в хельсинки и в списках ркн.
Ну тут уже нужен рисерсч
Uncel
Roman
в маями есть за 10 баксов в год openvz, но для впн, прокси - нарм
Alexey
https://dah85.com/dirt-cheap-vps-list выбирайте :)
Alexey
вчера как раз искал, сколько же минимально впс стоит
Roman
ну это чета совсем, 128 памяти, прям грустно
Andrey
Ребят, а почему Linux может не обновлять список маршрутов(option 121) при получении их через DHCP?
Если делаю service networking restart то обновляется, а если просто по окончании lease time то не обновляет, хотя в дампе я вижу что DHCP все отдал
Roman
Занятно конечно, но почему на китайском?
Vladislav
Alexey
по ссылке 5$ в год. не в месяц :)
Ivan
Проверенный варик)
Andrey
по окончанию - по renew?
Вот тут сказать не могу. Выставил тестово 5минут время аренды. Сервак периодически шлёт запрос на dhcp и тот ему отвечает. И я в дампе ответа вижу маршруты. Но сервак их не обновляет.
Alexey
Ну тады сюда https://lowendbox.com
он как раз исследования на lowendbox начинал. По итогам и родилась табличка
Vladislav
Вот тут сказать не могу. Выставил тестово 5минут время аренды. Сервак периодически шлёт запрос на dhcp и тот ему отвечает. И я в дампе ответа вижу маршруты. Но сервак их не обновляет.
может так быть, что маршруты применяются только на request. а дальше на renew/rebind забито
Alexey
Вот тут сказать не могу. Выставил тестово 5минут время аренды. Сервак периодически шлёт запрос на dhcp и тот ему отвечает. И я в дампе ответа вижу маршруты. Но сервак их не обновляет.
а ещё интерфейсы есть на клиенте? У меня такое было, когда был поднят интерфейс в туннель
Andrey
может так быть, что маршруты применяются только на request. а дальше на renew/rebind забито
А это настраивается?
Вот такие запросы идут периодически:
Apr 20 01:46:53 dnsmasq-dhcp[1318]: DHCPREQUEST(eno2) 10.0.1.99 86:84:f4:00:b9:79
Apr 20 01:46:53 dnsmasq-dhcp[1318]: DHCPACK(eno2) 10.0.1.99 86:84:f4:00:b9:79 test1
Andrey
на клиенте
Ну на нем по дефолту:
option rfc3442-classless-static-routes code 121 = array of unsigned integer 8;
send host-name = gethostname();
request subnet-mask, broadcast-address, time-offset, routers,
domain-name, domain-name-servers, domain-search, host-name,
dhcp6.name-servers, dhcp6.domain-search, dhcp6.fqdn, dhcp6.sntp-servers,
netbios-name-servers, netbios-scope, interface-mtu,
rfc3442-classless-static-routes, ntp-servers;
Roman
сервера, только строчки касательно маршрутов
Andrey
сервера, только строчки касательно маршрутов
dhcp-option=121,10.1.0.0/24,10.0.0.1,10.2.0.0/24,10.0.0.1,10.3.0.0/24,10.0.0.1,10.0.17.112/32,10.0.0.1,10.4.1.0/24,10.0.1.29,10.8.0.0/24,10.0.1.1,0.0.0.0/0,10.0.0.1
Roman
Andrey
с нотацией чета не то
сетка,шлюз,сетка2,шлюз2 - вроде все ок.
Оно работает если передернуть интерфейс на клиенте.
Vladislav
/etc/dhcp/dhclient-exit-hooks.d/rfc3442-classless-routes
Roman
option rfc3442-classless-static-routes code 121 = array of integer 8;
subnet ... {
...
# 172.20.0.0/15 via 172.21.3.1, 10.17.1.0/24 via 172.21.3.1, 0.0.0.0/0 (default route) via 172.21.3.1
option rfc3442-classless-static-routes 15, 172,20, 172,21,4,1, 24, 0, 172,21,4,1;
...
}
Roman
это с сервера, работает с Deb 7 /8 /9
Andrey
Andrey
это с сервера, работает с Deb 7 /8 /9
Работает даже без передергивания интерфейса? Т.е. правишь маршрут, ждешь какой то время и видишь что маршруты автоматом обновились?
