Dobrý den,
mam takový "problem". Potreboval bych nakopnout ohledne preforwardovani trafiku z nefunkcni IP v siti na funkcni.
Jedna se mi o to, ze mam 2 servery (ostry, zalozni) a na nich bezi informacni system. Bohuzel se mi stava, ze ostry server vypadne a ti, kteri neznaji adresu zalozniho tak nemohou pracovat. Chtel bych vedet, jestli je mozne nejak docilit toho, aby se pri nefunkcni venkovni adrese 1.2.3.4 (venkovni) dal presmerovat trafik na 1.2.3.5(venkovni), popripade pravidlo, ktere by odkazovalo na jinou vnitri IP, nez stavajici). V mikrotiku to mam nastavene tak, ze kdyz se nekdo dotaze na adresu 1.2.3.4 (80 port), tak ho naforwarduju do vnitrni site na adresu treba 1.0.0.10 (ostry server). To same pravidlo mam udelane pro 1.2.3.5 a to smeruju na adresu 10.0.0.20 (zalozni).
Pokud jsem to napsal nesrozumitelne, rad se opravim.
Dekuji za namahu pri odpovedi.
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Forwarding z nefunkcni na funkcni IP
Vezmi ještě jednu IP ze segmentu, co uvnitř nepoužíváš, třeba 10.11.12.13, tuto IP přidej na oba servery na rozhranní jiné, než do LAN. Pokud je to linux, tak ideálně na dummy0 - 10.11.12.13/32.
Na tom Mikrotiku nastav DST-NAT, že 1.2.3.4 port 80 přenatuješ na 10.11.12.13 a přidej 3 routovací pravidla:
/ip route add
dst-address=10.11.12.13/32 gateway=10.0.0.10 distance=1 check-gateway=ping
dst-address=10.11.12.13/32 gateway=10.0.0.20 distance=5 check-gateway=ping
add dst-address=10.11.12.13/32 type=unreachable distance=10
Pokud pojede první server, pošle se to na něj, když chcípne, během 10 sec to začne posílat na ten záložní, když nepojede ani jeden, vrátí ICMP nedostupný. Pokud jsou cílové servery Windows, tak je nutno tu IP dát s maskou /30 a na nějaké jiné rozhranní, než je ta LAN 10.0.0.x.
Na tom Mikrotiku nastav DST-NAT, že 1.2.3.4 port 80 přenatuješ na 10.11.12.13 a přidej 3 routovací pravidla:
/ip route add
dst-address=10.11.12.13/32 gateway=10.0.0.10 distance=1 check-gateway=ping
dst-address=10.11.12.13/32 gateway=10.0.0.20 distance=5 check-gateway=ping
add dst-address=10.11.12.13/32 type=unreachable distance=10
Pokud pojede první server, pošle se to na něj, když chcípne, během 10 sec to začne posílat na ten záložní, když nepojede ani jeden, vrátí ICMP nedostupný. Pokud jsou cílové servery Windows, tak je nutno tu IP dát s maskou /30 a na nějaké jiné rozhranní, než je ta LAN 10.0.0.x.
0 x
Majklik píše:Vezmi ještě jednu IP ze segmentu, co uvnitř nepoužíváš, třeba 10.11.12.13, tuto IP přidej na oba servery na rozhranní jiné, než do LAN. Pokud je to linux, tak ideálně na dummy0 - 10.11.12.13/32.
Prvne, diky za odpoved. Ted mam dotaz ohledne toho interface. Celkem chapu ten napad s tema IP adresama, ovsem je skoda, ze to neumi primo Mikrotik. To co mi ale nejde do hlavy, jestli muzu nejak nastavit 2x interface (predpokladam ze ne) na 1 sitovou kartu, nebo je potreba mit 2 sitove karty? Protoze do ostreho neni mozno dodat druhou sitovou kartu.
Oba OS jsou Linux Debian.
Dekuji za odpoved.
0 x
Dumynet je právě virtuální síťovka pro takovéto případy, kdy potřebuji zaparkovat na nějaké iface IP adresu a nechci strkat další kartu do stroje. Mělo by stačit doplnit do /etc/network/interfaces:
auto dummy0
iface dummy0 inet static
address 10.11.12.13
netmask 255.255.255.255
A pak "ifup dummy0".
