Configurare Un Server Fastweb Con Ip Pubblico

[DreyMIX]

Allora ho 2 pc, di cui uno con connessione fastweb fibra e l'altro è un virtual server che ho con ip pubblico con connessione 100 mbits. Tutti e due hanno come sistema operativo linux debian. Sul primo pc (cioè quello fastweb) vorrei poter hostare dei gameserver, accessibili anche all'esterno. E' possibile tramite il 2° pc (quello pubblico), fare da tramite e quindi avere l'ip pubblico del 2° pc sul 1° pc fastweb? Alcuni mi hanno detto di utilizzare un tunnel, altri la VPN.
Ma qualè la migliore soluzione per far si che il pc fastweb esca con l'ip pubblico del 2° pc?

Allora poi ho provato ad installare una VPN seguindo la guida qua:
http://www.pluto.it/journal/pj0505/openvpn.html

Siccome i due pc sono tutti e due linux debian ho scaricato openvpn usando:
apt-get install openvpn

Ora il mio PC pubblico ha:

- IP Pubblico 217.19.xxx.xxx
- IP VPN Server 10.0.1.1

PC Fastweb:

- IP Fastweb 23.22.xxx.xxx
- IP VPN Client 10.0.1.2

Sul PC Fastweb ho apache su porta 80, quindi usando questo comando sul PC pubblico:

iptables -t nat -A PREROUTING -p tcp -i eth0 -d 217.19.xxx.xxx --dport 80 -j DNAT --to 10.0.1.2

Se ora vado su http://217.19.xxx.xxx dovrei vedere il sito che sta su 23.22.xxx.xxx, ma in realtà questo non succede. Sapete qualè il problema?

[DreyMIX]

Nessuno sa aiutarmi? :'(

[ilsensine]

Puoi provare questo?

Codice:

iptables -t nat -A PREROUTING -p tcp -i eth0 -d 217.19.xxx.xxx --dport 80 -j DNAT --to 10.0.1.2
iptables -t nat -A POSTROUTING -d 10.0.1.2 -j MASQUERADE

Ricorda anche di lanciare echo "1" > /proc/sys/net/ipv4/ip_forward

[DreyMIX]

No niente nn va lo stesso. Ma dopo che ho aggiunto quei comandi io provo subito se funziona andando su Firefox o devo prima fare altro? Ho stoppato anke il servizio Apache2 sul server pubblico, non vorrei che andasse in conflitto con il redirect.

[ilsensine]

Bè allora devi armarti di pazienza, e tramite iptables (-j LOG) vedere che fine fanno i pacchetti...

[Vins32]

Quote:

Originariamente inviato da ilsensine

Puoi provare questo?

Codice:

iptables -t nat -A PREROUTING -p tcp -i eth0 -d 217.19.xxx.xxx --dport 80 -j DNAT --to 10.0.1.2
iptables -t nat -A POSTROUTING -d 10.0.1.2 -j MASQUERADE

Ricorda anche di lanciare echo "1" > /proc/sys/net/ipv4/ip_forward

Ciao,

sto cercando di dare una mano a Drey per configurare sto benedetto tunnel :-)

Avevo provato un qualcosa di simile a quello da te scritto, solo che secondo me non puo' funzionare. Ti scrivo brevemente come funziona tutto il procedimento, cosi' magari se hai voglia mi dici se ho detto cazzate o se c'e' una soluzione alternativa al problema.

Allora supponiamo che la situazione sia la seguente:

Client con indirizzo IP: 'A'
Server pubblico con indirizzo IP: 'B'
Server interno a Fastweb, con indirizzo IP: 'C'

Il client A contatta il server B sulla porta 80 (web).
Il server B inoltra la richiesta a C, C risponde a B.
B inoltra la risposta ad A.

Questo e' quello che si vuole ottenere. Vediamo cosa succede (secondo me) con le regole da te suggerite:

Applicazione regola 1: (PREROUTING)

'B' riceve un pacchetto con le seguenti informazioni:
sorgente: 'A'
Destinazione:'B'

L'applicazione della regola modifica il pacchetto in questo modo:

sorgente:'A'
destinazione:'C'

Applicazione regola 2: (MASQUERADE)
Il pacchetto viene mascherato quindi:
sorgente: 'B'
destinazione: 'C'

il pacchetto viene quindi inoltrato, C lo riceve e prepara la risposta con:
sorgente: 'C'
destinazione: 'B'

il pacchetto torna quindi al server con ip pubblico dove, causa masquerade, viene modificato nel modo seguente:
sorgente: 'B'
destinazione: 'B'

e qui si ferma, non sapendo piu' chi e' A.

Secondo te e' un'analisi corretta?


Grazie.


Vins

[Scoperchiatore]

Da quello che ho capito io:

Codice:

     
C ----- Fastweb ------------------------------------------------------------------------- B
Fastweb                                                                                   PubIP 
                                                                                           |
                                                                                      Internet

Ora che si vuole fare? Ogni pacchetto che arriva da A verso C tramite B, deve essere processata da C, rimandata a B che la rimanda ad A?

Ma non è un NAT normale?

