האם אפשר ליצור רשת עם גישה לאינטרנט - נפרדת מהרשת הפנימית

שמואל4

אני מחפש דרך ליצור רשת וירטואלית שתאפשר חיבור אינטרנט אך ללא גישה לרשת הפנימית.

אסביר את הסיפור כולו על מנת שיהיה יותר קל להבין.

יש לי שרת אובונטו (להלן "השרת הראשי") שנמצא ברשת פנימית שלמה.
התקנתי VirtualBox ואני מריץ VM של ווינדוס. אני רוצה לתת לVM מצד אחד גישה לאינטרנט העולמי לגלישה מהIP של השרת הראשי, אבל מצד שני שלא יהיה גישה לרשת הפנימית של השרת הראש.

זה אמור להיות או על ידי VirtualBox בצורה כל שהיא או על ידי איזה שהוא דרך לייצר רשת וירטואלית על השרת הראשי שאני יעשה למתאם הזה Bridge לVM וכמובן שהמתאם הזה יעביר רק חיבור אינטרנט ולא את הרשת עצמה.

לא מצאתי כל כך דרך לנסח את הפעולה כדי לחפש על זה באינטרנט, אשמח לעזרה.

zvinissim

@שמואל4 אמר בהאם אפשר ליצור רשת עם גישה לאינטרנט - נפרדת מהרשת הפנימית:

אני מחפש דרך ליצור רשת וירטואלית שתאפשר חיבור אינטרנט אך ללא גישה לרשת הפנימית.

אסביר את הסיפור כולו על מנת שיהיה יותר קל להבין.

יש לי שרת אובונטו (להלן "השרת הראשי") שנמצא ברשת פנימית שלמה.
התקנתי VirtualBox ואני מריץ VM של ווינדוס. אני רוצה לתת לVM מצד אחד גישה לאינטרנט העולמי לגלישה מהIP של השרת הראשי, אבל מצד שני שלא יהיה גישה לרשת הפנימית של השרת הראש.

זה אמור להיות או על ידי VirtualBox בצורה כל שהיא או על ידי איזה שהוא דרך לייצר רשת וירטואלית על השרת הראשי שאני יעשה למתאם הזה Bridge לVM וכמובן שהמתאם הזה יעביר רק חיבור אינטרנט ולא את הרשת עצמה.

לא מצאתי כל כך דרך לנסח את הפעולה כדי לחפש על זה באינטרנט, אשמח לעזרה.

@שמואל4 לדעתי זה אפשרי ונראה לי שכבר מימשתי את זה בעבר. צריך לבדוק/להתקין VM לינוקס/WIN10 ולראות שזה עובד.

אבל למה שתרצה לעשות כן - עדיף להישאר אחרי NAT ולא לחשוף יותר מידי.
מסוכן מידי למחשב ברשת. זה עלול לשים את השרת שלך מול כיתת יורים ברשת.

אם זה אצלך בבית אז למה שלא תיקח עוד ספק אינטרנט ותפריד בין הרשתות?
ועל איזה מיהירות בכלל עובד כל הדבר הזה?

יתרון נוסף שעדיף לך להישאר אחרי NAT זה שאם יש לך בעיית כניסה לשרת מבחוץ תמיד תוכל לטפל בו דרך IP פנימי

שמואל4

@zvinissim אמר בהאם אפשר ליצור רשת עם גישה לאינטרנט - נפרדת מהרשת הפנימית:

אבל למה שתרצה לעשות כן

כל הרשת מאחורי פורטיגייט, לכן אני לא מפחד.
הבעיה, שזה רשת שלמה, ואני לא רוצה לתת לVM גישה לכל הרשת הפנימית שלי, אני רוצה שהוא ישב שם ואני לא מפחד שיוכלו לפרוץ איליו כי כל הפורטים סגורים, אבל אני רוצה שהמכונה עצמה תיהיה מבודדת מהרשת הפנימית.

