[Sysadmins] pptp-client в OVZ-контейнере: как побороть маршрутизацию?

[Sysadmins] pptp-client в OVZ-контейнере: как побороть маршрутизацию?

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 1176 bytes --]

Приветствую.

  Запихиваю в контейнер pptp соединение с провайдером (достаточно
успешно: внутри контейнера он работает). Не понимаю, как правильно
организовать соединение ppp0, поднятого внутри контейнера, с HM.

  На даннвй мамент имею:

VM50:

  venet0 -- gre с внешнего интерфейса HM натится сюда.

  ppp0 -- реультат работы pptp-client. Имеет фнешний, фиксированный IP
(85.x.x.x). Вполне рабочий (судя по tcpdump и ping).

  Т. к. использовать nat внутри VM нельзя, т. к. MASQUERADE, SHAT и DNAT
внутри VE не поддерживаются, см.
<http://forum.openvz.org/index.php?t=msg&goto=14016&&srch=MASQUERADE#msg_14016>
(по факту, ручной правкой скриптов, ipt_MASQUERADE запихнуть внутрь VM
удаётся, и оно даже как-то работает, но ругани при этом море и степень
живучести непонятна), то остаётся вариант поднятия некого veth
интерфейса, имеющего внешний IP (тот самый 85.x.x.x) со стороны HV...

  Не понимаю, как при этом организовать маршрутизацию в VM... Лобовой
вариант, объединить данный veth и ppp0 в бридж не рабочий: бридж не
создаётся (и если правильно понимаю -- и не должен :-(). А в iproute я
запутался... :-/

-- 

С уважением. Алексей.


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 548 bytes --]

Re: [Sysadmins] pptp-client в OVZ-контейнере: как побороть маршрутизацию?

[Peter V. Saveliev]

В сообщении от Monday 02 July 2007 12:39:36 Aleksey Avdeev написал(а):
> Приветствую.
>
>   Запихиваю в контейнер pptp соединение с провайдером (достаточно
> успешно: внутри контейнера он работает). Не понимаю, как правильно
> организовать соединение ppp0, поднятого внутри контейнера, с HM.
>
>   На даннвй мамент имею:
>
> VM50:
>
>   venet0 -- gre с внешнего интерфейса HM натится сюда.
>
>   ppp0 -- реультат работы pptp-client. Имеет фнешний, фиксированный IP
> (85.x.x.x). Вполне рабочий (судя по tcpdump и ping).
>
>   Т. к. использовать nat внутри VM нельзя, т. к. MASQUERADE, SHAT и DNAT
> внутри VE не поддерживаются, см.
> <http://forum.openvz.org/index.php?t=msg&goto=14016&&srch=MASQUERADE#msg_14
>016> (по факту, ручной правкой скриптов, ipt_MASQUERADE запихнуть внутрь VM
> удаётся, и оно даже как-то работает, но ругани при этом море и степень
> живучести непонятна), то остаётся вариант поднятия некого veth
> интерфейса, имеющего внешний IP (тот самый 85.x.x.x) со стороны HV...
>
>   Не понимаю, как при этом организовать маршрутизацию в VM... Лобовой
> вариант, объединить данный veth и ppp0 в бридж не рабочий: бридж не
> создаётся (и если правильно понимаю -- и не должен :-(). А в iproute я
> запутался... :-/

Я вот читаю уже не первое сообщение о нестандартной маршрутизации в OVZ VPE, и 
думаю, а вообще скрипач-то нужен или нет? Может, ну его? Маршруты по 
умолчанию (table local) сами поднимутся, а всё, что сверх, имхо, это уже 
лукавство какое-то. Нужен раутер в контейнере -- нужно сетапить xen/kvm. А 
любое использование OVZ за пределами функциональности чрута + изоляции /proc 
чревато какими-то непредсказуемыми последствиями.

ЗЫ: как такое ядро получило штамп "годицо для сервера" -- вообще выше моего 
понимания. Слишком интрузивный патч для того, чтобы быть рабочим.

-- 
Peter V. Saveliev

Re: [Sysadmins] pptp-client в OVZ-контейнере: как побороть маршрутизацию?

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 346 bytes --]

On Mon, Jul 02, 2007 at 12:39:36PM +0400, Aleksey Avdeev wrote:
> Приветствую.
> 
>   Запихиваю в контейнер pptp соединение с провайдером (достаточно
> успешно: внутри контейнера он работает). Не понимаю, как правильно
> организовать соединение ppp0, поднятого внутри контейнера, с HM.

