[08:31] <ivoks> Mmike ozbiljno me pitas kako sloziti NAT?
[08:32] <ivoks> lxd cluster iz snapa (4.0.1) vec neko vrijeme posluzuje svu infrastrukturu nekih institucija :)
[09:09] <Mmike> ivoks, ozbiljno nisi skuzio sto sam pitao? :)
[09:09] <Mmike> lxd cluster iz snapa samo ceka da se sjebe pa ce te institucije poginut :)
[09:50] <ivoks> Mmike ja znam kaj si ti pitao; mozda ti ne znas :)
[10:01] <dodobas> idoviti milan ce sigurno znat :)
[10:01] <dodobas> *vidoviti
[10:02] <dodobas> jel radio tko s IndexDb u browserima ?
[10:36] <Mmike> ivoks, ne bih rekao, mislim da sam lose objasnio
[10:36] <Mmike> daklem, nat imas po defaultu
[10:36] <Mmike> pita te 'lxd init' hoces nat
[10:36] <Mmike> nisam to pitao
[10:36] <Mmike> pitao sam kako da promet koji dodje na IP koji je konfiguriran na hostu - ode u kontejner
[10:38] <Mmike> sa iptablesima to napravim ovak nekak: iptables -t nat -I PREROUTING -d public-ip -i eth0  -j DNAT --to-destination 10.4.0.XX
[10:38] <Mmike> i onda jos dodam SNAT za drugi smjer, tako da promet koji ide van kontejnera ode sa te iste vanjske IP adrese
[10:39] <Mmike> novi(ji) lxd ima proxy s kojim to mogu, ali moram specificirati port
[10:39] <Mmike> sto mi je za neke stvari totalno neprikladno 
[10:40] <Mmike> pa reko, jel' znas ti neku bolju foru, mozda? :D
[10:53] <ivoks> pa to sto si naveo s iptablesom je NAT
[10:53] <ivoks> ja tak radim za neprodukcijske stvari
[11:10] <Mmike> ne, to nije nat
[11:10] <Mmike> al', nebitno - kak radis za produkcijske stvari?
[11:10] <Mmike> koristis lxc proxy?
[11:11] <Mmike> lxc config device add jitsi jitsi-http proxy listen=tcp:16.202.17.9:80 connect=tcp:127.0.0.1:80
[11:11] <Mmike> to je ok
[11:11] <Mmike> al to je samo za port 80
[11:11] <Mmike> ako zelim sve portove, onda to nema smisla (jer ne zelim 65k portova dodavati)
[11:12] <Mmike> aha, pardon
[11:12] <Mmike> to je nat :D
[11:12] <Mmike> ivoks, daklem, da, to je nat :D 
[11:12] <Mmike> moja greska
[11:13] <Mmike> nego - za neprodukciju, kako sacuvas te rulove? iptables-persistent? ili? jer, to mi radi ok na bionicu di je lxd iz paketa pa se lxdbr0 pokrene na vrijeme - kad je to u snapu onda nemam kontrolu nad tim kad se to pokrene i iptables persistent ne radi 
[11:13] <Mmike> tj, neki kurac drugi mi pobije te sve rulove
[11:14] <Mmike> (a i prije je problem, jer svaki put kad udrem iptables-save, onda mi se rulovi za lxdbr0 duplaju, al' ajd, to je manji problem, jer ipak sve radi)
[11:38] <ivoks> u produkciji koristim bridge; nema smisla koristiti NAT
[11:38] <ivoks> a za jitsi mozes sloziti proxy, ali to je opet samo za TCP
[11:38] <Mmike> nemrem koristiti bridge
[11:38] <Mmike> ma ovo za jitsi je samo primjer
[11:38] <Mmike> za jitsi moze, al' za ono kaj mi treba mi je proxy neprikladan
[11:39] <Mmike> da mogu bridge koristio bi bridge, al' mi nit linode nit digitalocean nit hetzner ne dozvoljavaju da koristim bridge
[11:39] <ivoks> ne mozes forwardati sav promet na internu adresu bez NAT-a
[11:39] <ivoks> druga opcija je proxy za svih 65000 portova
[11:39] <ivoks> ali to je jos gluplje
[11:39] <Mmike> yup, to nema smisla
[11:39] <Mmike> jucer mi je tomh ovo rekao:
 Mmike: OK you cant do that at this time, but you can specify a static DHCP assignment inside the container so that you can setup a blanket DNAT rule
[11:39] <ivoks> mislim da ti hetznet dozvoljava
[11:40] <ivoks> pa da, NAT
[11:40] <Mmike> lxc config device override c1 eth0 <static IP in same range as the bridge subnet>
[11:40] <Mmike> lxc network show lxdbr0 - will so the subnet used for the default private bridge
[11:41] <Mmike> probao si na hecneru?
