"Christmas - the time to fix the computers of your loved ones" « Lord Wyrm

REQ Netzwerk Routing/NAT/VPN

Innovaset 08.10.2018 - 20:55 3998 17
Posts

deleted5875454

Bloody Newbie
Registered: Dec 2021
Location:
Posts: 0
Servus!

Ich bin ja schon lang in nem Lernprozess, und irgendwo scheiterts bei mir an der Logik.

ich habe folgendes Netzwerk:
screenshot_1_233512.png



svr1, svr2 sind vps server mit opnsense und der andere steht bei mir zhaus :)

auf svr1 und svr2 hab ich folgende routen eingetragen:
10.10.0.0/24 via 10.10.10.2
10.10.1.0/24 via 10.10.20.2

Funktioniert auch in alle Richtungen! (ausser svr1 <-> svr2)

Was will ich eigentlich?

meine.domain soll im Endeffekt am http Server ankommen (10.10.1.1)

Jetzt gibt es natürlich viele Wege nach Rom - Wie löse ich das am besten & nachhaltigsten?

Ich will natürlich lets encrypt & co verwenden, und datentechnisch soll quasi alles zuhause im Rack bleiben (kann aber in Zukunft auf 2ten Wohnsitz erweitert werden, zwecks Verfügbarkeit).
Pakete direkt von svr1,svr22 zu svr_zhaus routen(rule, nat,...?) und mein opnsense haproxy/nginx(hat das schon wer gemacht?) spielen lassen?
oder gleich svr1 und svr2 als haproxy/nginx(HA?) nutzen, und dann übers VPN direkt zum https Server routen?

Edit: Toll wäre halt -> Input kommt über die 2(3) Public IP Adressen und Antwort kommt über meine opnsense zhaus zurück (damit der traffic ned nochmal übers vpn muss)

hat da jemand input für mich? :)
(oder denk ich eh viel zu kompliziert? :O )
Bearbeitet von deleted5875454 am 08.10.2018, 20:58

userohnenamen

leider kein name
Avatar
Registered: Feb 2004
Location: -
Posts: 15859
Zitat aus einem Post von Innovaset
Edit: Toll wäre halt -> Input kommt über die 2(3) Public IP Adressen und Antwort kommt über meine opnsense zhaus zurück (damit der traffic ned nochmal übers vpn muss)

das vergiss mal besser wieder gleich, das ist asynchrones routing und wird dir nicht funktionieren (in diesem rahmen)

zum rest würd ich haproxy direkt auf den srv1 und srv1 ansetzen, allerdings wirst dir dann bei 2 haproxys was überlegen müssen zwecks lets encrypt endpunkt und cert austausch zwischen den beiden

um das routing dafür hinzubekommen kannst OSPF verwenden (wennst was neues einsetzen willst), oder einfach die routen dementsprechend setzen oder ein weiteres vpn direkt zwischen 1 und 2

deleted5875454

Bloody Newbie
Registered: Dec 2021
Location:
Posts: 0
Zitat aus einem Post von userohnenamen
(.....)

zum rest würd ich haproxy direkt auf den srv1 und srv1 ansetzen, allerdings wirst dir dann bei 2 haproxys was überlegen müssen zwecks lets encrypt endpunkt und cert austausch zwischen den beiden (...)

deswegen hab ich mir gedacht, wenn ich die dementsprechenden ports von svr1+svr2 auf meine opnsense zuhause weiterleite, hätte ich lei einen haproxy, welcher ja auch dann kein problem mit LE hätte, und quasi failover, was die vps anbelangt. Zumindest wenn ich das mitn dns richtig verstanden habe (2*A eintrag = round robin)

userohnenamen

leider kein name
Avatar
Registered: Feb 2004
Location: -
Posts: 15859
ja kannst dann genauso machen und ist wohl eigentlich auch die bessere solang du kein performance problem zwecks SSL Offloading hast (was du wohl sicher nicht bekommst)

davebastard

Vinyl-Sammler
Avatar
Registered: Jun 2002
Location: wean
Posts: 12385
Zitat
und quasi failover, was die vps anbelangt. Zumindest wenn ich das mitn dns richtig verstanden habe (2*A eintrag = round robin)

sicher dass das geht ? ich glaub wenn beim dns zufällig der A eintrag matcht der grad down ist kommt einfach nix und irgendwann ein timeout... oder ?

also mmn funktioniert dns round robin für load balancing aber nicht für failover

jop
https://de.wikipedia.org/wiki/Lastverteilung_per_DNS
Bearbeitet von davebastard am 08.10.2018, 21:52

deleted5875454

Bloody Newbie
Registered: Dec 2021
Location:
Posts: 0
Zitat aus einem Post von userohnenamen
ja kannst dann genauso machen und ist wohl eigentlich auch die bessere solang du kein performance problem zwecks SSL Offloading hast (was du wohl sicher nicht bekommst)

Jetzt - blöde Frage - wie mach ich das? nat? firewall rule?