[ilsensine]

Quote:

Originariamente inviato da Vins32

il pacchetto viene quindi inoltrato, C lo riceve e prepara la risposta con:
sorgente: 'C'
destinazione: 'B'

il pacchetto torna quindi al server con ip pubblico dove, causa masquerade, viene modificato nel modo seguente:
sorgente: 'B'
destinazione: 'B'

No, viene modificato in src 'C' dst 'A', ed in effetti non so se la regola in prerouting implica il ripristino di src da 'C' a 'B'. Devo fare una prova, potrebbe essere necessario un masquerade anche su eth0.

[ilsensine]

Mah ho provato e a me funziona...(non ho usato un canale vpn, ma il canale ppp che ho descritto qualche giorno fa, ma non dovrebbe essere influente)

[Vins32]

Quote:

Originariamente inviato da ilsensine

Mah ho provato e a me funziona...(non ho usato un canale vpn, ma il canale ppp che ho descritto qualche giorno fa, ma non dovrebbe essere influente)

scusa credo di aver perso un pezzo. A quale canale ppp ti riferisci? thx.

[W.S.]

tenendo lo schema di prima:

A= client interno
B= server pubblico
C= pc fastweb

e che per uscire A deve passare da B e poi da C (ma un hubbettino no?) ricordati che C non sa dell'esistenza di A quindi B deve mascherare A in modo che le risposte vengano mandate a lui (che poi le inoltrerà ad A). Quindi:
- bisogna abilitare il forwarding (echo "1" > /proc...) sia a B che a C.
- siccome il pc "di confine" è C, l'ip pubblico andrebbe messo su di lui, magari su una interfaccia virtuale che rimanda tutto il traffico a B. Questo per facilitare la vita ai router di fw e per non complicare la tua.
- fatto ciò l'interfaccia virtuale con l'ip pubblico maschera tutto, così come quella con ip fastweb
- Le schede A-B vanno messe in una sottoclasse (192.168.0.X) e B-C in un'altra (192.168.1.X) e B deve mascherare tutto quello che manda verso C.
- In Cricordati di fare in modo che quello che arriva da B va mandato sull'interfaccia con ip pubblico (controlla la tabella di routing).

Se tutto questo ti sembra complicato, comprati un hub o uno switch (10-20 euro) e tutto sarà piu semplice .

P.S.: ma ora a che punto sei? Le classi ip come sono configurate? A comunica con C?

[Vins32]

Quote:

Originariamente inviato da Scoperchiatore

Da quello che ho capito io:

Codice:

     
C ----- Fastweb ------------------------------------------------------------------------- B
Fastweb                                                                                   PubIP 
                                                                                           |
                                                                                      Internet

Ora che si vuole fare? Ogni pacchetto che arriva da A verso C tramite B, deve essere processata da C, rimandata a B che la rimanda ad A?

Ma non è un NAT normale?

A (client su rete NON FW) -> B (server ip pubblico) -> C (PC su fw)

(in pratica si vuole rendere visibile un PC su rete FW ad altri utenti con linee "tradizionali")

Sarebbe un normale NAT se cmq la destinazione finale (C) fosse raggiungibile da (A). Cosa che cosi' non e'.

[ilsensine]

Quote:

Originariamente inviato da Vins32

scusa credo di aver perso un pezzo. A quale canale ppp ti riferisci? thx.

Il giochetto che ho fatto qui:
http://www.hwupgrade.it/forum/showthread.php?t=1071840
Non è importante comunque quale sia il canale che usi per collegare B e C. Anche con una vpn dovrebbe funzionare.

[Scoperchiatore]

Quote:

Originariamente inviato da Vins32

A (client su rete NON FW) -> B (server ip pubblico) -> C (PC su fw)

(in pratica si vuole rendere visibile un PC su rete FW ad altri utenti con linee "tradizionali")

Sarebbe un normale NAT se cmq la destinazione finale (C) fosse raggiungibile da (A). Cosa che cosi' non e'.

Ma se fai un NAT è proprio perchè la destinazione finale NON è raggiungibile da un utente esterno!
Qui il problema è che C sa raggiungere A anche non attraverso B, e questo fa fare ai pacchetti due diverse strade all'andata e al ritorno.

Un PC con IP privato viene "NATTATO" da uno con IP pubblico: tutti i pacchetti in entrata verso l'IP privato, vengono riscritti dall'IP pubblico e mandati al PC privato.

L'accortezza in questo caso, è rimandare all'IP pubblico i pacchetti di ritorno, e non instradarli su rete fastweb, ma per questo basta impostare come router di default per il vostro PC privato proprio il PC pubblico, o usare qualche regola di NAT (e credo che quella postata dal sensine sia adatta).

A quel punto il PC pubblico si accorge che il pacchetto era verso un client esterno, grazie alla tabella di NAT che a qualcosa dovrà pur servire, e lo rispedisce al posto giusto.

Io credo che se vuoi che il privato raggiunga internet grazie al pubblico, non c'è praticamente nulla da fare, altrimenti, se vuoi che solo le connessioni provenienti dal privato ripassino per il privato stesso, ma vuoi anche che il pubblico veda la rete in modo "generico" grazie a fastweb, devi usare un ppp o una VPN come già accennato.