כלומר במצב שלי השרת מול הרשת מוגן, מה שאני רוצה לבודד זה את השרת מהרשת הפנימית שהוא נמצא בו

zvinissim

@שמואל4 אמר בהאם אפשר ליצור רשת עם גישה לאינטרנט - נפרדת מהרשת הפנימית:

@zvinissim אמר בהאם אפשר ליצור רשת עם גישה לאינטרנט - נפרדת מהרשת הפנימית:

אבל למה שתרצה לעשות כן

כל הרשת מאחורי פורטיגייט, לכן אני לא מפחד.
הבעיה, שזה רשת שלמה, ואני לא רוצה לתת לVM גישה לכל הרשת הפנימית שלי, אני רוצה שהוא ישב שם ואני לא מפחד שיוכלו לפרוץ איליו כי כל הפורטים סגורים, אבל אני רוצה שהמכונה עצמה תיהיה מבודדת מהרשת הפנימית.

כלומר במצב שלי השרת מול הרשת מוגן, מה שאני רוצה לבודד זה את השרת מהרשת הפנימית שהוא נמצא בו

@שמואל4 לדעתי אז רק דרך POOL IP ייתן לך את המצב

אז תקבל כתובת IP חיצוני משאר הרשת שלך שאינה תלויה לראוטר ולכתובת הראשית של הפורטיגייט
ועדין תהיה מחבר עם כבל לראוטר ללא קשר לרשת הפנימית והגישה ל VM יהיה דרך הכתובת החיצונית בלבד

@שמואל4 אמר בהאם אפשר ליצור רשת עם גישה לאינטרנט - נפרדת מהרשת הפנימית:

מה שאני רוצה לבודד זה את השרת מהרשת הפנימית שהוא נמצא בו

ועדין נראה לי שתצטרך רק להגדיר את הפורטיגייט לפורט היציאה שאליה יהיה חיבור הכבל.

aaron

@שמואל4
כל מה שאתה צריך זה ליצור bridge חדש ולשייך אותו לVM. ובנוסף להגדיר NAT (Masquerading) בubuntu כדי לאפשר לVM אינטרנט החוצה.
תצטרך לשחק קצת עם iptables לצורך כך.
מקור: https://pve.proxmox.com/wiki/Network_Configuration#_masquerading_nat_with_tt_span_class_monospaced_iptables_span_tt
שים לב לא שכל טעות הכי קטנה תשאיר אותך בלי אינטרנט בכלל..
עוד משהו, הדוגמאות שם מתייחסות לזה שהאינטרפייס הראשי "משועבד" לברידג'. תצטרך לעשות התאמות (או לחפש בגוגל משהו מדויק יותר למקרה שלך)

zvinissim

@aaron אמר בהאם אפשר ליצור רשת עם גישה לאינטרנט - נפרדת מהרשת הפנימית:

מקור: https://pve.proxmox.com/wiki/Network_Configuration#_masquerading_nat_with_tt_span_class_monospaced_iptables_span_tt

@aaron
@השרת של @שמואל4 (שהוא לינוקס) יושב אחרי פורטיגייט ולכן אין לו מה לגעת שהגדרות של כרטיס הרשת של השרת.
הוא צריך לעשות Routed Configuration (תצורה מנותבת) בדיוק כפי שכתבתי עם POOL IP.
מחשב הVM שהוא רוצה להדיר מהרשת הפנימית מחוברת לפורטיגייט ( @שמואל4 טעיתי במשהו בתצורת הרשת שלך?)
גם במקור שנתת הם ממליצים לעבוד כך.

Routed Configuration
Most hosting providers do not support the above setup. For security reasons, they disable networking as soon as they detect multiple MAC addresses on a single interface.

Tip Some providers allow you to register additional MACs through their management interface. This avoids the problem, but can be clumsy to configure because you need to register a MAC for each of your VMs.
You can avoid the problem by “routing” all traffic via a single interface. This makes sure that all network packets use the same MAC address.

default-network-setup-routed.svg
A common scenario is that you have a public IP (assume 198.51.100.5 for this example), and an additional IP block for your VMs (203.0.113.16/29). We recommend the following setup for such situations:

לדעתי זה גם הכי קל למימוש
נכון שיש עלויות POOL.

