Hetzner umzug auf neuen Server IPs umleiten

So, das Ganze jetzt mal in der VM Probiert:

- Iptables mit nat für die VM nutzbar gemacht
- ip-Forwarding in der VM aktiviert
- Iptables Regeln eingefügt

Ich bekomm genau das gleiche Ergebnis. DNAT und SNAT haben beide Paket in der Iptablestabelle. Bei FORWARD bekommt nur eine Regel Pakete.

Kann es sein, dass das was mit den DNS-Einträgen zu tun hat?

Für die neue IP gibt es nämlich nur nen RDNS-Eintrag, aber keinen natürlichen DNS-Eintrag.

Da komische ist ja, dass wenn ich die SNAT Regel in MASQUERADE ändere, dass es dann geht, allerdings dass dann der Apache auf dem neuen System nicht mit der alten IP funktioniert, sondern nur mit der neuen.

Im Apache Log der neuen VM ist auch keine Anfrage zu finden. Die Pakete kommen also nicht sauber am neuen System an.

Und kann es sein, dass Iptables immer ein kleiner Blindflug ist? Denn ich finde nichts in den Logfiles, was darauf schliessen lassen könnte was falsch läuft.
 
Last edited by a moderator:
Ein Traceroute löst sauber aus. Pingen lässt sich das Ganze auch. Ich geh aber mal davon aus, dass die Antwort immer wieder vom alten System kommt.

Edit:
Das komische ist auch, dass wenn ich die SNAT Regel auf MASQUERADE ändere, dass es dann anstandslos funktioniert. Jedoch bekomme ich dann das Problem, dass der apache eben nur sauber mit der Übergangs-IP funktioniert, und nicht mit der alten.
 
Last edited by a moderator:
IPTables hat eine Logging-Funktion, welche sogar verschiedene Log-Levels anbietet. Ich habe die NAT Regeln soeben innerhalb eines OVZ Containers getestet und sie funktionieren ohne Probleme (telnet auf entsprechenden geht, iptables -vnL zeigt die weitergeleiteten Packets und Bytes an, usw.). Ich würde also den Fehler außerhalb der Regeln selbst suchen, alle anderen Regeln entfernen, sowie das Logging aktivieren.

RedHat beschreibt's recht gut: https://access.redhat.com/site/docu.../html/Security_Guide/s1-firewall-ipt-fwd.html
 
Last edited by a moderator:
Also die Regeln funktionieren etzt. Ich hatte beim neuen Server auf die IP des alten angegeben. Das hat dann eben ned funktioniert. Problem ist nur, dass wenn ich weiterleite, dass der Apache nur auf die IP vom neuen, und nicht vom alten Server hört. Dann werde ich wohl die ganzen Apache Confs umbauen müssen, und eine Wildcard für die IPs vergeben müssen. Oder läuft da noch irgendwas falsch?
 
Mordor said:
Also die Regeln funktionieren etzt. Ich hatte beim neuen Server auf die IP des alten angegeben. Das hat dann eben ned funktioniert. Problem ist nur, dass wenn ich weiterleite, dass der Apache nur auf die IP vom neuen, und nicht vom alten Server hört. Dann werde ich wohl die ganzen Apache Confs umbauen müssen, und eine Wildcard für die IPs vergeben müssen. Oder läuft da noch irgendwas falsch?
Click to expand...
Ja, darum wirst du kaum herumkommen, außer ggf. mit einem GRE Tunnel und einem Alias-Interface, welches auf dem Zielsystem die alten IPs angebunden hat, aber dann via Routingtabelle über einen GRE Tunnel in einem privaten Netz verbindet.
Wurde der Umzug denn inzwischen erfolgreich abgeschlossen?
 
Der Umzug findet heute Nach statt. Ich bin gerade dabei, nach un dnach jede Maschine umzuleiten. Morgen um halb acht in der Früh schaltet Hetzner um, da muss ich noch nen Cronjob bauen, der die alten IPs wieder in die VMs einträgt. Dann passt alles.
 
You must log in or register to reply here.
Back
Top