Jinak řešení tohoto je spíše na těch dvou serverech pomocí virtuální adresy, kde vedle těch fyzických 10.0.0.10 a 10.0.0.20 vezmu ještě 10.0.0.123, na tu .123 budu dělat ten dst nat a servery si tu virtuální IP dle funknosti budou přebírat mezi sebou pomocí carp, vrrpd, nějakého Linux HA rozšíření, ... a routeru do toho vůbec nic není. V tomto případě se pak ta vituální adresa se dynamicky přidává na jeden z těch serverů na eth0 dle toho, kdo ji zrovna drží.
Na jeden itnerface jde přidat víc IP adres vedle sebe v pohodě. Nicméně v navrhovaném případě není vhodné, aby dva servery na eth0 vedle sebe měly tu stejnou adresu na iface, kde se vzájemně vidí, startovací skripty by sy mohly všimnout, že ta IP už žije na serveru vedle a nepustit ji, proto se schovává na ten dummy0.
auto dummy0
iface dummy0 inet static
address 10.11.12.13
netmask 255.255.255.255
A pak "ifup dummy0".
Jinak řešení tohoto je spíše na těch dvou serverech pomocí virtuální adresy, kde vedle těch fyzických 10.0.0.10 a 10.0.0.20 vezmu ještě 10.0.0.123, na tu .123 budu dělat ten dst nat a servery si tu virtuální IP dle funknosti budou přebírat mezi sebou pomocí carp, vrrpd, nějakého Linux HA rozšíření, ... a routeru do toho vůbec nic není. V tomto případě se pak ta vituální adresa se dynamicky přidává na jeden z těch serverů na eth0 dle toho, kdo ji zrovna drží.
Na jeden itnerface jde přidat víc IP adres vedle sebe v pohodě. Nicméně v navrhovaném případě není vhodné, aby dva servery na eth0 vedle sebe měly tu stejnou adresu na iface, kde se vzájemně vidí, startovací skripty by sy mohly všimnout, že ta IP už žije na serveru vedle a nepustit ji, proto se schovává na ten dummy0.
0 x
Ahoj,
ja by som to riesil nasledovne,
verejnu 1.2.3.4 by som nechal rovnaku,
2x froward pravidlo
1.) 1.2.3.4:80 >> 10.0.0.10:80
2.) 1.2.3.4:80 >> 10.0.0.20:80
+ script spustat ako casto uznas za vhodne...
budes vyhodnocovat ping na 10.0.0.10 ak neodpoveda vypnes pravidlo 1 inak zapnes pravidlo 1 ( ak je uz zapnute nic sa neudeje)
ja by som to riesil nasledovne,
verejnu 1.2.3.4 by som nechal rovnaku,
2x froward pravidlo
1.) 1.2.3.4:80 >> 10.0.0.10:80
2.) 1.2.3.4:80 >> 10.0.0.20:80
+ script spustat ako casto uznas za vhodne...
budes vyhodnocovat ping na 10.0.0.10 ak neodpoveda vypnes pravidlo 1 inak zapnes pravidlo 1 ( ak je uz zapnute nic sa neudeje)
0 x
Prvne, dekuji za odpovedi.
Co se toho linuxu tyce, necham to jako druhou moznost.
Toto se mi libi, ale ted premyslim s tim scriptem. Nasel jsem si nejake scripty na https://www.mikrotik.com/testdocs/ros/2 ... pting1.php , ale neni tam nic takoveho pro me. Ja bych prave chtel neco jako je ten gateway fail-over, ale pro stanici, ne branu.
Pak tu pises, ze "+ script spustat ako casto uznas za vhodne...". Ja bych potreboval, aby ten script bezel nonstop. Ale to uz je asi ten nejmensi problem.
*edit
Pouzivam toto pravidlo na emaily na serverech, ale zajimalo by me, jestli by to slo nejak takhle pro stanici.
