Nenačítá web na sekundární IP

[Honza]

Dobry den,

Mam problem se zprovozněním sekundarni IP pro vhost na apachi. Když to schrnu tak mam web server centos7 kde na eth0 je veřejná IP1 plus nějake virtualni IP. Na eth0 naslouchá několik vhostu a potřebuji jednomu z techto vhostu přidělit sekundarni veřejnou IP2.

Přidal jsem tedy eth1 a přidělil privatni IP adresu - chci to NATovat přes FW protože nelze přimo pridelit veřejnou IP2 na server. Defautně apache nasloucha na všech interface tam by to mělo byt OK. Na FW jsem přidal NATovani. Upravil jsem routovani na serveru at provo odchazi ze spravneho interface:

Kód: [Vybrat]

ip route add 192.168.0.0/24 dev eth1 tab 1
ip route add default via 192.168.01 dev eth1 tab 1
ip rule add from 192.168.249.25 tab 1 priority 200

Dale jsem zduplikoval konkretni vhost a zmenil IP1 na IP2 a přidal zaznam do DNS.

Nyni když zkusím ping z venku na adresu vhostu tak je vše OK.

Problém ale nastava když chci načíst web, tam už to nefunguje - web proste dlouho načíta ale nenačte.

Hledal jsem tedy problém na serveru:

tcpdump z eth1:

Kód: [Vybrat]

21:08:53.398861 IP FW_IP.32494 > hostname_serveru.cz.http: Flags [S], seq 3527384282, win 65535, options [mss 1344,sackOK,TS val 65244098 ecr 0,nop,wscale 8], length 0
21:08:53.398921 IP hostname_serveru.cz.http > FW_IP.32494: Flags [S.], seq 2682873107, ack 3527384283, win 28960, options [mss 1460,sackOK,TS val 41262528 ecr 65244098,nop,wscale 7], length 0
21:08:53.405332 IP FW_IP.32495 > hostname_serveru.cz.http: Flags [S], seq 1869317669, win 65535, options [mss 1344,sackOK,TS val 65244098 ecr 0,nop,wscale 8], length 0
21:08:53.405364 IP hostname_serveru.cz.http > FW_IP.32495: Flags [S.], seq 3612676226, ack 1869317670, win 28960, options [mss 1460,sackOK,TS val 41262534 ecr 65244098,nop,wscale 7], length 0
21:08:53.633024 IP FW_IP.32503 > hostname_serveru.cz.http: Flags [S], seq 1578942575, win 65535, options [mss 1344,sackOK,TS val 65244123 ecr 0,nop,wscale 8], length 0
Podle toho vypada vše OK, příjde požadavek na server, odešle se zpet na FW. Odesíla se zpět na FW jelikož požadavky směřující z venku na veřejnou IP2 se NATujína  a pak dále pokračují právě na tu privatni IP přidelenou na eth1.

A pak vše končí v černé díře. Na fw nevidím žadne blokovani. Jeste jsem si všiml, že v lokalní síti se z PC v segmentu na kterém je eth1 na serveru (192.168.0.1) dostanu pouze na ten vhost ktery nasloucha na eth1 a ty co naslouchaji na puvodni veřejne IP1 na eth0 nenačítaji. Z jineho segmentu se dsotanu z lokalni site na vsechny vhosty.

Netuším kde by mohl byt problem, když ping normalne prochazi z venku ale web nikoliv, zkoušel jsem i smazat původni DNS zaznam na vhost a ponechat pouze novy s A zaznamem na verejnou IP2.

Děkuji

[Reklama]

[Filip Jirsák]

Pusťte si ten tcpdump také na obou rozhraních routeru. Tipuju, že ta odpověď serveru na router vůbec nedorazí, případně se nepošle ven. Podle toho poznáte, zda je chyba ve webovém serveru nebo v routeru. Předpokládám, že jste tohle zkoušel "z venku", z internetu, ne ze stejného segmentu, kde je i ten web server.

To s nedostupností z lokální sítě bývá obvykle způsobeno tím, že tam máte přístup přes veřejnou IP adresu a na firewallu děláte jen DNAT a ne SNAT - paket pak dorazí na router, tam se udělá DNAT a přepošle se na cílový server. Server vidí zdrojovou IP adresu ze svého segmentu sítě, pošle tedy odpověď přímo - a klient dostane paket se zdrojovou IP adresou, kam nic neposílal.

Celé jsou to ale jenom moje dohady, protože jste nenapsal základní informace - topologii vaší sítě, nastavení firewallu a NATu na tom routeru, routování na routeru, routování a firewall na webovém serveru...

[wondra]

Kdyz se kdysi pridelovaly dalsi adresy na server kvuli SSL, tak se zadne skopiciny s firewallem a policy routingem nedelaly. Staci Apachi sdelit, ze VHOST ma naslouchat na konkretni adrese a Apache se postara, aby odchozi adresa paketu byla spravna.

..mozna, ze se ve Vasem pripade postara, aby nebyla spravna. Natolik ho neznam.