LINUX.ORG.RU
ФорумAdmin

VPS + «подкроватный» сервер через OpenVPN

 ,


0

1

А подскажите пожалуйста насколько надежной будет конструкция из VPS с установленным апачем в режиме акселератора и сервера OpenVPN при том, что сами сайты будут хоститься на сервере в локальной сети с виртуалок и контейнеров.

Естественно само пропадание связности считаем форс-мажором и не рассматриваем. Главное исключить необходимость ручного вмешательства при потере связи, когда она вновь появится.

Есть ли опыт такой экспулатации?

Есть ли возможность автоматического кеширования статического контента?

VPN в том числе потому что NAT.

★★★★★

Последнее исправление: slapin (всего исправлений: 1)

с установленным апачем в режиме акселератора

Что такое акселератор и почему апач? Если ты имеешь ввиду http проксирование, то нужно выкинуть апач и взять nginx.

anonymous
()

Менее надежной примерно на один апач, один VPS и один OpenVPN.

t184256 ★★★★★
()

Замени apache на nginx, openvpn на wireguard и будет тебе счастье.

Deleted
()

Ну при данной конструкции ovpn я бы заменил на ipsec.
И как написали апач на nginx, но тут уж личное вкуснотеево, зависит от самой задачи.

anc ★★★★★
()
Ответ на: комментарий от anc

OpenVPN умеет бесшовно работать под NAT без каких-либо костылей. Главное чтобы сервер был за NAT. ipsec так не может совсем так как у него нет понятия сервера. Есть пара костылей, которые иногда работают, но не в моем случае.

slapin ★★★★★
() автор топика
Ответ на: комментарий от slapin

ipsec может за натом, ты путаешь с “за двумя натами”, или сервер за фаерволом, там могут быть “костыли” типа nat traversal.

menangen ★★★★★
()

Почему не ddns? Он же позволяет привязать твой домен к твоему подкроватному серверу под NAT'ом

SR_team ★★★★★
()
Ответ на: комментарий от anonymous

Конечно, а в чем проблема? Открывается порт на клиенте, пакеты отсылаются роутеру с натом, в нат создается запись о «сером» порте клиента (о сокете), на нате открывается новый сокет, с него отсылаются пакеты серверу с выделенным ip v4/v6, обратно сервак шлет на сокет ната, нат транслирует пакет уже в соответствии с нат таблицей на серый сокет клиента. Пакеты проходят в дуплексе по каналу клиент-сервер-клиент.

menangen ★★★★★
()
Ответ на: комментарий от anonymous

Два нат значит, что два клиента сидят за роутерами, и хотят установить соединение. И такое возможно, если есть у натов белые ип, и на них прописаны статические маршруты (нат таблица фиксирована: внешний ip->port -> транслируется на внутренний ip:port. И так у обоих роутеров, тогда нат не проблема, а даже своего рода «защита» от всяких левых досов и тп.

menangen ★★★★★
()
Ответ на: комментарий от slapin

Главное чтобы сервер был за NAT.

Или я или лыжи. Ну хорошо...

VPS с установленным апачем в режиме акселератора и сервера OpenVPN

Т.е. сервер с каким-то белым ip таки есть? Или вы про сервер который уже в локалке? Но даже если у вас сервер который на VPS за шлюзом, вы же как-то прокидываете порты до него (апач, ovpn), т.е. имеете доступ к самому шлюзу. Так же и для ipsec можно прокинуть.

ipsec так не может совсем так как у него нет понятия сервера.

Это как готовить. Понятие сервера есть. Рассмотрим в синтаксисе stronswan left-сервер right-клиент, вот в right я указываю %any т.е. самому серверу соединяться не к кому, но любые клиенты могут соединяться. Скорее всего вы путаете с вариантом когда указаны обе стороны и auto=start, или то что left и right не имеют значения, хочу назову наоборот сервер-right а клиента-left, при этом на другой стороне может быть и наоборот.

И еще в тему nat, как написали выше в ipsec давно уже завезли nat-t. В тот же stronswan он не первый год захардкоден капитально, фиг отключишь теперь (раньше можно было).

anc ★★★★★
()
Ответ на: комментарий от SR_team

Почему не ddns? Он же позволяет привязать твой домен к твоему подкроватному серверу под NAT'ом

Только в случае динамического белого ip на подконтрольном роутере который перед локалкой. Что бывает не часто. И думаю ТС не задавал бы такой вопрос насчет тунелей, если бы у него был белый (хоть и динамический) ip

anc ★★★★★
()
Ответ на: комментарий от Jopich1

у контабо за 8 енотов

У кентабо месяц так стоит! WTF?

За 8 енотов VPS на год так стоит на других площадках и для openvpn его более чем достаточно.

Dimarius
()
Ответ на: комментарий от menangen

Конечно, а в чем проблема?

Да все кому не лень пишут, что можно соединять туннелем только если на обоих концах «белые» ip. Вообщем спасибо за разъеснение.

anonymous
()

А подскажите пожалуйста насколько надежной будет конструкция из VPS с установленным апачем в режиме акселератора и сервера OpenVPN при том, что сами сайты будут хоститься на сервере в локальной сети с виртуалок и контейнеров.

Если хочется разобраться, как настраивать VPN, апач, прокси и вот это все - то отличное решение, потому что этот глюкодром будет постоянно падать и тебе придется постоянно со всем этим разбираться. Если нужно надежно работающее решение (апач жив, значит все работает), то покупаешь у провайдера статический IP за 150р/месяц и настраиваешь свои VPS и контейнеры на сервере под кроватью. Раз в месяц провайдер будет падать на пол часа (иногда ночью) и в это время твой «хостинг» будет недоступен. В остальное время надежность его работы будет зависеть только от тебя.

Или у тебя таких «хостингов» 10 штук в разных местах города, включая мобилку и тебе нужно, чтобы все они были доступны снаружи?

anonymous
()
Ответ на: комментарий от anonymous

Такое решение оказалось не очень удачным и привлекло пару раз автоматических DDOS'еров. А бодатся с провайдером не очень хочется. 100%-я доступность не слишком нужна, важно минимализировать ручное участие. Это не хостинг в привычном смысле, это набор экспериментов, которые нужно иногда давать другим людям потыкать. Просто покупать под всё это и платить каждый месяц жаба душит - ресурсы нужны приличные, а надобность в показе есть редкая. То есть такой толстый VPS будет стоить $40 а выхлопа непосредственно от него - 0. Но когда это реально нужно, очень хорошо и удобно.

Но сидеть в облаках и добавлять / удалять оказалось дороговато, и доверять свой не шибко толстый кошелек скриптам я не хочу. «Подкроватный» вариант (дома в стойке) меня для этой задачи более чем устраивает, просто надо организовать более-менее приличную связность снаружи. Траффик будет минимальный - вряд ли превысит 100MB в месяц, и то густо то пусто.

slapin ★★★★★
() автор топика
Ответ на: комментарий от Jopich1

мне 8 енотов в месяц овердохрена, а 8 енотов в год самое как раз ;)

Dimarius
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.