Zitat
sicher dass das geht ? ich glaub wenn beim dns zufällig der A eintrag matcht der grad down ist kommt einfach nix und irgendwann ein timeout... oder ? also mmn funktioniert dns round robin für load balancing aber nicht für failover jop https://de.wikipedia.org/wiki/Lastverteilung_per_DNS

In dem Fall muss ich daweil wohl damit leben, solange ich nicht meine eigenen dns server benutze :)

Viper780

Er ist tot, Jim!
Avatar
Registered: Mar 2001
Location: Wien
Posts: 50255
Warum?
Lastverteilung und Failover macht man üblicherweise mit einem vorgeschaltenen Loadbalancer
Muss ja keine F5 sein

davebastard

Vinyl-Sammler
Avatar
Registered: Jun 2002
Location: wean
Posts: 12385
Zitat
In dem Fall muss ich daweil wohl damit leben, solange ich nicht meine eigenen dns server benutze :)

man verliert halt 50% der requests wenn einmal ein VPN down ist :D
und wozu das dns round robin überhaupt ? limitierend wird ja sowieso die leitung zuhaus sein ?
also zwecks load balancing bringts auch nix.

aber wenns nur zum rumspielen ist, gehen sollte es.
es müsste auch mit 2 haproxy gehen wo ein server das mit lets encrypt erneuern macht und dann per script mit scp oder so das cert auf den anderen kopiert.
eventuell gibts da auch schon was eleganteres :p kA aber wahrscheinlich :D

davebastard

Vinyl-Sammler
Avatar
Registered: Jun 2002
Location: wean
Posts: 12385
Zitat aus einem Post von Viper780
Warum?
Lastverteilung und Failover macht man üblicherweise mit einem vorgeschaltenen Loadbalancer
Muss ja keine F5 sein

haproxy wär ja ein loadbalancer unter anderem

sein problem ist aber dass er den single point of failure bei den vps servern gern eleminieren würde. seh ich aber momentan nicht dass das mit den gegebenheiten geht.
Bearbeitet von davebastard am 08.10.2018, 22:17

userohnenamen

leider kein name
Avatar
Registered: Feb 2004
Location: -
Posts: 15859
so machs ich z.b. (also per scp auf den anderen host usw)

@innovaset: nat (inkl firewall rule) die dann einfach auf die opnsense bei dir zuhause zeigt (und darauf dann haproxy mit z.b. ssl offloading der wiederum an deinen dienst weiterreicht)

Crash Override

BOfH
Registered: Jun 2005
Location: Germany
Posts: 2951
Warum nutzt du nicht einfach dynamische DNS Zuweisungen für deine WAN IP oder pakst die IPs direkt auf das WAN Gateway?

deleted5875454

Bloody Newbie
Registered: Dec 2021
Location:
Posts: 0
Zitat aus einem Post von Crash Override
Warum nutzt du nicht einfach dynamische DNS Zuweisungen für deine WAN IP oder pakst die IPs direkt auf das WAN Gateway?
Zitat
hat da jemand input für mich? :)
(oder denk ich eh viel zu kompliziert? :O )

bin kein dyndns fan. in demfall bin ich ja "vpn client", d.h ich hab nach aussen hin static ips (ich bild mir ein, das sei praktisch, falls ich irgendwann mal eigene dns server haben will, etc...)

@IP als gateway, - ich versteh nicht ganz wie du das meinst?
Bearbeitet von deleted5875454 am 08.10.2018, 22:45

davebastard

Vinyl-Sammler
Avatar
Registered: Jun 2002
Location: wean
Posts: 12385
Zitat aus einem Post von Crash Override
Warum nutzt du nicht einfach dynamische DNS Zuweisungen für deine WAN IP oder pakst die IPs direkt auf das WAN Gateway?

das wär doch zu einfach :D

edit: den 2ten part versteh ich auch ned :p bitte genauer

deleted5875454

Bloody Newbie
Registered: Dec 2021
Location:
Posts: 0
#Update

hab jetzt mal nat eingerichtet, fehlt lei mein ha proxy :D

lt. log sollte des so funktionieren :)

click to enlarge

edit: an der antwort scheiterts? vorausgesetzt mein HAproxy ist richtig konfiguriert, was hats da?

fail_233515.png

Anfrage kommt, Antwort darf nicht raus -> ich kann aber keine passende FW Regel erstellen?

hat wer nen input?

beim googln komm ich in nichtung nat reflektion :D
Bearbeitet von deleted5875454 am 09.10.2018, 00:47

davebastard

Vinyl-Sammler
Avatar
Registered: Jun 2002
Location: wean
Posts: 12385
wie schaut dein routing table aus ?
Kontakt | Unser Forum | Über overclockers.at | Impressum | Datenschutz