Соединить с HN или выставить наружу?


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] pptp-client в OVZ-контейнере: как побороть маршрутизацию?

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 790 bytes --]

On Mon, Jul 02, 2007 at 02:29:26PM +0400, Peter V. Saveliev wrote:
[...]
> Я вот читаю уже не первое сообщение о нестандартной маршрутизации в OVZ VPE, и 
> думаю, а вообще скрипач-то нужен или нет? Может, ну его? Маршруты по 
> умолчанию (table local) сами поднимутся, а всё, что сверх, имхо, это уже 
> лукавство какое-то. Нужен раутер в контейнере -- нужно сетапить xen/kvm. А 
> любое использование OVZ за пределами функциональности чрута + изоляции /proc 
> чревато какими-то непредсказуемыми последствиями.

Если ещё не научился варить этот бульон, то не стоит рекламировать свой суп. :)

> ЗЫ: как такое ядро получило штамп "годицо для сервера" -- вообще выше моего 
> понимания. Слишком интрузивный патч для того, чтобы быть рабочим.

Ничего, работает.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] pptp-client в OVZ-контейнере: как побороть маршрутизацию?

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 605 bytes --]

Dmitry V. Levin пишет:
> On Mon, Jul 02, 2007 at 12:39:36PM +0400, Aleksey Avdeev wrote:
>> Приветствую.
>>
>>   Запихиваю в контейнер pptp соединение с провайдером (достаточно
>> успешно: внутри контейнера он работает). Не понимаю, как правильно
>> организовать соединение ppp0, поднятого внутри контейнера, с HM.
> 
> Соединить с HN или выставить наружу?

  Соединить с HN, для использования данного IP там (собираюсь натить на
него локалку, другие контейнеры и локальные процессы).

PS: Цель изоляции pptp -- защитить его от экспириментов на живой HN.

-- 

С уважением. Алексей.



[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 481 bytes --]

Re: [Sysadmins] pptp-client в OVZ-контейнере: как побороть маршрутизацию?

[Peter V. Saveliev]

В сообщении от Monday 02 July 2007 15:06:19 Dmitry V. Levin написал(а):
> On Mon, Jul 02, 2007 at 02:29:26PM +0400, Peter V. Saveliev wrote:
> [...]
>
> > Я вот читаю уже не первое сообщение о нестандартной маршрутизации в OVZ
> > VPE, и думаю, а вообще скрипач-то нужен или нет? Может, ну его? Маршруты
> > по умолчанию (table local) сами поднимутся, а всё, что сверх, имхо, это
> > уже лукавство какое-то. Нужен раутер в контейнере -- нужно сетапить
> > xen/kvm. А любое использование OVZ за пределами функциональности чрута +
> > изоляции /proc чревато какими-то непредсказуемыми последствиями.
>
> Если ещё не научился варить этот бульон, то не стоит рекламировать свой
> суп. :)

а) покажи рекламу "моего супа"? xen не мой, kvm тоже. Оба могут быть сколь 
угодно тормознее OVZ (в ряде вещей -- не во всех), но их неинтрузивность по 
умолчанию определяет стабильность и управляемость материнской системы как 
равную таковой нормального ядра.

б) чтобы читать багрепорты не обязательно знать код наизусть. Тем более что в 
OVZ-патче даже для нормальных ядер кода воз и ещё тележек обоз, я боюсь, 
целиком его себе мало кто представляет. А в перспективе сложность OVZ должна 
сравняться со сложностью ядра в целом, т.к. есть тенденция (функционально 
оправданная) вешать хуки на всё, что движется.

>
> > ЗЫ: как такое ядро получило штамп "годицо для сервера" -- вообще выше
> > моего понимания. Слишком интрузивный патч для того, чтобы быть рабочим.
>
> Ничего, работает.

Когда как.

-- 
Peter V. Saveliev

Re: [Sysadmins] pptp-client в OVZ-контейнере: как побороть маршрутизацию?