[11:41] <Mmike> cek da vidim
[11:41] <Mmike> mozda fakat radi
[11:41] <ivoks> na hetzneru mozes definirati koja MAC adresa koristi IP
[11:41] <Mmike> unutar sucelja negdje?
[11:41] <ivoks> znaci, ako si kupio IP, onda mozes i reci koji MAC je iza tog IP-a
[11:41] <ivoks> bar mi je tako ostalo u sjecanju
[11:42] <ivoks> a mozda i ne
[11:43] <ivoks> ah da, imaju 'failover ip'
[11:43] <Mmike> sad cemo vdjet
[11:43] <ivoks> ako kupis failover ip, koji kosta 5€ mjesecno, onda on moze mijenjati mac adrese
[11:44] <ivoks> nisam ziher da li moze bilo koji mac, ili samo mac servera koje posjedujes
[11:44] <ivoks> imas i macvlan
[11:45] <ivoks> lxd podrzava macvlan
[11:45] <ivoks> to je ono sto zelis
[11:58] <Mmike> ivoks, gdje namjestim MAC adresu foating IPju?
[11:58] <Mmike> to mogu u sucelju negdje, ili ima neki API za to?
[11:58] <ivoks> Mmike macvlan
[11:59] <ivoks> guglaj
[11:59] <ivoks> zaboravi hetzner
[11:59] <Mmike> nemrem zabnroavit hetzner jer mi je tam to sve hostano :)
[11:59] <Mmike> a drugo di imam sve hostano je linode :) (tam zanam da to ne radi, linode explicite neda da svoje macove frljis po njihovoj mrezi)
[11:59] <Mmike> sto mi je ok - nit ja to nebi dao da sam ISP
[12:00] <Mmike> tj, cloud provider
[12:00] <ivoks> ivoks> znaci, ako si kupio IP, onda mozes i reci koji MAC je iza tog IP-a
 bar mi je tako ostalo u sjecanju
 a mozda i ne
 ah da, imaju 'failover ip'
[12:00] <ivoks> jesi kupio failover ip? nisi? move on
[12:00] <Mmike> da, i ne vidim di u sucelju mogu tom IPju dodijelit MAC adresu.
[12:00] <Mmike> Jesam, jeboga :)
[12:00] <ivoks> pa onda ne moras dodijeliti mac
[12:01] <ivoks> taj ip moze na bilo koji mac
[12:01] <Mmike> mislim da nemre, al' sad cemo probat
[12:01] <Mmike> sec
[12:01] <Mmike> jer ak moze onda je hecner sranje
[12:01] <Mmike> jer onda mogu slozit svoje macove kak hocu i potencijalno pizdarije radit okolo
[12:01] <ivoks> pa da
[12:01] <ivoks> zato to vise naplacjuju
[12:01] <ivoks> isto kao i osiguravajuce kuce
[12:02] <ivoks> ako je nesto rizicno, vise kosta
[12:02] <Mmike> hoces rec, vise naplacuju da mogu ja drugima sranja radit :D
[12:03] <ivoks> ne, naplacuju vise jer ce oni morati nesto napraviti
[12:03] <ivoks> obicni ip je fire and forget
[12:03] <ivoks> a ovo, od 100 korisnika, naleti neki debil
[12:04] <ivoks> i onda imaju novaca da plate inzenjera da blokira taj ip i mac i klijentu zakljuca racun
[12:04] <ivoks> dijele rizik s klijentima
[12:04] <ivoks> kao i osiguravajuce kuce
[12:04] <Mmike> ako to je tako - to je bedasto malo
[12:04] <Mmike> jer, i dalje mogu napravit sranje
[12:05] <ivoks> mozes
[12:05] <ivoks> ali 99 ih nece napraviti sranje
[12:05] <Mmike> to kaj ce mi zakljucat racun post-mortem je tak, nekak, nikak
[12:13] <Mmike> ivoks ne radi. Cini se da radi samo na dedicated kutijama, tamo mozes dodavati MAC adrese i onda to funkceonise. Na cloudu ne radi. 
[12:13] <Mmike> Nisam probao dedicated, jer je 90 eura + 90 eura, nedam za isprobavanje :)
[12:13] <Mmike> A za cloud jos provjerim, mozda sam krivo skonfigurirao nesto, idem jest pa probam opet.
[12:14] <ivoks> aha, ti imas virtualku
[12:14] <ivoks> ja bas imam strojeve
[12:16] <Mmike> yup
[12:16] <Mmike> https://blog.simos.info/how-to-get-lxd-containers-get-ip-from-the-lan-with-routed-network/
[12:16] <Mmike> ima i ovo - routed network
[12:16] <Mmike> cemo probamo
[12:17] <Mmike> ako ne, iptables je skroz ok, samo sto je cumbersome - bilo bi jebeno da lxd to radi
[12:17] <Mmike> cini se da bude, samo eto... ne jos :D
[12:24] <Mmike> brate mili kad vidis linode i hetzner i digital ocean... i onda AWS
[12:24] <Mmike> nebo-zemlja :)
[12:24] <Mmike> aws je kompliciran za popizdit, ovo ostalo je milina jednostavno :D
[12:24] <ivoks> jos jednom
[12:24] <ivoks> macvlan
[12:25] <ivoks> https://blog.simos.info/configuring-public-ip-addresses-on-cloud-servers-for-lxd-containers/
[15:01] <Mmike> -A POSTROUTING -o lxcbr0 -p udp -m udp --dport 68 -j CHECKSUM --checksum-fill
[15:01] <Mmike> -A POSTROUTING -o lxcbr0 -p udp -m udp --dport 68 -j CHECKSUM --checksum-fill
[15:01] <Mmike> -A POSTROUTING -o lxcbr0 -p udp -m udp --dport 68 -j CHECKSUM --checksum-fill
[15:01] <Mmike> zato 'iptables-save' ne valja :/ iptables-restore prvo restora rulove, a onda lxd nakelji svoja sranja - opet.
[15:01] <Mmike> pardon, lxc
[15:01] <Mmike> ne znam kak na lxdu radi
[15:01] <Mmike> proxy mi ne radi za jitsi, izgleda da neznam koje sve portove moram progurat
[15:14] <ivoks> jitsi je webrtc
[15:14] <ivoks> znaci, trebas STUN
[15:16] <ivoks> https://github.com/jitsi/jitsi-meet/blob/master/doc/quick-install.md#advanced-configuration
[15:56] <ivoks> verizon naplacuje whatsapp pozive prema minutu
[15:56] <ivoks> ne smatraju to data prometom, vec voice :)
[15:56] <ivoks> i to naplacuju prema medjunarodnom cjeniku
[16:14] <Mmike> ivoks, iptabvlesi rijesili sve
[16:14] <Mmike> radi k'o veliko