsten? Ich will natürlich lets encrypt & co verwenden, und datentechnisch soll quasi alles zuhause im Rack bleiben (kann aber in Zukunft auf 2ten Wohnsitz erweitert werden, zwecks Verfügbarkeit). Pakete direkt von svr1,svr22 zu svr_zhaus routen(rule, nat,...?) und mein opnsense haproxy/nginx(hat das schon wer gemacht?) spielen lassen? oder gleich svr1 und svr2 als haproxy/nginx(HA?) nutzen, und dann übers VPN direkt zum https Server routen? Edit: Toll wäre halt -> Input kommt über die 2(3) Public IP Adressen und Antwort kommt über meine opnsense zhaus zurück (damit der traffic ned nochmal übers vpn muss) hat da jemand input für mich? (oder denk ich eh viel zu kompliziert? :O ) Bearbeitet von deleted5875454 am 08.10.2018, 20:58
userohnenamen leider kein name Registered: Feb 2004 Location: - Posts: 15859	08.10.2018 - 21:05 Zitat aus einem Post von Innovaset Edit: Toll wäre halt -> Input kommt über die 2(3) Public IP Adressen und Antwort kommt über meine opnsense zhaus zurück (damit der traffic ned nochmal übers vpn muss) das vergiss mal besser wieder gleich, das ist asynchrones routing und wird dir nicht funktionieren (in diesem rahmen) zum rest würd ich haproxy direkt auf den srv1 und srv1 ansetzen, allerdings wirst dir dann bei 2 haproxys was überlegen müssen zwecks lets encrypt endpunkt und cert austausch zwischen den beiden um das routing dafür hinzubekommen kannst OSPF verwenden (wennst was neues einsetzen willst), oder einfach die routen dementsprechend setzen oder ein weiteres vpn direkt zwischen 1 und 2
deleted5875454 Bloody Newbie Registered: Dec 2021 Location: Posts: 0	08.10.2018 - 21:17 Zitat aus einem Post von userohnenamen (.....) zum rest würd ich haproxy direkt auf den srv1 und srv1 ansetzen, allerdings wirst dir dann bei 2 haproxys was überlegen müssen zwecks lets encrypt endpunkt und cert austausch zwischen den beiden (...) deswegen hab ich mir gedacht, wenn ich die dementsprechenden ports von svr1+svr2 auf meine opnsense zuhause weiterleite, hätte ich lei einen haproxy, welcher ja auch dann kein problem mit LE hätte, und quasi failover, was die vps anbelangt. Zumindest wenn ich das mitn dns richtig verstanden habe (2*A eintrag = round robin)
userohnenamen leider kein name Registered: Feb 2004 Location: - Posts: 15859	08.10.2018 - 21:41 ja kannst dann genauso machen und ist wohl eigentlich auch die bessere solang du kein performance problem zwecks SSL Offloading hast (was du wohl sicher nicht bekommst)
davebastard Vinyl-Sammler Registered: Jun 2002 Location: wean Posts: 12384	08.10.2018 - 21:49 Zitat und quasi failover, was die vps anbelangt. Zumindest wenn ich das mitn dns richtig verstanden habe (2A eintrag = round robin) sicher dass das geht ? ich glaub wenn beim dns zufällig der A eintrag matcht der grad down ist kommt einfach nix und irgendwann ein timeout... oder ? also mmn funktioniert dns round robin für load balancing aber nicht für failover jop https://de.wikipedia.org/wiki/Lastverteilung_per_DNS Bearbeitet von davebastard am 08.10.2018, 21:52*
deleted5875454 Bloody Newbie Registered: Dec 2021 Location: Posts: 0	08.10.2018 - 21:56 Zitat aus einem Post von userohnenamen ja kannst dann genauso machen und ist wohl eigentlich auch die bessere solang du kein performance problem zwecks SSL Offloading hast (was du wohl sicher nicht bekommst) Jetzt - blöde Frage - wie mach ich das? nat? firewall rule? Zitat sicher dass das geht ? ich glaub wenn beim dns zufällig der A eintrag matcht der grad down ist kommt einfach nix und irgendwann ein timeout... oder ? also mmn funktioniert dns round robin für load balancing aber nicht für failover jop https://de.wikipedia.org/wiki/Lastverteilung_per_DNS In dem Fall muss ich daweil wohl damit leben, solange ich nicht meine eigenen dns server benutze