[Slava Dubrovskiy]

[-- Attachment #1: Type: text/plain, Size: 1108 bytes --]

Aleksey Avdeev пишет:
> Приветствую.
>
>   Запихиваю в контейнер pptp соединение с провайдером (достаточно
> успешно: внутри контейнера он работает). Не понимаю, как правильно
> организовать соединение ppp0, поднятого внутри контейнера, с HM.
>
>   На даннвй мамент имею:
>
> VM50:
>
>   venet0 -- gre с внешнего интерфейса HM натится сюда.
>
>   ppp0 -- реультат работы pptp-client. Имеет фнешний, фиксированный IP
> (85.x.x.x). Вполне рабочий (судя по tcpdump и ping).
>
>   Т. к. использовать nat внутри VM нельзя, т. к. MASQUERADE, SHAT и DNAT
> внутри VE не поддерживаются, см.
> <http://forum.openvz.org/index.php?t=msg&goto=14016&&srch=MASQUERADE#msg_14016>
>   
Эта тема от February 2006. До сих пор не сделали?

-- 
WBR,
Dubrovskiy Vyacheslav


[-- Attachment #2: S/MIME Cryptographic Signature --]
[-- Type: application/x-pkcs7-signature, Size: 3249 bytes --]

Re: [Sysadmins] pptp-client в OVZ-коня┌п╣п╧п╫п╣я─п╣: п╨п╟п╨ п©п╬п╠п╬я─п╬я┌я▄ п╪п╟я─я┬я─утизацию?

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 1218 bytes --]

Slava Dubrovskiy пишет:
> Aleksey Avdeev пишет:
> 
>>Приветствую.
>>
>>  Запихиваю в контейнер pptp соединение с провайдером (достаточно
>>успешно: внутри контейнера он работает). Не понимаю, как правильно
>>организовать соединение ppp0, поднятого внутри контейнера, с HM.
>>
>>  На даннвй мамент имею:
>>
>>VM50:
>>
>>  venet0 -- gre с внешнего интерфейса HM натится сюда.
>>
>>  ppp0 -- реультат работы pptp-client. Имеет фнешний, фиксированный IP
>>(85.x.x.x). Вполне рабочий (судя по tcpdump и ping).
>>
>>  Т. к. использовать nat внутри VM нельзя, т. к. MASQUERADE, SHAT и DNAT
>>внутри VE не поддерживаются, см.
>><http://forum.openvz.org/index.php?t=msg&goto=14016&&srch=MASQUERADE#msg_14016>
>>  
> 
> Эта тема от February 2006.

  Где? В Sysadmins@ -- не вижу.

> До сих пор не сделали?

  Когда-то давно (год назад, или более) поднимать pptp сервер мне
приходилось (не помню, спрашивал ли в рассылках)...

  Сейчас ситуация в корне другая: касательно самого pptp клиента
вопросов нет, он работает как в HN так и в VN. Проблема в организации
связи между  HN и VN с поднятым каналом, такой чтобы внешний IP можно
было использовать на HN...

-- 

С уважением. Алексей.


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 548 bytes --]

Re: [Sysadmins] pptp-client в OVZ-коня┌ейнере: как побороть мая─я┬я─утизацию?

[Slava Dubrovskiy]

[-- Attachment #1: Type: text/plain, Size: 1462 bytes --]

Aleksey Avdeev пишет:
> Slava Dubrovskiy пишет:
>   
>> Aleksey Avdeev пишет:
>>
>>     
>>> Приветствую.
>>>
>>>  Запихиваю в контейнер pptp соединение с провайдером (достаточно
>>> успешно: внутри контейнера он работает). Не понимаю, как правильно
>>> организовать соединение ppp0, поднятого внутри контейнера, с HM.
>>>
>>>  На даннвй мамент имею:
>>>
>>> VM50:
>>>
>>>  venet0 -- gre с внешнего интерфейса HM натится сюда.
>>>
>>>  ppp0 -- реультат работы pptp-client. Имеет фнешний, фиксированный IP
>>> (85.x.x.x). Вполне рабочий (судя по tcpdump и ping).
>>>
>>>  Т. к. использовать nat внутри VM нельзя, т. к. MASQUERADE, SHAT и DNAT
>>> внутри VE не поддерживаются, см.
>>> <http://forum.openvz.org/index.php?t=msg&goto=14016&&srch=MASQUERADE#msg_14016>
>>>  
>>>       
>> Эта тема от February 2006.
>>     
>
>   Где? В Sysadmins@ -- не вижу.
>   
Тема в форуме forum.openvz.org по ссылке.
>   
>> До сих пор не сделали?
>>     
Речь идет про использование MASQUERADE, SHAT и DNAT внутри VPS.

