ip "failover" ou algo parecido

[rodrigo286]

Pessoal como alguns sabem além de sites eu trabalho com hospedagem de jogos e alguns dias estou testando proteção usando tunel GRE, bom inicialmente achei muito interessante pois consegui adicionar uma boa camada extra de proteção e coloquei um IP para cada cliente, assim se acontecer do cara levar um ataque muito forte e cair cairia somente o servidor dele e não todos como acontecia antes, foi derruba somente o IP dele deixado o resto da rota tranquila, em todos meus testes deu muito certo e acredito ser uma boa solução.

As vezes recebo alguns ataques DDoS / DoS e por isso acredito que preciso de algo que ajude mais, deixando o servidor online mesmo que com um ping alto.

Fora do Brasil consigo segurar na boa sem problemas, mas no Brasil fica dificil então estou tentando de vários jeitos tentar dar uma amenizada nisso.

Eu pensei em algo do tipo como um DNS Failover tipo:

servidor.exemplo.com.br

IP0: 131.xxx.xxx.xxx - [BR] ~ 15ms
IP1: 181.xxx.xxx.xxx - [BR] ~ 35ms
IP2: 195.xxx.xxx.xxx - [CA] ~ 130ms
IP3: 198.xxx.xxx.xxx - [UK] ~ 200ms

Assim teoricamente quando um IP ficar OFF entraria em outro local e assim iria manter o serviço online mesmo que com uma latência ligeiramente maior.

Porem alguns serviços que hospedo como servidor da VALVE: Counter-Strike 1.6, Condition Zero, Counter-Strike Source, Global Offensive, Team Fortress 2 e outros não oferecem suporte a DNS.

Caso você coloque um dominio ou DNS ele resolve o mesmo e salva o primeiro IP que ele achar, desse modo caso caia o IP o cliente perde o acesso.

Estou tendo várias ideias mas uma que acredito ser a chave para resolver uma boa parte do problema seria à seguinte:

Dentro do servidor por exemplo eu tenho 5 IPs ativos:

189.xxx.xxx.xxx - LINK de 50Mbit # 1
177.xxx.xxx.xxx - LINK de 50Mbit # 2
201.xxx.xxx.xxx - IP DO TUNEL GRE # 1
200.xxx.xxx.xxx - IP DO TUNEL GRE # 2
185.xxx.xxx.xxx - IP DO TUNEL GRE # 3

Um deles é somente para monitoramento, outro para acesso e 3 são de tuneis GRE conectados a maquina todos são IPs que eu posso usar no servidor do jogo.

No caso quando você liga a instância do jogo você precisa por na linha de comando a seguinte passagem: +ip SEUIP

Meu possível sistema iria trocar esse tráfego caso necessário exemplo:

O servidor está ligado com a linha de comando +ip 177.xxx.xxx.xxx, em segundo plano o IP 189.xxx.xxx.xxx que é somente um IP para monitoramento fica constantimente monitorando o IP 177.xxx.xxx.xxx, ao perceber que esse IP não consegue mais pingar algo fora da maquina ou tem dificuldades como latência alta ele pega todas as conexões estabelecidas ou que estão em processo de estabilizar e por fim os próximos que tentarem conectar e redereciona para o IP 200.xxx.xxx.xxx e passa a monitorar o mesmo a fim de de se for preciso transferir tudo novamente para o IP 201.xxx.xxx.xxx ou outro que esteja com menor latência e por ai em diante.

Isso seria possível?

Existe outro método mais fácil?

Ou até criar um IP que apontaria para outros IPs, não sei se isso é possível.

Obrigado amigos pela ajuda, grande abraço.

[LucasOliveira]

Rapaz GRE não acho que seja viavel no seu caso.

Pois de nada adianta se a maquina é BR e o ip GRE é la no EUA, ele vai resolver primeiro para la e depois vir para cá.

Mas ja tentou usar NAT? pois NAT você gera ip local para estrutura e assimila o ip externo que quiser.

[rodrigo286]

Então por isso eu tenho tunel no BR também, não tem problema ir para fora do BR em caso de ataque, caso o mesmo retorna-se para o BR assim que possível automaticamente.

 

Eu pesquisei um pouco sobre fazer isso com NAT mais ainda não entendi muito bem.

Eu poderia fazer por exemplo uma interface virtual com IP exemplo:

eth0 - 127.0.0.1

eth0:0 - 189.xxx

eth0:1 - 201.xxx

Seria isso?

Mas esses IPs eu teria que contratar ou posso usar IPs com range ou até obtidos com um tunel GRE?

Eu falei do tunel por que inicialmente ele me serviu muito bem.

 

Grande abraço e obrigado.

[LucasOliveira]

Então, se reparar o GRE já usa NAT no iptables.

Os ip local é gerado por você mesmo.

Tunel BR não acho que vai te segurar , BR não tem grande capacidade para mitigar ataques, vai acabar dando na mesma ao meu ver.

[rodrigo286]

Então Lucas eu entendi posso gerar os IPs locais, no caso ranges com 192 ou 10 certo?

Mas como assimilar os mesmo a outros IPs publicos para que possam acessar?

Desculpe talvez eu não esteja entendendo muito o que você quer me explicar.

Na minha mente seria um failover onde ficasse pelo Brasil e caso cair passa para um IP de fora como dos EUA / CA / UK, e assim que o link do Brasil voltar a responder ele seria ativado novamente.

Pelo que eu estou entendendo você quer me passar um método via NAT mas seria como isso? 

O que eu preciso?

Muito obrigado de verdade, grande abraço.

[LucasOliveira]

Então amigo,

é um pouco complicado construir um failover com NAT, pois alguém terá de gerar os ips externos e redirecionar ele para as maquinas, assim como usaria o GRE.

Recomendo dar uma estuda em estruturação de rede com NAT, não muita receita pronta não.

Mas usando assim, poderá ter ter 1 ip ou mais validos respondendo para o mesmo endereço local,

[rodrigo286]

Certo vou dar uma boa estudada pois realmente preciso muito disso.

Essa parte que você diz "gerar IPs externos", na verdade eu teria de comprar eles, ou até alugar um VPS / CLOUD / DEDICADOS com os IPs para uso.

Você indica algum material que você já tenha estudado?

E na estrutura que estou usando agora, está da seguinte forma:

Tenho 3 tuneis GRE apontando para a maquina, 1 no Brasil, 1 no Candada e 1 em PARIS.

Qualquer um dos 3 pode ser usado para se conectar ao jogo.

Porem não sei se é possível mas em quanto estou estudando o NAT, gostaria de criar algo temporário para linkar os 3 IP's, isso é possivel?

Se eu estiver falando baboseira me corrijam, mas seria algo para fazer o jogador conseguir continuar conectado caso o IP tenha caido, passando o tráfego para outro IP.

 

Obrigado.

[LucasOliveira]

Pode apontar quantos ips quiseres para quantos ips quiseres, essa é a vantagem do Forwardind

[rodrigo286]

Entendi, já estou pesquisando aqui, poderia ser varios IPs apontando para um.

No caso se alguem for me atacar nao saberá o IP real da maquina certo? Pois hoje com o GRE eu faço assim, o cara me ataca mas não sabe meu IP.

No caso se eu tiver varios IPs em lugares diferentes como eu faço com os tuneis GRE, eu poderia fazer a mesma coisa com o NAT?

Abraço.

[LucasOliveira]

GRE ja usa NAT para se ter idéia, o principio é o mesmo.