Hetzner + Proxmox проблемы с роутом?

Question

[stronciy]

Перерыл все сеть, но так и не смог найти ответ на проблему.



Есть сервер у хетцнера, на нем стоит proxmox 2

Соответственно как у хетцнера заведено есть главный IP 188.xxx.xxx.15 и есть подсеть 178.xxx.xxx.xxx/29 на нем живет виртуалка на ней хосты все работает отлично кроме… почты!



То есть когда с любого домена виртуалки отправляет почту, то вместо родного IP виртуалки доходит главный IP сервера!!!

И если гугл хоть и ругается

Received-SPF: softfail (google.com: domain of transitioning xxx@xxx.xx does not designate 188.xxx.xxx.15 as permitted sender)

но все же принимает почту, то многие вообще не хотят принимать почту ни в каком виде :( естественно думая что им отправляют спам.



Вопрос, как такое может быть!

И как это можно исправить ?!



Заранее благодарен за помощь.

Answer 1

[Пума Тайланд]

Вы просто не пытаетесь вникнуть как работает маршрутизация, вместо того чтобы настроить правильную маршрутизацию, вы настроили правильный нат он же маскарад, у вас в правилах прописано занатить все внутренние айпи главным айпи сервера, вы получаете ровным счететом то что и сделали.
Читайте внимательно доку хетнера, только обязательно английскую.
Ну и в конце концов не стыдно на хабре почитать по этому поводу статьи.
У меня в статье описано как настраивать сеть
habrahabr.ru/post/158061/

Comments

[stronciy]

Спасибо за подсказку :)

Что касается чтения, как раз на хабре прочел все что мог, и Вашу статью в частности. Собственно, воспользовался ей, но только первой половиной. У Вас упор на IP6 а для меня это мутный лес… на хетцнере нашел только эту доку wiki.hetzner.de/index.php/Proxmox_VE/en но там тоже не все для меня ясно.

Вопрос, как занатить подсеть не через главный адрес?

[Пума Тайланд]

её не надо натить.
про ipv4 и подсеть там все нгаписано у меня.
удалите это post-up iptables -t nat -A POSTROUTING -s '178.xxx.xxx.96/29' -o eth0 -j MASQUERADE
post-down iptables -t nat -D POSTROUTING -s '178.xxx.xxx.96/29' -o eth0 -j MASQUERADE

если все остальное норм то будет работать на ok.

[stronciy]

:)

Просто в шеле написал
iptables -t nat -D POSTROUTING -s '178.xxx.xxx.96/29' -o eth0 -j MASQUERADE

проверил, таки да!!! заработало именно так как надо.

Спасибо, очень выручили!

Answer 2

[stronciy]

У меня точно срисовано с документации хетцнера:

post-up   iptables -t nat -A POSTROUTING -s '178.xxx.xxx.96/29' -o eth0 -j MASQUERADE
post-down iptables -t nat -D POSTROUTING -s '178.xxx.xxx.96/29' -o eth0 -j MASQUERADE

вроде все пашет, да только с почтой черте что происходит! :(

Answer 3

[polyakstar]

я делал двухсторонний NAT

Comments

[stronciy]

У меня точно срисовано с документации хетцнера:

post-up iptables -t nat -A POSTROUTING -s '178.xxx.xxx.96/29' -o eth0 -j MASQUERADE
post-down iptables -t nat -D POSTROUTING -s '178.xxx.xxx.96/29' -o eth0 -j MASQUERADE

вроде все пашет, да только с почтой черте что происходит! :(

[polyakstar]

я делал так:
1. каждый адрес у меня на отдельном интерфейсе eth0:0/ eth0:1 и т.д.
2. В исходящем трафике я деляю не маскарадинг, а -j SNAT --to-source $IP_DMZ_vpn (причем указываем конкретный IP, с которого хотим чтобы уходило. Может в этом проблема)
3. Маркирую исходящий трафик iptables -t mangle -A OUTPUT -s $IP_WAN52 -j MARK --set-mark 52
4. Отправляю его в соответствующую таблицу маршрутизации ip rule add fwmark 52 table wan52
у которой указан правильный default gw, так как для разных адресов, выданных хейтзнером он у меня разный.
5. Входящий трафик iptables -t nat -A PREROUTING -d $IP_WAN52 -j DNAT --to-destination $IP_DMZ_vpn

[stronciy]

круто, и грамотно… блин это теперь надо пересобирать сервер под ним пару тройку виртуалок, причем как под kvm так и под openvz :(

Answer 4

[stronciy]

а можешь показать как?