Vladislav
да при чем тут
Roman
Vladislav
на клиенте скрипт dhcp клиента поправь
Vladislav
он игнорирует renew/rebind
Andrey
на клиенте скрипт dhcp клиента поправь
if [ "$RUN" = "yes" ]; then
if [ -n "$new_rfc3442_classless_static_routes" ]; then
if [ "$reason" = "BOUND" ] || [ "$reason" = "REBOOT" ]; then
это?
Vladislav
да
Andrey
А ты случайно не в курсе какой $reason когда происходит:
Apr 20 01:46:53 dnsmasq-dhcp[1318]: DHCPREQUEST(eno2) 10.0.1.99 86:84:f4:00:b9:79
Apr 20 01:46:53 dnsmasq-dhcp[1318]: DHCPACK(eno2) 10.0.1.99 86:84:f4:00:b9:79 test1
Roman
Я так и не понял, почему не использовать route push в openvpn?
Andrey
Я так и не понял, почему не использовать route push в openvpn?
это пуш роутов клиентам openvpn. А мне надо рассказать сервакам в локалке, на какой шлюз отвечать клиентам из VPN. У меня VPN не на дефолт гейтвее.
Roman
понятно, это маршруты для серверов, ок
Vladislav
да, это я
Andrey
А зачем так делать?
Нет возможности поставить VPN на дефолгейтвее.
MASQUERADE не подходит по причине того что нужно видеть на серваках реальные IP VPN клиентов.
Andrey
И что мешает сделать на вышестоящей железке via твой гейт?
Нету железок. Есть линупсовый сервер на границе с интернетами.
+не хочу гонять траф через дефолт, у VPN сервака есть свой канал в интернеты
Andrey
Балин, этот скрипт тока добавлять умеет(
Если я с dhcp удаляю, то на серваке он все равно останется
Vladislav
а еще хорошо бы дропать старые маршруты, которых уже нет. и все предыдущие по деконфигу интерфейса и потере лизы
Vladislav
да там скрипт-пример, опенсорс )
Roman
для этого и придумали различные протоколы динамической маршрутизации :)
Andrey
для этого и придумали различные протоколы динамической маршрутизации :)
ну не буду же я ставить ospf на сотку серверов находящихся в одной сети и прямой видимости
Roman
ну не буду же я ставить ospf на сотку серверов находящихся в одной сети и прямой видимости
ну тогда костылять только остается :)
Andrey
оке, а как-то возможно сделать так чтобы сервак с VPN был "за" дефолт гейтвеем если они все сервера находятся в одной физической локалке? vlan от сервера vpn до дефолт гейтвея?)
Roman
vlan to зачем?
Andrey
vlan to зачем?
а как по другому?
У меня считай что все серваки воткнуты в один свитч. На дефолт гейтвее 2 интерфейса один в локалку второй в интернеты. VPN сервер в том же свитче одним интерфейсом и вторым своим интерфейсом тоже в интернеты.
Roman
если что я не сетевик :)
но vlan нужен если есть желание добиться изоляции, в данном случае я так понял такого желания нет.
Andrey
если что я не сетевик :)
но vlan нужен если есть желание добиться изоляции, в данном случае я так понял такого желания нет.
ну я видимо еще больше не сетевик 😄
Влан мне показался тут логичным для того чтобы внутри одной локалки поднять сетку между дефолтом и VPN сервером. И тогда уже с дефолтгейтвея общаться с хостами.
Andrey
Мне просто посоветовали унести VPN сервак за дефолт.
Roman
на одном коммутаторе может быть более одной подсети, не секьюрно, но работать будет
Roman
А вообщем может стоило начать со схемы сети и описания чего нужно добиться? Возможно тут классическая "проблема XY".
Andrey
А вообщем может стоило начать со схемы сети и описания чего нужно добиться? Возможно тут классическая "проблема XY".
Что за проблема?
В чем лучше схему рисовать?)
Roman
Я лично так и не понял, где там сервера, где клиенты и какую роль во всем играет VPN.
Хотя читал вроде бы все обсуждения которые здесь были с этими вопросами.
Andrey
Andrey
ммм...
2 интернета :)
но идея понятна, вроде как
Если говорить о технической части, то интернет нам есть на каждом серваке. Просто интерфейсы опущены и серваке направлены через дефолт
Andrey
Это арендные серваки в дц. Там все так выдаются. С 2мя интерфейсами.