IPv6 szolgáltatások szétválasztása egy IP címen

Fórumok

Sziasztok!

Némileg küzdök az IPv6-tal. Az a helyzet, hogy az IPv4-es címekkel spórolnom kellene és ezen felül egy közös domain név alatt szeretnék különböző szolgáltatásokat üzemeltetni (http, git, jabber, stb). Azt viszont nem szeretném, hogy ezek mind egy gépben lakjanak, úgyhogy szét kellene választani valahogy. IPv4-en a DNAT tökéletes megoldás, viszont IPv6-on ugye nincs. Az sem túl szimpatikus, hogy TCP proxyt vezessek be, mert akkor a remote cím nem kerül be az auth logba.

Bonyolításként még van egy proxy_ndp is a játékban.

Mit javasoltok a probléma megoldására?

Köszönöm

János

Hozzászólások

Nem látom teljesen világosan mit is szeretnél. Van egy LAN-od ahol üzemeltetni szeretnéd a szerverszolgáltatásokat vagy a szerverek a net-ről elérhetőek, esetleg mindkettő? Van global IPv6 címtartományod vagy site local címeket használnál?
c

Van egy OpenVZ-t futtató gazdagépem és abban szeretném az egyes alkalmazásokat külön virtgépben futtatni, viszont ugyanazon domain név alatt. v6 cím szerint van egy egész /64-em, v4 szerint viszont csak egy /28, szóval az utóbbival takarékosabban kellene bánni. Kívánalom lenne, hogy a fődomain alatt fusson az összes szolgáltatás, ha lehet.

Ehhehe. Van egy ötletem :))))

IP címnek egy virtuális címet veszel fel (egyik gépnek sem ez lesz a "rendes" címe), kintről rároutolod a virtuális címet a hostra, a host markokat rak a forgalomra iptables-ből (itt ugye akár connection szinten lehet játszani), a markok alapján policy-based routinggal a csomagokat a megfelelő másik gépre/virtuális interfészre routolod, ahol a másik gép/virtulis gép saját IP-ként végződteti a forgalmat (vagy TPROXY-val interceptálva, ha nem akarjuk ugyanazt az IP-t mindenhova felvenni). Ha a hoston is szeretnél valamit végződtetni, akkor rá nem tudod felhúzni ezt a virtuális címet, mert akkor nem tudnál továbbroutolni, így a hoston csak a TPROXY-s megoldás játszik.

bevallom oszinten, nem teljesen vilagos a problema a megfogalmazas utan, pedig elolvastam 2x :)

esetleg NAT64?

Nem. Ti alapvetően DNAT-ot _ÉS_ SNAT-ot csináltok egyben.

A kérdés az, hogy csak DNAT-ot hogy lehet csinálni (azaz: szeretnénk látni a szerverben az eredeti kliens címét). Az IPv6->IPv4 konverzióval ez is elveszik.

Ez a megoldás ráadásul semmivel nem jobb, mint egy xinetd-s connection forwarding, ott legalább az xinetd-nél meglennének a kliens címek.

Több lehetőséget látok:
1. Több IPv6 címet használsz minden szolgáltatásra külön IPv6 cím - IPv6 címmel nem kell annyira spórolni. Majd virtuális gépeket használsz.
2. Átállsz *BSD platformra. Ott van IPv6 redirect a *BSD pf-ben.