vlan nürnberg <--> wien

    hallo leute,


    ich habe in jedem datacenter 3 vps, welche jeweils über ein vlan verfügen.

    mein ziel ist es ein rounting zu erstellen, dass ich zb in nürnberg die vlan ip von wien anspreche und die dann auf die externe geleitet wird.


    also zb

    server1 (nürnberg) 10.0.1.1 ping an 10.0.2.1 (wien) und das wird dann an die externe ip von wien gesendet. und natürlich auch andersrum.


    bei anderen anbietern habe ich ein vlan in mehreren standorten. bei netcup leider nicht. daher benötige ich eine art routing. hat da schon jemand erfahrungen mit? ich nutze debian 12 und idealerweise wenn möglich würde ich das über die configs in /etc/network/interfaces.d/ oder iptables realisieren wollen. wenn es bessere und einfachere methoden gibt, dann nehme ich auch die.


    besten dank im voraus.

    Spontane Idee: VPN-Verbindung zwischen zwei Servern aus den zwei Standorten und darüber den Traffic zwischen den Standorten für alle Server routen.

    RS Brezn | VPS 500 G8 Plus | 2× VPS Karneval 2020 | VPS Pocket Admin | RS Cyber Quack | VPS 500 ARM


    Dieses Gebäude hat mir die Vorfahrt genommen! *hup*

    Gefällt mir 2

    hey, ja der traffic wird dann als externer gewertet das stimmt.

    mit /etc/network/interfaces.d/ ist das nicht möglich? hatte da schon mal etwas experimentiert.


    welchen vpn könnt ihr empfehlen?

    ich hab für mein mysql cluster schon stunnel drauf. hatte aber auch überlegt es mit haproxy zu lösen falls das funktioniert. müsste mich dort nochmal belesen.

    könnte auch einen extra vps mieten und den als router benutzen.


    aber schon mal vielen dank im voraus. :)

    Der Sinn eines VLANs ist eine Broadcast domain.

    Der Sinn eines VPN ist das Tunneln von Layer 2 oder Layer 3 zwischen zwei Unicast Endpunkten, zwischen denen in aller Regel extern geroutet wird.

    (Layer 2.5 lass ich mal außen vor :-);

    Wenn alle Endpunkte öffentliche IPs haben und die MTU -siehe anderer Thread- egal ist, wird Wireguard state of the art sein.

    Sind Endpunkte hinter einem NAT und wünscht man die Pakete auf eine einheitliche MTU zu bringen: OpenVPN.

    Ansonsten gäbe es je nach Sicherheitsanforderungen noch das gute alte IPSec auf der einen Seite und das unsichere PPTP oder L2TP auf der anderen Seite.

    haproxy ist als Loadbalancer/Proxy eine feine Sache, aber kein Tunnel.

    zu stunnel kann ich mangels Erfahrung nichts dazu sagen, befürchte aber, dass man darauf achten wird müssen, ob es Perfect Forward Secrecy (PFS) beherrscht.

    ssh kann bis zu einem gewissen Grad übrigens auch tunnel und port forwardings machen. Bei den netcup tutorials findet sich einiges dazu.

    Für Jumphosts und Router sind die neuen piko, nano und mikro vps G11s sicherlich interessant, jedoch im Moment nur am Standort ANX84/NUE verfügbar.

    Zitat von klaus kinski

    mit /etc/network/interfaces.d/ ist das nicht möglich?

    Nein, alleine wäre mir unbekannt. Es gibt up und down Regeln für interfaces, mit denen Shell-Befehle ausgeführt werden können, das ist aber nur ein Weg (z.B. Ersatz zu Systemd Services [Systemstart erklärt]) um eine Verbindung aufzubauen/zu starten bzw. zu stoppen. Du brauchst noch die Verbindung selbst, wofür Sicherheitsvorkehrungen nötig sind, wie von anderen schon gesagt möglich mit VPN oder SSH.


    Schau für VPNs vielleicht auch in diese Projekte: