Pamācība / Tīkla un VLAN iestatīšana speciālā Hetzner un Mikrotik serverī

Saskaroties ar jautājumu un pārtraukumu no liela apjoma dokumentācijas, mēģiniet sakārtot un pierakstīt to, ko esat iemācījušies, lai labāk atcerētos. Un arī sniedziet norādījumus par šo jautājumu, lai vēlreiz neizietu visu ceļu.

Avota dokumentācija lielos daudzumos ir pieejama vietnē https://forum.proxmox.com https://wiki.hetzner.de

Problēmas paziņojums

Klients vēlas apvienot vienā tīklā vairākus īrētus serverus, lai atbrīvotos no nepieciešamības maksāt par vairākiem papildu apakštīkliem, visu savu mājsaimniecību pakārt aiz rūtera, piešķirt tām vietējās adreses un būt aizsargātam ar ugunsmūri. Lai visa pakalpojuma trafika darbotos VLAN iekšienē. Turklāt pārvietojiet virtuālās mašīnas no viena vecā servera uz jaunu un pametiet to, jauniniet veco aparatūru, kuru izmantojat, un tajā pašā laikā pārejiet uz jaunu Proxmox.

Sākotnēji klientam ir 5 serveri, katrs ar papildu apakštīklu, pirmā adrese no specializētā apakštīkla tiek piešķirta papildu tiltam uz Proxmox.

Tajā pašā laikā virtuālās mašīnas darbojas operētājsistēmā Windows, un tām ir konfigurēta adrese 85.xx177/29 ar vārti 85.xx176.
Un visi 5 serveri ar savām virtuālajām mašīnām ir konfigurēti līdzīgā veidā.

Smieklīgi, ka šī konfigurācija principā ir nepareiza tīkla iestatīšanā; izmantojiet tīkla adresi pirmajam mezglam un to pašu vārtejai. Ja mēģināt palaist šo konfigurāciju virtuālajā mašīnā Ubuntu, tīkls nedarbojas.
 

Ieviešana

• Mēs saskarnē izveidojam vSwitch, piešķiram tam VlanID un pievienojam šo vSwitch visiem nepieciešamajiem serveriem.

• Mēs veidojam testa serveri, lai varētu bez problēmām iestatīt un pārvietoties.

Mēs paaugstinām pirmo virtuālo mašīnu chr par instrukcijas par proxmox.

Ja izmantojat iepriekš minēto skriptu, lūdzu, ņemiet vērā, ka tas vispirms pārbauda direktorija -d /root/temp klātbūtni, un, ja tā tur nav, tiek izveidots direktorijs /home/root/temp, bet turpmākais darbs joprojām tiek veikts. izejiet ar /root/temp direktoriju. Skripts ir jālabo, lai izveidotu atbilstošu direktoriju.

• Proxmox tīkla iestatīšana.

Mēs pievienojam apakšinterfeisu ar VLAN numuru, kas norāda, ka adreses tiks konfigurētas uz tiltiem, izmantojot inet rokasgrāmatu. SVARĪGS. Jūs nevarat konfigurēt IP adreses saskarnēs, kuras pēc tam iekļausiet tiltā; kā tas darbosies un vai tas darbosies, neviens nezinās.

Pēc tam mēs izveidojam tiltu vmbr0 - un pievienojam tam paša servera pirmo adresi, ko mums piešķīruši Hetzner pakalpojumu sniedzēji, norādām tilta portu - pirmo fizisko saskarni bez VLAN, kā arī ar papildu komandu norādām papildinājumu. maršruts uz mūsu papildu tīklu, kas pasūtīts no Hetzner šim serverim caur šo tiltu. Maršruta pievienošana darbosies, kad saskarne paaugstināsies.

Otrais tilts būs mūsu saskarne vietējai satiksmei, mēs pievienojam tam adresi, lai iegūtu savienojumu starp dažādiem Proxmox serveriem lokālajā tīklā bez piekļuves internetam un norādām portu kā apakšinterfeisu eno1.4000, kas ir piešķirts mūsu VlanID.
Sākotnējās iestatīšanas laikā jūs saskaraties ar padomu, ka varat instalēt papildu ifupdown2 pakotni Proxmox un jums nav jāpārstartē viss serveris, ja ir izmaiņas tīkla saskarnēs. Tomēr tas ir raksturīgi tikai sākotnējai iestatīšanai, un, izmantojot tiltus un iestatot virtuālās mašīnas, rodas problēmas ar tīkla kļūmi virtuālajās mašīnās. Neskatoties uz to, ka rediģējāt, piemēram, vmbr2 interfeisu un, kad lietojat konfigurāciju, tīkls atkrīt visās iekšējās saskarnēs un neatjaunojas, kamēr serveris nav pilnībā restartēts. ifdown&&ifup nepalīdz. Ja kādam ir risinājums, būšu pateicīgs.

Pati pirmā konfigurētā saskarne serverī joprojām darbojas un ir pieejama.

• Adreses piešķiršana CHR, lai nepazaudētu adreses no kopas
  Hetznera radītais adrešu kopums tīkla lietotājam izskatās ļoti dīvains, apmēram šādi:

  

Dīvaini ir tas, ka vārti iesaka izmantot savu fiziskā servera adresi.

Hetznera paša piedāvātā klasiskā iespēja ir norādīta problēmas paziņojumā, un klients to īstenoja neatkarīgi. Izmantojot šo opciju, klients zaudē pirmo adresi tīkla adresei, otro adresi proxmox tiltam, un tā būs arī vārteja un pēdējā apraides adrese. IPv4 adreses nekad nav liekas. Ja tieši mēģināt reģistrēt IP adresi 136.x.x.177/29 un vārteju 0.0.0.0/0 148.x.x.165 uz CHR, varat to izdarīt, taču vārteja nebūs tiešā savienojuma un tāpēc nebūs sasniedzama. .

Mēs varam izkļūt no šīs situācijas, katrai adresei izmantojot tīklu 32 un kā tīkla nosaukumu norādot mums vajadzīgo adresi, kas var būt jebkas. Izrādās, ka tas ir punkta-punkta savienojuma analogs.

Šajā gadījumā vārteja, protams, būs pieejama, un viss darbosies tā, kā mums nepieciešams.
Paturiet prātā, ka šādā konfigurācijā nav ieteicams izmantot SRC-NAT maskēšanas noteikumu, jo izvades adrese būs bezgalīgi atšķirīga, un pareizāk ir norādīt darbību: src-NAT un konkrēto adresi, no kuras tiks veikta. atbrīvot klientu.

• Un visbeidzot.
  Lai bloķētu piekļuvi pašam Proxmox no interneta, izmantojiet iebūvētos rīkus: ir lielisks ugunsmūris.

Nevajadzētu izmantot hetzner piedāvāto ugunsmūri, lai neapjuktu par iestatījumu atrašanās vietu. Hetzner darbosies arī visos tīklos, tostarp tajos, kas izveidoti CHR, un, lai atvērtu un pārsūtītu portus, tie būs jāatver arī pakalpojumu sniedzēja tīmekļa saskarnē.

Avots: www.habr.com