OpenVZ Forum


Home » International » Russian » Проброс трафика из VE в IPIP туннель
icon5.gif  Проброс трафика из VE в IPIP туннель [message #32752] Wed, 27 August 2008 21:14 Go to next message
Hibin is currently offline  Hibin
Messages: 7
Registered: August 2007
Junior Member
From: *dialup.corbina.ru
Есть два сервера, на обоих установлен OpenVZ. Между ними (HN) поднят IPIP туннель:

/sbin/ip tunnel add gre4 mode ipip local 85.N.N.N remote 78.N.N.N
/sbin/ifconfig gre4 172.16.0.45 netmask 255.255.255.252
/sbin/ip link set gre4 up
/sbin/ip route add default via 172.16.0.46 dev gre4 table to.server1
/sbin/ip rule add fwmark 4 table to.server1


Это на втором сервере, на первом все аналогично.

На первом сервере расположена VE с адресом 10.0.0.10.
Чтобы попасть на нее с HN второго сервера прописываю в iptables:
/sbin/iptables -t mangle -A PREROUTING -d 10.0.0.10 -j MARK --set-mark 0x4

Отлично работает.

Задача же стоит - организовать доступ к той VE на первом сервере с VE на этом, втором, сервере. Вот это сделать никак у меня не получается.

Прошу помощи Rolling Eyes

Интерфейсы на всех VE - venet.
Re: Проброс трафика из VE в IPIP туннель [message #32760 is a reply to message #32752] Thu, 28 August 2008 12:55 Go to previous messageGo to next message
maratrus is currently offline  maratrus
Messages: 1495
Registered: August 2007
Location: Moscow
Senior Member
From: *sw.ru
Здравствуйте,

я, кажется, чего-то не понимаю.

Quote:


/sbin/iptables -t mangle -A PREROUTING -d 10.0.0.10 -j MARK --set-mark 0x4


зачем вы это прописали на втором сервере?
исходящие пакеты со второго сервера не проходят же через mangle:PREROUTING, или я не прав?

Почему бы не сделать так:

- ip1 - адрес VE на первом сервере
- ip2 - адрес VE на втором сервере
- на первом сервере прописать:
iptables -t mangle -A PREROUTING --src ip1 --dst ip2 -j MARK --set-mark 4

- на втором сервере прописать:
iptables -t mangle -A PREROUTING --src ip2 --dst ip1 -j MARK --set-mark 4

тогда, когда ve со второго сервера будет стучаться к ve на первый, пакет пройдет через mangle:PREROUTING на втором сервере, поставится mark 4, и тогда мы попадем в таблицу роутинга to.server1, а оттуда на первый сервер; на первом сервере "ip r l" должно вывести правило "ip1 dev venet0 scope link" и по нему мы попадем в VE на первом сервере, ответ от VE на первом сервере будет симметричен рассмотреному.
Re: Проброс трафика из VE в IPIP туннель [message #32767 is a reply to message #32760] Thu, 28 August 2008 15:46 Go to previous messageGo to next message
Hibin is currently offline  Hibin
Messages: 7
Registered: August 2007
Junior Member
From: *dialup.corbina.ru
Quote:

зачем вы это прописали на втором сервере?
исходящие пакеты со второго сервера не проходят же через mangle:PREROUTING, или я не прав?


Это я прописал для проверки доступа через туннель непосредственно с HN. Насколько помню, пакеты от локальных приложений проходят через mangle PREROUTING.

iptables -t mangle -A PREROUTING --src ip1 --dst ip2 -j MARK --set-mark 4

К сожалению не сработало, доступа с VE на VE так и нет. Пробовал добавлять аналогичное правило в mangle FORWARD, но также безрезультатно.
Re: Проброс трафика из VE в IPIP туннель [message #32768 is a reply to message #32767] Thu, 28 August 2008 16:00 Go to previous messageGo to next message
maratrus is currently offline  maratrus
Messages: 1495
Registered: August 2007
Location: Moscow
Senior Member
From: *sw.ru
Здравствуйте,

Quote:


Насколько помню, пакеты от локальных приложений проходят через mangle PREROUTING.


нет, насколько я знаю, он проходит mangle:output, mangle:postrouting, но не prerouting. Если я ошибся, поправьте.

это нужно прописать на первом
Quote:


iptables -t mangle -A PREROUTING --src ip1 --dst ip2 -j MARK --set-mark 4



а это на втором
Quote:


iptables -t mangle -A PREROUTING --src ip2 --dst ip1 -j MARK --set-mark 4



Попробовал сделать что-то подобное, только без туннеля, вроде работает.

А вообще, tcpdump'ом нужно посмотреть куда пакет доходит, а куда нет; tcpdump на venet внутри VE, venet на HN, eth на HN, eth на другой ноде, venet на другой ноде, venet внутри другой VE.

но и, конечно же, не забыть о конфигурации тоннеля, которую вы привели выше.

[Updated on: Thu, 28 August 2008 16:11]

Report message to a moderator

icon14.gif  Re: Проброс трафика из VE в IPIP туннель [message #32771 is a reply to message #32768] Thu, 28 August 2008 16:28 Go to previous message
Hibin is currently offline  Hibin
Messages: 7
Registered: August 2007
Junior Member
From: *dialup.corbina.ru
Огромное спасибо, все замечательно работает! Smile
Сам напутал немного, когда проверял.
Previous Topic: Current 2.6.18 kernel & Wine errors
Next Topic: Ping (DUP!)
Goto Forum:
  


Current Time: Sat Aug 17 17:02:35 GMT 2019