Định tuyến mạng con công cộng qua VPN.

Tôi có một máy chủ chuyên dụng tôi thuê tại OVH và có phân bổ địa chỉ IP / 27. Tất cả các máy chủ của tôi đều có Debian 8 và tôi muốn sử dụng VPN (OpenVPN) để định tuyến một số địa chỉ IP công cộng đến một địa điểm từ xa khác thông qua VPN. Tôi biết tôi chỉ có thể chuyển tiếp các gói sử dụng iptablesđến địa chỉ IP của máy khách VPN, nhưng đây không phải là điều tôi đang hỏi. Tôi muốn sử dụng địa chỉ IP OVH của mình trên máy chủ từ xa, trong thiết lập sử dụng các thùng chứa để mỗi container có thể có địa chỉ IP OVH (được bảo vệ DDoS) và trong vùng chứa nó sẽ hiển thị địa chỉ IP OVH - không phải là một địa chỉ IP riêng. Điều này là có thể, và nếu vậy, làm thế nào?

Bạn sẽ có thể thực hiện việc này bằng giao diện TAP trên OpenVPN - tức là kết nối 2 mạng lại với nhau, nhưng đó có vẻ là một cách chậm, dễ bị lỗi và thường là cách khủng khiếp để làm điều đó.

Một giải pháp thay thế sẽ là chia / 27 của bạn thành 2/28 và định tuyến một trong số 28 đến địa điểm từ xa. Điều này sẽ lãng phí một vài IP công bằng nhưng sẽ cung cấp một khung logic hợp lý mà bạn có thể sử dụng với giao diện TUN và một số lệnh định tuyến trong cấu hình của bạn.

Điều đó nói rằng, và đưa ra các giả định có thể không chính xác về loại lưu lượng truy cập mà bạn dự định chạy, sử dụng một loại cân bằng tải [thậm chí là một loại thô như iptables] là cách tốt hơn để làm điều gì đó giống như 99 lần trong số 100 lần này.

Điều này có thể sử dụng giao diện tap0 trong openvpn.

Tôi đã thành công trong việc làm những gì tôi yêu cầu vì vậy tôi sẽ đăng câu trả lời cho người khác.

Máy OVH của tôi có một ip được gán duy nhất trên một mạng con khác với phân bổ ip bổ sung của tôi.

OVH: ip chính (158,69.1,18) OVH: mạng con phụ: 192,99.1.208-223

Máy chủ2: 72.34.43.34

Bắt đầu bằng cách làm theo các hướng dẫn tại: https://openvpn.net/index.php/open-source/documentation/howto.html#install

Cài đặt openvpn và tạo các khóa của bạn. Tạo khóa cho máy khách 2 / vpn máy khách và sao chép chúng vào máy chủ 2 trong thư mục / etc / openvpn (hoặc bất cứ nơi nào bạn muốn)

Tìm tệp cấu hình máy chủ được đề cập trong url trên và sao chép nó từ vị trí ban đầu của nó vào /etc/openvpn/server.conf trên máy chủ vpn của bạn.

Hãy chắc chắn rằng nó có các cài đặt sau:

dev tap0
server-bridge 10.8.0.0 255.255.255.0 10.8.0.5 10.8.0.5
push "redirect-gateway def1 bypass-dhcp"
client-to-client

Để mọi thứ khác mặc định. 10.8.0.5 10.8.0.5 làm cho nó để nó chỉ có 1 lan ip trong nhóm của nó để đưa ra. Điều này là cho một vpn với 1 khách hàng được bắc cầu. Bạn có thể cần thay đổi điều này nhưng có lẽ sẽ không

Thiết lập cấu hình trên máy chủ của khách hàng của bạn

client
dev tap0
proto udp
remote 158.69.1.18 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ns-cert-type server
comp-lzo
verb 3
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client1.crt
key /etc/openvpn/client1.key  # This file should be kept

Bắt đầu máy chủ và máy khách.

Tạo một cây cầu trên máy chủ ovh của bạn

brctl addbr br0
brctl addif br0 tap0
brctl addif br0 eth0 (main ethernet interface)

Thêm một ip vào thiết bị và cầu nối của bạn

ip addr add 18.8.0.1 dev tap0
ip addr add 10.8.0.2 dev br0
route add -net 10.8.0.0/24 dev br0

Nếu ip chính của bạn không nằm trong mạng con phân bổ ip của bạn, hãy thêm một ip từ mạng con đó vào cầu nối của bạn. Nếu nó là, bỏ qua điều này.

ip addr add 192.99.1.208 dev br0

Thêm một ip vào giao diện tap0 của bạn trên máy khách vpn

ip addr add 10.8.0.6 dev tap0

Thêm ip OVH của bạn vào giao diện nhấn trên máy khách vpn

ip addr add 192.99.1.210 dev tap0

Thêm một cổng mặc định vào tap0

route add default gw 192.99.1.208 dev tap0

Đăng nhập vào OVH hoặc SYS và đi đến nơi bạn quản lý địa chỉ IP của mình, chọn một ip và tạo mac ảo cho nó sau đó đợi mac xuất hiện và đặt địa chỉ mac đó làm mac của giao diện tap0 trên máy khách vpn của bạn.

ifconfig tap0 hw ether 02:00:00:xx:yy:zz

Bây giờ ip OVH của bạn sẽ hoạt động trên máy khách vpn của bạn.