-- 
WBR,
Dubrovskiy Vyacheslav


[-- Attachment #2: S/MIME Cryptographic Signature --]
[-- Type: application/x-pkcs7-signature, Size: 3249 bytes --]

Re: [Sysadmins] pptp-client в OVZ-контейнере: как побороть маршрутизацию?

[Eugene Prokopiev]

Aleksey Avdeev пишет:
> Приветствую.
> 
>   Запихиваю в контейнер pptp соединение с провайдером (достаточно
> успешно: внутри контейнера он работает). Не понимаю, как правильно
> организовать соединение ppp0, поднятого внутри контейнера, с HM.
> 
>   На даннвй мамент имею:
> 
> VM50:
> 
>   venet0 -- gre с внешнего интерфейса HM натится сюда.
> 
>   ppp0 -- реультат работы pptp-client. Имеет фнешний, фиксированный IP
> (85.x.x.x). Вполне рабочий (судя по tcpdump и ping).
> 
>   Т. к. использовать nat внутри VM нельзя, т. к. MASQUERADE, SHAT и DNAT
> внутри VE не поддерживаются, см.
> <http://forum.openvz.org/index.php?t=msg&goto=14016&&srch=MASQUERADE#msg_14016>

iptable_nat в /etc/vz/vz.conf (параметр IPTABLES) и после этого по 
крайней мере SNAT у меня нормально работал. Если адрес у вас 
статический, то зачем MASQUERADE?

-- 
С уважением, Прокопьев Евгений

Re: [Sysadmins] pptp-client в OVZ-контейнере: как побороть маршрутизацию?

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 1497 bytes --]

Eugene Prokopiev пишет:
> Aleksey Avdeev пишет:
> 
>>Приветствую.
>>
>>  Запихиваю в контейнер pptp соединение с провайдером (достаточно
>>успешно: внутри контейнера он работает). Не понимаю, как правильно
>>организовать соединение ppp0, поднятого внутри контейнера, с HM.
>>
>>  На даннвй мамент имею:
>>
>>VM50:
>>
>>  venet0 -- gre с внешнего интерфейса HM натится сюда.
>>
>>  ppp0 -- реультат работы pptp-client. Имеет фнешний, фиксированный IP
>>(85.x.x.x). Вполне рабочий (судя по tcpdump и ping).
>>
>>  Т. к. использовать nat внутри VM нельзя, т. к. MASQUERADE, SHAT и DNAT
>>внутри VE не поддерживаются, см.
>><http://forum.openvz.org/index.php?t=msg&goto=14016&&srch=MASQUERADE#msg_14016>
  ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
> 
> 
> iptable_nat в /etc/vz/vz.conf (параметр IPTABLES) и после этого по 
> крайней мере SNAT у меня нормально работал.

  Если там прописать ipt_MASQUERADE (одного iptable_nat недостаточно) --
то у меня оно тоже работает (несмотря на ругань от всех vz`шных утилит).
Но настораживают предупреждения от разработчиков (ссылка выше): если
предупреждают -- высока вероятность что не с проста. (В
/etc/bash_completion.d/vzctl.sh, в iptables_names, данный модуль тоже
отсутствует.

> Если адрес у вас 
> статический, то зачем MASQUERADE?

  Для работы с eth провайдера: там ip динамический (статика только на
ppp0). Сейчас приходится его на HN держать...

-- 

С уважением. Алексей.


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 548 bytes --]

Re: [Sysadmins] pptp-client в OVZ-коня┌ейнере: как побороть мая─я┬я─утизацию?

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 1292 bytes --]

Slava Dubrovskiy пишет:
> Aleksey Avdeev пишет:
> 
>>Slava Dubrovskiy пишет:
>>  
>>
>>>Aleksey Avdeev пишет:
>>>
>>>    
>>>
>>>>Приветствую.
>>>>
>>>> Запихиваю в контейнер pptp соединение с провайдером (достаточно
>>>>успешно: внутри контейнера он работает). Не понимаю, как правильно
>>>>организовать соединение ppp0, поднятого внутри контейнера, с HM.
>>>>
>>>> На даннвй мамент имею:
>>>>
>>>>VM50:
>>>>
>>>> venet0 -- gre с внешнего интерфейса HM натится сюда.
>>>>
>>>> ppp0 -- реультат работы pptp-client. Имеет фнешний, фиксированный IP
>>>>(85.x.x.x). Вполне рабочий (судя по tcpdump и ping).
>>>>
>>>> Т. к. использовать nat внутри VM нельзя, т. к. MASQUERADE, SHAT и DNAT
>>>>внутри VE не поддерживаются, см.
>>>><http://forum.openvz.org/index.php?t=msg&goto=14016&&srch=MASQUERADE#msg_14016>
>>>> 
>>>>      
>>>
>>>Эта тема от February 2006.
>>>    
>>
>>  Где? В Sysadmins@ -- не вижу.
>>  
> 
> Тема в форуме forum.openvz.org по ссылке.
> 
>>  
>>
>>>До сих пор не сделали?
>>>    
> 
> Речь идет про использование MASQUERADE, SHAT и DNAT внутри VPS.

