Marian Cerny wrote:
potrebujem prestahovat z hostingu jeden stary server. Dal by som ho do
kancelarii. Ale potreboval by som, aby ten server bol dalej funkcny na
starej IP adrese.
Jo, to je tak, kdyz nekdo ignoruje dulezitost DNS. Jak snadno by se to
delalo, kdyby vsichni pouzivali jmeno - server by dostal novou IP, v DNS
by se zmenil zaznam a vetsina lidi by prestehovani vubec nezaznamenala...
Jenze, ono udrzovat DNS je zbytecna prace - teda, zbytecna, nez se
ukaze, kolik prace by usetrilo, kdyby byla udelana ... ;-)
No ja vim, ted uz je ti pozde neco takovyho rikat. I kdyz je to pravda.
IP adresu mozem pridelit inemu serveru, ktory zostava
v hostingu. V kancelariach mame jednu IP adresu a sme za NATom.
Jinymi slovy, ty chces puvodni adresu prendat na jiny pocitac, stavajici
pocitac kamsi odnest a zajistit, aby pri pristupu na puvodni IP na novem
pocitaci dotaz obdrzel stary, prestehovany, pocitac kdesi jinde.
Chcel by som poradit, co by na tento ucel bolo najvhodnejsie.
Pojem "server" je dost obecny. Jine reseni ti poradim pro SMTP server,
jine pro WWW. Jine pro TCP-only sluzby.
Uvazoval som, ze by som medzi routerom R v kancelarii a serverom S,
ktory zostane v hostingu a dostane staru IP adresu OLD_IP, urobil nejaky
tunel a vsetky pakety, ktore by boli urcene pre OLD_IP forwardoval do
tunela a na routeri R smeroval na stary server OLD_S.
Dava to takto zmysel?
Vsechna data potecou pres in-out linku v hostingu dvakrat. Doufam, ze ji
mas dost silnou.
Da sa na taketo forwardovanie pouzit IPFW?
Ne.
A co by ste odporucili na tunel?
napriklad je tam niekolko pripojeni cez IPsec
To je hezke, ze neco tak duleziteho zminis jen tak, mezi reci uplne na
konci.
Transparentni redirect IPSEC paketu nekam uplne jinam ? Ty pakety musi
na cilove misto dorazit nezmenene - to znamena tady zabalit do neceho,
tam vybalit - a zpracovat s puvodni IP adresou tak, jako by na novem
miste byla lokalni. A na tom starem se za lokalni povazovat nesmi, vyjma
toho, ze ten pocitac musi odpovidat na ARP pro tuto IP. Pak by vhodnym
nastavenim routivaci tabulky melo byt mozne nacpat prichozi pakety do
GIF (IP-in-IP) tunelu. Zaplatis fragmentaci, ale to je popravde receno u
takhle nestastneho problemu zanedbatelna cena.
Nevim, jak na Linuxu rozchodis aby odpovidal na ARP dotazy pro adresu,
ktera mu nepatri, ale "info arp" to pri trose stesti asi prozradi.
Stejne tak nevim, jestli jak tam rozchodit IP-in-IP tunel - a jestli tam
vubec je (na FreeBSD je to soucast systemu a je to odvozenina RFC2893
IPv6-in-IPv4 tunelu). Pokud tam nebude, potrebujes jiny IP tunel, ktery
z hlediska systemu vypada jako interface (to kvuli tomu routovani).
Treba PPPoE.
Na druhe strane bude zahnani odpovidajicich paketu do tunelu zrejme
otazka source-routingu a tudiz asi nejlip ipfw fwd.
Zni mi to celkove jako strasna bejkarna. I kdyz to rozchodis, bude
takrka nemozne v tom ladit poblemy. Videl's nedavnou debatu na tema
IPSEC - to se ladi blbe i za normalnich okolnosti. Ja samozrejme nevim,
proc jsi se rozhodnul prave pro takovehle reseni, protoze jsi nenaznacil
jaky problem resis. Ale at si predstavim jakykoliv problem, u ktereho by
toto mohlo byt resenim, vzdycky bych se pokusil usilovne hledat nejake
jine reseni...
Dan
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