Viper780 Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 50251	08.10.2018 - 22:03 Warum? Lastverteilung und Failover macht man üblicherweise mit einem vorgeschaltenen Loadbalancer Muss ja keine F5 sein
davebastard Vinyl-Sammler Registered: Jun 2002 Location: wean Posts: 12384	08.10.2018 - 22:09 Zitat In dem Fall muss ich daweil wohl damit leben, solange ich nicht meine eigenen dns server benutze man verliert halt 50% der requests wenn einmal ein VPN down ist und wozu das dns round robin überhaupt ? limitierend wird ja sowieso die leitung zuhaus sein ? also zwecks load balancing bringts auch nix. aber wenns nur zum rumspielen ist, gehen sollte es. es müsste auch mit 2 haproxy gehen wo ein server das mit lets encrypt erneuern macht und dann per script mit scp oder so das cert auf den anderen kopiert. eventuell gibts da auch schon was eleganteres kA aber wahrscheinlich
davebastard Vinyl-Sammler Registered: Jun 2002 Location: wean Posts: 12384	08.10.2018 - 22:15 Zitat aus einem Post von Viper780 Warum? Lastverteilung und Failover macht man üblicherweise mit einem vorgeschaltenen Loadbalancer Muss ja keine F5 sein haproxy wär ja ein loadbalancer unter anderem sein problem ist aber dass er den single point of failure bei den vps servern gern eleminieren würde. seh ich aber momentan nicht dass das mit den gegebenheiten geht. Bearbeitet von davebastard am 08.10.2018, 22:17
userohnenamen leider kein name Registered: Feb 2004 Location: - Posts: 15859	08.10.2018 - 22:16 so machs ich z.b. (also per scp auf den anderen host usw) @innovaset: nat (inkl firewall rule) die dann einfach auf die opnsense bei dir zuhause zeigt (und darauf dann haproxy mit z.b. ssl offloading der wiederum an deinen dienst weiterreicht)
Crash Override BOfH Registered: Jun 2005 Location: Germany Posts: 2951	08.10.2018 - 22:32 Warum nutzt du nicht einfach dynamische DNS Zuweisungen für deine WAN IP oder pakst die IPs direkt auf das WAN Gateway?
deleted5875454 Bloody Newbie Registered: Dec 2021 Location: Posts: 0	08.10.2018 - 22:40 Zitat aus einem Post von Crash Override Warum nutzt du nicht einfach dynamische DNS Zuweisungen für deine WAN IP oder pakst die IPs direkt auf das WAN Gateway? Zitat hat da jemand input für mich? (oder denk ich eh viel zu kompliziert? :O ) bin kein dyndns fan. in demfall bin ich ja "vpn client", d.h ich hab nach aussen hin static ips (ich bild mir ein, das sei praktisch, falls ich irgendwann mal eigene dns server haben will, etc...) @IP als gateway, - ich versteh nicht ganz wie du das meinst? Bearbeitet von deleted5875454 am 08.10.2018, 22:45
davebastard Vinyl-Sammler Registered: Jun 2002 Location: wean Posts: 12384	08.10.2018 - 22:43 Zitat aus einem Post von Crash Override Warum nutzt du nicht einfach dynamische DNS Zuweisungen für deine WAN IP oder pakst die IPs direkt auf das WAN Gateway? das wär doch zu einfach edit: den 2ten part versteh ich auch ned bitte genauer
deleted5875454 Bloody Newbie Registered: Dec 2021 Location: Posts: 0	08.10.2018 - 23:29 #Update hab jetzt mal nat eingerichtet, fehlt lei mein ha proxy lt. log sollte des so funktionieren edit: an der antwort scheiterts? vorausgesetzt mein HAproxy ist richtig konfiguriert, was hats da? Anfrage kommt, Antwort darf nicht raus -> ich kann aber keine passende FW Regel erstellen? hat wer nen input? beim googln komm ich in nichtung nat reflektion Bearbeitet von deleted5875454 am 09.10.2018, 00:47
davebastard Vinyl-Sammler Registered: Jun 2002 Location: wean Posts: 12384	09.10.2018 - 08:17 wie schaut dein routing table aus ?

REQ Netzwerk Routing/NAT/VPN

Forum Index > Hardware > Peripherie > Netzwerktechnik

deleted5875454

userohnenamen

deleted5875454

userohnenamen

davebastard

deleted5875454

Viper780

davebastard

davebastard

userohnenamen

Crash Override

deleted5875454

davebastard

deleted5875454

davebastard