Зеркало для серверов

кроме них есть еще филлипины, япошки, вьетнам. меньше австралия, индия.

SISA,
А как пропустить прозрачно трафик?
Само зеркало работает, но вот на сервере игроки подключившиеся с зеркала имеют IP адреса зеркала, MASQUERADE я так понял подменяет source но как же без него?

iptables -t nat -A PREROUTING -i eth0 -p udp --dport 27027 -s 10.10.10.10 -j DNAT --to 20.20.20.20:27027
iptables -t nat -A POSTROUTING -j MASQUERADE

iptables -t nat -A POSTROUTING -p udp --dst 20.20.20.20 --dport 27027 -j SNAT --to-source 10.10.10.10
iptables -t nat -A PREROUTING -p udp --dst 10.10.10.10 --dport 27027 -j DNAT --to-destination 20.20.20.20:27027

navigator19,

Прозрачно ? Иптаблесом этого не сделать. Нужно какой-то дописывать модуль для HLDS + ещё антидудос хороший на зеркало, чтобы всё это не легло благополучно. Намного дешевле, разместиться в нормальном ДЦ.

По любому как-то можно, а размещаться в другом ДЦ явно не дешевле, и явно не приемлемо т.к. пинг у многих 3-5 и ДЦ с таким пингом в наших краях просто нет, но вот есть некоторые игроки из нашего города у которых пинг 60+ т.к. долбаный ростелеком к которому они подключены, гоняет трафик через Пензу в Москву а потом к нам, но я нашел альтернативу через зеркало ЕКБ тогда пинг у них 20-30, осталось решить проблему с прозрачностью!

navigator19, была вроде тема от Fire (если мне память не изменяет) как поднять vpn между серверами чтобы это дело работало

Вот примерно таким способом, как написал navigator19, можно сделать прозрачное перенаправление трафика с одного сервера на другой, но на целевом будет адрес игроков равный адресу перенаправляющего сервера. От этого никак не избавиться, разве что найти ДЦ который не проверяет принадлежность адреса отправителя пакета своей сети (UDP спуфинг) тогда сработает. Но такой ДЦ вы не найдете.

Еще можно сделать зеркало на другом порту на том же IP, делается еще проще, чем написано выше, IP адреса у игроков при этом правильные, но есть ли смысл от такого зеркала кроме как фейки поднимать? Потому набор команд палить не буду.

Я решал задачу быстрого переезда с одного VPS на другой следующим образом. Сервер копировался на новый IP. На старом делалось перенаправление. При подключении на оба IP игроки попадали физически на один и тот же сервер. В плагине для бана в коде ставил проверку чтобы игроков с IP перенаправляющего сервера ни в коем случае не банило по IP, отключал все проверки на флуд, в том числе в reunion (и все равно бывало что все игроки со старого адреса на минуту вылетали с серва). Всем кто заходил на старый адрес в hud'е висела реклама нового IP с просьбой поменять в избранном. Пока творилась эта вот дичь, спокойно переносились услуги в раскрутках. Относительно безболезненный переезд, впервые с тех времен когда 90% игроков подключались по домену и переезд не составлял никакого труда (а потом автоконнекты и game menu прикрыли ).

Решить проблему исходящего IP адреса с помощью VPN туннеля между серверами мне не удалось.

navigator19, https://c-s.net.ua/forum/topic73601.html
вот в этой теме были разные варианты, я правда так до конца и не настроил :)

mazdan,
Про haproxy тоже читал надо пробовать, можно в принципе и с помощью маршрутов сделать а управлять зеркалом на VPS тогда придется через панель вебморды ДЦ а не по SSH

Для перенаправления достаточно 2 правил а не как писал выше, и чтобы в etc\sysctl.conf был включен форвард net.ipv4.ip_forward=1
включить форвард вручную можно и командой echo "1" >/proc/sys/net/ipv4/ip_forward до перезагрузки

iptables -t nat -A PREROUTING -p udp --dst IP_ЗЕРКАЛА --dport 27015 -j DNAT --to-destination IP_СЕРВЕРА:27015
iptables -t nat -A POSTROUTING -p udp --dst IP_СЕРВЕРА --dport 27015 -j SNAT --to-source IP_ЗЕРКАЛА
или,
iptables -t nat -A PREROUTING -i ens3 -p udp --dport 27015 -j DNAT --to IP_СЕРВЕРА:27015
iptables -t nat -A POSTROUTING -p udp -j MASQUERADE --to-ports 27015
или
iptables -t nat -A PREROUTING -i ens3 -p udp --dport 270027 -j DNAT --to IP_СЕРВЕРА
iptables -t nat -A POSTROUTING -o ens3 -p udp --dport 270027 -j SNAT --to-source IP_ЗЕРКАЛА
или
iptables -t nat -A PREROUTING -p udp -m udp --dport 27015 -j DNAT --to-destination IP_СЕРВЕРА:27015
iptables -t nat -A POSTROUTING -o ens3 -p udp -m udp --dport 27015 -j MASQUERADE

ens3 сетевой интерфейс

navigator19, ну получается что айпи будет айпи зеркала. Проблема в том что если придёт пакет с айпи игрока, то сервер будет отвечать игроку же, а не зеркалу, а игрок ждёт пакет от зеркала.
В гугле пишут ещё про tproxy
https://www.kernel.org/doc/html/latest/netw...ing/tproxy.html
но я не нашёл понятного примера, чтобы было написано это сделай на сервере А, это на сервере Б.
Вот тут вот ещё пример неплохой http://gsoc-blog.ecklm.com/iptables-redire...nat-vs.-tproxy/ Но я тут про обратный пакетик не понял как идёт

mazdan,
ДА, в предыдущих примерах будет IP зеркала
Я так понял по этим ссылкам что это относится к TCP у UDP там все немного по другому работает, давно еще делал прозрачный прокси для сайта и на сервере отображался реальный IP а не прокси, но вот с UDP так не канает, надо что-то искать

ну в той теме что я тут поднимал говорят что рабочие решения с тунелями.
https://c-s.net.ua/forum/topic73601.html?vi...st&p=785933
Вот у меня это наполовину получилось, а потом изменились обстоятельства и дальше я делать (пробовать сделать) не стал.
А вот jesuspunk вроде доделал: https://c-s.net.ua/forum/topic73601.html?vi...st&p=943953

mazdan,



Только вот не понятно что это за подсеть 10.0.0.0/24? опенвпн что-ли должен стоять на обоих серверах, или что?

UPD: А все понял это GRE тунель, ладно попробую этот вариант если что отпишусь