@aaron אמר בהאם אפשר ליצור רשת עם גישה לאינטרנט - נפרדת מהרשת הפנימית:

שים לב לא שכל טעות הכי קטנה תשאיר אותך בלי אינטרנט בכלל.

לא רק איניטרנט אלא אפשרויות הגישה לשרת מרחוק עלולות להיחסם

בכל מצב זה לא משנה. קודם צריך לבדוק אם יש אפשרות בפורטיגייט לעשות ניתובים כאלו (לא כולם יכולים אבל אני מניח שכן)

שמואל4

@zvinissim אמר בהאם אפשר ליצור רשת עם גישה לאינטרנט - נפרדת מהרשת הפנימית:

לא רק איניטרנט אלא אפשרויות הגישה לשרת מרחוק עלולות להיחסם

יש לי גישה ב iDrac לשרת. אני לא חושש אם אני יעשה טעות קטנה.

בכל אופן, מה הכוונה POOL IP? לתת לVM כתובת IP חיצונית נפרדת?

zvinissim

@שמואל4 אמר בהאם אפשר ליצור רשת עם גישה לאינטרנט - נפרדת מהרשת הפנימית:

בכל אופן, מה הכוונה POOL IP? לתת לVM כתובת IP חיצונית נפרדת?

כן
בקצרה אסביר
כיום יש לך כתובת ציבורית אחת על הפורטיגייט .כאשר אתה מקבל xxx.xxx.xxx.xxx/32 מהספק (הx מסמנים מספרים)
אתה צריך לפנות לספק שלך ולבקש ממנו POOL IP.
ב POOL IP אתה יכול לבקש 4/8/16/32 וכן הלאה כאשר אתה יורד במספרים אתה מקבל יותר כתובות.
לדוגמא: xxx.xxx.xxx.xxx/30 תקבל 4 כתובות כאשר רק 2 פעילות ו2 לניהול ואילו ב xxx.xxx.xxx.xxx/29 תקבל 8 כתובות שמתוכם 6 פעילות ו 2 לניהול וכן הלאה..
את 2 הכתובות הצדדית הם לא בשימוש אלא הם נועדו לניהול POOL

עלויות הפול:
בד"כ העליות הם כמו עלויות של IP קבוע כלומר באזור ה 15 ש"ח לכתובת IP.
אני אישית משלם ********* ש"ח שזה 8 כתובות מתוכם 6 פעילות ו 2 לניהול)

אם אתה לקוח פרטי זה קצת בעיה מפני שהח'ברה שם לא מכירים את המושגים בלקוח עסקי זה יותר קל.
עדיך כבר לקחת POOL של 29 ולא של 30 (גם בשביל לא לשבור סידרה וגם לגמישות- החברה בספק לא אוהבים לתת 30)

זה הבגדול.
אם תרצה אני אפרט לך איך להשתמש ב POOL ולהגדיר אותו במחשב/שרת.

שמואל4

@zvinissim אני מבין.

אוקי, יש לי כתובות חיצוניות פנויות, אז שמתי לVM כתובת חיצונית פרטית משלו, בהחלט זה פתר את העניין שאני לא יכול לגשת ל 192.168.XX מה VM, אבל הבעיה שעכשיו תעבורה לשרתים אחרים מול הכתובת הציבורית שלהם אני יכול.
למרות שהפורטי אמור לחסום דבר כזה כשזה מגיע חיצוני ממש, אבל כנראה שבגלל שזה אותו רשת חיצונית (כלומר אותו פורטיגייט מנהל את הכתובות) אז זה לא יוצא באמת לרשת הציבורית אלא מנותב פנימי ולכן הפורטי לא חוסם את זה.

האם אני יכול להגדיר אולי איזה rule בפורטי להגיד לו מה שיוצא דרך 31.31.31.33 שלא יתן לו גישה פנימית?

