Quandu face una quistione è rompe una grande quantità di documentazione, pruvate à sistematizà è scrive ciò chì avete amparatu per ricurdà megliu. È ancu fà struzzioni nantu à sta questione, per ùn andà in tuttu u modu.
A documentazione fonte hè abbundante à
Formulazione di u prublema
U cliente vole unisce parechji servitori affittati in una rete per sbarazzà di a necessità di pagà per parechje subnets supplementari, appiccà a so famiglia sana daretu à un router, assignà l'indirizzi lucali in l'internu, è prutegge si cun un firewall. Cusì chì tuttu u trafficu di serviziu scorri in u VLAN. In più, trasferisce e macchine virtuali da un vechju servitore à un novu è ricusate, aghjurnà u vecchiu hardware utilizatu è à u stessu tempu si move à Proxmox frescu.
Inizialmente, u cliente hà servitori 5, ognunu cù una subnet addiziale, u primu indirizzu da a subnet assignata hè assignatu à un ponte supplementu nantu à Proxmox.
À u listessu tempu, i VMs run in Windows è avè l'indirizzu 85.xx177/29 cunfiguratu cù una porta 85.xx176
È in una fila simili, tutti i servitori 5 sò cunfigurati cù e so macchine virtuali.
Hè curiosu chì sta cunfigurazione hè sbagliata in a stallazione di a rete in principiu, utilizate l'indirizzu di a reta per u primu node è hè ancu per a porta. Se pruvate à inizià una tale cunfigurazione in una macchina virtuale in Ubuntu, a reta ùn viaghja micca.
Реализация
- Creemu un vSwitch in l'interfaccia, assignà un VlanID à questu, aghjunghje stu vSwitch à tutti i servitori chì avemu bisognu.
- Facemu un servitore di prova per pudè stallà è spustà senza prublemi.
Aumentemu a prima macchina virtuale chr da .
Sè vo aduprate l'script di sopra, per piacè nutate chì u cartulare -d /root/temp hè verificatu à u principiu, è s'ellu ùn hè micca quì, u cartulare /home/root/temp hè creatu, ma un travagliu ulteriore hè sempre realizatu cù u cartulare /root/temp. U script deve esse currettu per creà u cartulare appropritatu.
- Configurazione di una rete per Proxmox.
Aghjunghjemu una subinterfaccia cù u numeru VLAN, indicà chì i paràmetri di l'indirizzu saranu nantu à i ponti cù u manual inet. IMPORTANTE. Ùn pudete micca cunfigurà l'indirizzi IP nantu à l'interfacce chì poi includerete in u ponte, cumu si travaglià è s'ellu nimu hà da sapè à tuttu.
In seguitu, creamu un ponte vmbr0 - è appiccà nantu à questu u primu indirizzu di u servitore stessu, datu à noi da i fornituri di Hetzner, specificà u portu di u ponte - a prima interfaccia fisica senza VLAN, è ancu specificà cù un cumandamentu supplementu per aghjunghje un rotta à a nostra reta supplementaria urdinata da Hetzner per stu servitore attraversu stu ponte. Aghjunghjendu un itinerariu funziona quandu l'interfaccia vene.
U sicondu ponte serà a nostra interfaccia per u trafficu lucale, aghjunghje un indirizzu per ottene a cunnessione trà i diversi servitori Proxmox nantu à una reta lucale senza accessu à Internet è specificà a subinterfaccia eno1.4000, chì hè attribuita per u nostru VlanID, cum'è u portu. .
Durante a cunfigurazione iniziale, ci sò cunsiglii chì pudete installà un pacchettu ifupdown2 supplementu per Proxmox è ùn pudete micca riavvia tuttu u servitore quandu cambiassi in l'interfacce di rete. Tuttavia, questu hè tipicu solu per a cunfigurazione iniziale, è quandu si usanu ponti è stallà macchine virtuali, scontri prublemi di fallimentu di rete in macchine virtuali. Malgradu u fattu chì avete rignatu, per esempiu, l'interfaccia vmbr2, è quandu applicà a cunfigurazione, a reta hè cascata dighjà nantu à tutte l'interfacce internu è ùn si alza micca finu à chì u servitore hè completamente riavviatu. ifdown &&ifup ùn aiuta micca. Se qualchissia hà una suluzione, ne saraghju grata.
A prima interfaccia cunfigurata nantu à u servitore stessu ferma operativa è dispunibule.
-
Allocazione di l'indirizzu per CHR per ùn perde l'indirizzi da a piscina
U gruppu di indirizzu chì Hetzner dà pare assai stranu per un networker, qualcosa cum'è questu:
A cosa strana hè chì a porta hè pruposta di utilizà u so propiu indirizzu di u servitore fisicu.
A versione classica pruposta da Hetzner stessu hè indicata in a dichjarazione di u prublema è hè stata implementata da u cliente indipindente. In questa opzione, u cliente perde u primu indirizzu à l'indirizzu di a rete, u sicondu indirizzu à u ponte di proxmox è serà ancu a porta, è l'ultimu indirizzu per a trasmissione. L'indirizzi IPv4 ùn sò mai redundante. Se pruvate direttamente à registrà l'indirizzu IP CHR 136.х.х.177/29 è a porta di entrata per 0.0.0.0/0 148.х.х.165, pudete fà, ma a porta ùn serà micca cunnessa diretta. è dunque sarà inaccessibile.
Pudete esce da a situazione si utilizate 32 rete per ogni indirizzu è indicà l'indirizzu chì avemu bisognu cum'è u nome di a rete, chì pò esse qualcosa. Risulta un analogu di una cunnessione puntu à puntu.
In questu casu, u gateway serà di sicuru dispunibule, è tuttu hà da travaglià cum'è avemu bisognu.
Tenite in mente chì in una tale cunfigurazione ùn hè micca cunsigliatu per utilizà a regula di masquerade SRC-NAT, perchè l'indirizzu di output serà indefinitamente diversu, ma hè più currettu per specificà l'azzione: src-NAT è l'indirizzu specificu da quale vi sarà. liberate u cliente.
- È infine.
Per bluccà l'accessu à Proxmox stessu da l'Internet, utilizate l'arnesi integrati: ci hè un firewall excelente.
Ùn avete micca aduprà u firewall offru da hetzner, per ùn avè micca cunfunditu nantu à u locu di i paràmetri. Hetzner agirà ancu nantu à tutte e rete, cumprese quelle stabilite nantu à CHR, è per apre è trasmette i porti, serà ancu necessariu apre in l'interfaccia web di u fornitore.
Source: www.habr.com