Byly by 2 pravidla
1.) 1.2.3.4:80 >> 10.0.0.10:80
2.) 1.2.3.4:80 >> 10.0.0.20:80
/system script add name=pinging source={
:if ([/ping 1.2.3.4/10.0.0.10 count=5] = 0) do={ - upravene IP
/tool e-mail send \ - je-li podminka splnena = "vypni pravidlo 1, spust pravidlo 2"
to=example@example.com \
subject="Can't ping 1.1.1.1"
-pokud neni splnena, "spust pravidlo 1, vypni pravidlo 2"
}
}
S pozdravem.
Co se toho linuxu tyce, necham to jako druhou moznost.
Zbojnik píše:Ahoj,
ja by som to riesil nasledovne,
verejnu 1.2.3.4 by som nechal rovnaku,
2x froward pravidlo
1.) 1.2.3.4:80 >> 10.0.0.10:80
2.) 1.2.3.4:80 >> 10.0.0.20:80
+ script spustat ako casto uznas za vhodne...
budes vyhodnocovat ping na 10.0.0.10 ak neodpoveda vypnes pravidlo 1 inak zapnes pravidlo 1 ( ak je uz zapnute nic sa neudeje)
Toto se mi libi, ale ted premyslim s tim scriptem. Nasel jsem si nejake scripty na https://www.mikrotik.com/testdocs/ros/2 ... pting1.php , ale neni tam nic takoveho pro me. Ja bych prave chtel neco jako je ten gateway fail-over, ale pro stanici, ne branu.
Pak tu pises, ze "+ script spustat ako casto uznas za vhodne...". Ja bych potreboval, aby ten script bezel nonstop. Ale to uz je asi ten nejmensi problem.
*edit
Pouzivam toto pravidlo na emaily na serverech, ale zajimalo by me, jestli by to slo nejak takhle pro stanici.
Byly by 2 pravidla
1.) 1.2.3.4:80 >> 10.0.0.10:80
2.) 1.2.3.4:80 >> 10.0.0.20:80
/system script add name=pinging source={
:if ([/ping 1.2.3.4/10.0.0.10 count=5] = 0) do={ - upravene IP
/tool e-mail send \ - je-li podminka splnena = "vypni pravidlo 1, spust pravidlo 2"
to=example@example.com \
subject="Can't ping 1.1.1.1"
-pokud neni splnena, "spust pravidlo 1, vypni pravidlo 2"
}
}
S pozdravem.
0 x
script asi taketo nieco,
:if ([/ping 10.0.0.10 count=10]<1) do={
/ip firewall nat disable 1 } else={
/ip firewall nat enable 1}
nebezi stale spusta sa v schedullery, npr kazdych 1 min, 30s, 5s, alebo ako uznas za vhodne...
chces riesit dostupnost servera na IP 1.2.3.4, predpokladam ze tuto ip mas na MK a pravidlom to posielas do lokalnej siete....
IP ti zostane stale rovnaka len ked vypnes pravidlo 1 bude platit pravidlo 2
:if ([/ping 10.0.0.10 count=10]<1) do={
/ip firewall nat disable 1 } else={
/ip firewall nat enable 1}
nebezi stale spusta sa v schedullery, npr kazdych 1 min, 30s, 5s, alebo ako uznas za vhodne...
*edit
Pouzivam toto pravidlo na emaily na serverech, ale zajimalo by me, jestli by to slo nejak takhle pro stanici.
Byly by 2 pravidla
1.) 1.2.3.4:80 >> 10.0.0.10:80
2.) 1.2.3.4:80 >> 10.0.0.20:80
chces riesit dostupnost servera na IP 1.2.3.4, predpokladam ze tuto ip mas na MK a pravidlom to posielas do lokalnej siete....
IP ti zostane stale rovnaka len ked vypnes pravidlo 1 bude platit pravidlo 2
0 x
Reseni s forwardingem je jiste ucinne, nicmene neni spravnejsi se zabyvat proc je ostry server casto nedostupny ? To asi neni uplne normalni stav ne ?
0 x
Bezpečnost majetku zajistí alarmy a doplní je bezpečnostní kamerové systémy, které montujeme po celé republice.