הבנת מה השאלה? כלומר אני באמת מבודד, אבל כתובות חיצוניות שהם פנימיות זה נכנס רגיל..

zvinissim

@שמואל4 אמר בהאם אפשר ליצור רשת עם גישה לאינטרנט - נפרדת מהרשת הפנימית:

אוקי, יש לי כתובות חיצוניות פנויות, אז שמתי לVM כתובת פרטית משלו, בהחלט זה פתר את העניין שאני לא יכול לגשת ל 192.168.XX מה VM, אבל הבעיה שעכשיו תעבורה לשרתים אחרים מול הכתובת הציבורית שלהם אני יכול.

אז אני מבין שיש לך POOL כבר פעיל
כמה הפול שלך?

@שמואל4 אמר בהאם אפשר ליצור רשת עם גישה לאינטרנט - נפרדת מהרשת הפנימית:

הבנת מה השאלה? כלומר אני באמת מבודד, אבל כתובות חיצוניות שהם פנימיות זה נכנס רגיל..

מקווה שהבנתי וממשיך לפרט יותר

@שמואל4 אמר בהאם אפשר ליצור רשת עם גישה לאינטרנט - נפרדת מהרשת הפנימית:

מה שיוצא דרך 31.31.31.33 שלא ייתן לו גישה פנימית

נגיד ש 31.31.31.33 זה הכתובת שלך (חלק מ POOL והול שלך לצורך הדוגמא הוא 29)

אתה הולך לאתר הבא ורושם את הכתובת שלך עם ביומת ה POOL.
עכשיו אתה מקבל את הנתונים של ה POOL (לצורך הדוגמא עשיתי על 31.31.31.33)

Address:   31.31.31.33           00011111.00011111.00011111.00100 001
Netmask:   255.255.255.248 = 29  11111111.11111111.11111111.11111 000
Wildcard:  0.0.0.7               00000000.00000000.00000000.00000 111
=>
Network:   31.31.31.32/29        00011111.00011111.00011111.00100 000 (Class A)
Broadcast: 31.31.31.39           00011111.00011111.00011111.00100 111
HostMin:   31.31.31.33           00011111.00011111.00011111.00100 001
HostMax:   31.31.31.38           00011111.00011111.00011111.00100 110
Hosts/Net: 6                     

עכשיו אתה הולך למחשב שלך והגדרות כרטיס הרשת ורושם כך:
כתובת IP: 31.31.31.33
מסכת רשת 255.255.255.248
שער ברירת מחדל: 31.31.31.32
DNS תן של גוגל (8.8.8.8,8.8.4.4)

הגישה היחידה שאמורה להיות רק אם אתה פונה הכתובת חיצונית לכתובת חיצונית.
המחשב לא מקבל בכלל כתובת פנימית ולן אין מצב שתוכל לגשת אליו

עריכה: ההגדרות האלו יושבות במחשב (לא בראוטר (אתה לא אחרי NAT בגלל זה שאלתי בהתחלה)

שמואל4

@zvinissim אמר בהאם אפשר ליצור רשת עם גישה לאינטרנט - נפרדת מהרשת הפנימית:

הגישה היחידה שאמורה להיות רק אם אתה פונה הכתובת חיצונית לכתובת חיצונית.

הבנתי.

החיסרון היחידי שאני רואה פה זה
א. אם אני כן רוצה לגשת לכתובת פנימיות. כרגע פשוט אין תגובה, כאילו לא קיים.
ב. אני מייחד לVM כתובת חיצונית נפרדת.

zvinissim

@שמואל4 אמר בהאם אפשר ליצור רשת עם גישה לאינטרנט - נפרדת מהרשת הפנימית:

אם אני כן רוצה לגשת לכתובת פנימיות. כרגע פשוט אין תגובה, כאילו לא קיים.

אין בכלל כתובת פנימית למחשב הזה גם אם תסרוק את הרשת הסורק לא יגלה אותו כרשת פנימית.