  Судя по /etc/bash_completion.d/vzctl.sh -- нет.

  На практике же, как-то работает. Но на сколько можно на это
закладываться -- не знаю.

-- 

С уважением. Алексей.


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 548 bytes --]

Re: [Sysadmins] pptp-client в OVZ-контейнере: как побороть маршрутизацию?

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 1224 bytes --]

Aleksey Avdeev пишет:
> Eugene Prokopiev пишет:
> 
>>Aleksey Avdeev пишет:
>>
>>
>>>Приветствую.
>>>
>>> Запихиваю в контейнер pptp соединение с провайдером (достаточно
>>>успешно: внутри контейнера он работает). Не понимаю, как правильно
>>>организовать соединение ppp0, поднятого внутри контейнера, с HM.
>>>
>>> На даннвй мамент имею:
>>>
>>>VM50:
>>>
>>> venet0 -- gre с внешнего интерфейса HM натится сюда.
>>>
>>> ppp0 -- реультат работы pptp-client. Имеет фнешний, фиксированный IP
>>>(85.x.x.x). Вполне рабочий (судя по tcpdump и ping).
>>>
>>> Т. к. использовать nat внутри VM нельзя, т. к. MASQUERADE, SHAT и DNAT
>>>внутри VE не поддерживаются, см.
>>><http://forum.openvz.org/index.php?t=msg&goto=14016&&srch=MASQUERADE#msg_14016>
> 
>   ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
> 
>>
>>iptable_nat в /etc/vz/vz.conf (параметр IPTABLES) и после этого по 
>>крайней мере SNAT у меня нормально работал.
> 
> 
>   Если там прописать ipt_MASQUERADE (одного iptable_nat недостаточно) --
> то у меня оно тоже работает (несмотря на ругань от всех vz`шных утилит).

  Для SNAT/DNAT похоже достаточно одного iptable_nat.

-- 

С уважением. Алексей.


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 548 bytes --]

Re: [Sysadmins] pptp-client в OVZ-контейнере: как побороть маршрутизацию?

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 1389 bytes --]

Aleksey Avdeev пишет:
> Aleksey Avdeev пишет:
> 
>>Eugene Prokopiev пишет:
>>
>>
>>>Aleksey Avdeev пишет:
>>>
>>>
>>>
>>>>Приветствую.
>>>>
>>>>Запихиваю в контейнер pptp соединение с провайдером (достаточно
>>>>успешно: внутри контейнера он работает). Не понимаю, как правильно
>>>>организовать соединение ppp0, поднятого внутри контейнера, с HM.
>>>>
>>>>На даннвй мамент имею:
>>>>
>>>>VM50:
>>>>
>>>>venet0 -- gre с внешнего интерфейса HM натится сюда.
>>>>
>>>>ppp0 -- реультат работы pptp-client. Имеет фнешний, фиксированный IP
>>>>(85.x.x.x). Вполне рабочий (судя по tcpdump и ping).
>>>>
>>>>Т. к. использовать nat внутри VM нельзя, т. к. MASQUERADE, SHAT и DNAT
>>>>внутри VE не поддерживаются, см.
>>>><http://forum.openvz.org/index.php?t=msg&goto=14016&&srch=MASQUERADE#msg_14016>
>>
>>  ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
>>
>>
>>>iptable_nat в /etc/vz/vz.conf (параметр IPTABLES) и после этого по 
>>>крайней мере SNAT у меня нормально работал.
>>
>>
>>  Если там прописать ipt_MASQUERADE (одного iptable_nat недостаточно) --
>>то у меня оно тоже работает (несмотря на ругань от всех vz`шных утилит).
> 
> 
>   Для SNAT/DNAT похоже достаточно одного iptable_nat.

  Для MASQUERADE -- тоже (проверил более внимательно).

PS: Эх... Спать надо больше, пожалуй...

-- 

С уважением. Алексей.


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 548 bytes --]