@שמואל4 אמר בהאם אפשר ליצור רשת עם גישה לאינטרנט - נפרדת מהרשת הפנימית:

אני מייחד לVM כתובת חיצונית נפרדת.

בדיוק כך
כאילו שאתה לוקח מחשב ושם אותו אצל מארח חיצוני (כגון:ספק אירוח) או שנותן לו מיקום אחר שהוא לא אצלך קרוב ועם כתובת אחרת שמיוחדת למחשב זה בלבד.

שמואל4

@zvinissim אמר בהאם אפשר ליצור רשת עם גישה לאינטרנט - נפרדת מהרשת הפנימית:

אין בכלל כתובת פנימית למחשב הזה גם אם תסרוק את הרשת הסורק לא יגלה אותו כרשת פנימית.

אני אישית עשית לו גם כתובת פנימית עם השרת שעליו הוא יושב (לא עם הרשת הפנימית) ממתאם וירטואלי שיצרתי בדוקר בשביל שאני יוכל להתחבר בRDP על גבי הssh של השרת הראשי.

המטרה שלי יותר שהVM יהיה נפרד מהרשת הפנימית המלאה, אין לי בעיה שיהיה לו קשר עם השרת שעליו הVM יושב.

במחשבה שניה, לכאורה אני יכול לבטל את זה כי אני יכול על גבי הssh להתחבר ישירות לip של הVM כי זה לא עובר חיצוני.

אבל, מה שהתכוונתי ב'א', זה שיש לי אתר שיושב בשרת אחר ברשת הפנימית, ובגלל שאני בVM נמצא עם כתובת חיצונית פנימית אין לי שום גישה לכתובת פנימיות. רק החוצה.
אבל שאני כותב את זה אני מבין שזה לא חיסרון.. כי גם דרך השרת עצמו אין לי גישה לכתובות חיצוניות של שרתים אחרים.. בקיצור, זה לא חיסרון בצורה שעשיתי את זה, זה פשוט מציאות של המצב.

שורה תחתונה - יישר כוח! עזרת מאד

aaron

@zvinissim אמר בהאם אפשר ליצור רשת עם גישה לאינטרנט - נפרדת מהרשת הפנימית:

השרת של @שמואל4 (שהוא לינוקס) יושב אחרי פורטיגייט ולכן אין לו מה לגעת שהגדרות של כרטיס הרשת של השרת.
הוא צריך לעשות Routed Configuration (תצורה מנותבת) בדיוק כפי שכתבתי עם POOL IP.
מחשב הVM שהוא רוצה להדיר מהרשת הפנימית מחוברת לפורטיגייט ( @שמואל4 טעיתי במשהו בתצורת הרשת שלך?)
גם במקור שנתת הם ממליצים לעבוד כך.

לדעתי bridge הרבה יותר קל להגדרה כשנצרך IP חיצוני לVM, אדרבה, אולי תפרט את התהליך להגדרה של תצורה מנותבת ואגלה שזה יותר קל.
על כל פנים, אני לא רואה סיבה לשלם על IP חיצוני כשהוא לא מחפש את זה.. הוא סה"כ רוצה גישה לאינטרנט מVM.
ברגע שהוא יוצר ברידג' נפרד, ומגדיר NAT, הוא מקבל אינטרנט והוא נשאר מנותק מהרשת הפנימית. מה צריך יותר מזה?

@zvinissim אמר בהאם אפשר ליצור רשת עם גישה לאינטרנט - נפרדת מהרשת הפנימית:

גם במקור שנתת הם ממליצים לעבוד כך.

תצורת ברירת המחדל שלהם היא bridge, וrouted נצרך רק כשיש subnet שאז בד"כ אי אפשר לקבל MAC יחודי.

upsilon01

אני מקווה שהבנתי אותך נכון,

נשמע שאתה צריך VLAN

ניתן גם לחסום את השרת לטווח הפנימי בעזרת iptables
(ufw)