Регистрация Войти
Рейтинг:0
avatar Server

Как поделиться доступом к сети VPN

флаг us
Roman

у меня есть эта установка с двумя локальными сетями и инфраструктурой OpenVPN. Мне нужно разделить соединение OpenVPN, подключенное к серверу Proxmox (10.8.0.12), с виртуальными машинами Proxmox (192.168.0,1,2,3,...).

Я пытался использовать linux bridge на Proxmox:

iface vmbr2 инет статический
        адрес 10.8.1.12/24
        мостовые порты
        мост-стп выкл.
        мост-fd 0
        последующее эхо 1 > /proc/sys/net/ipv4/ip_forward
        post-up iptables -t nat -A POSTROUTING -s '10.8.1.0/24' -o tun0 -j MASQUERADE
        post-down iptables -t nat -D POSTROUTING -s '10.8.1.0/24' -o tun0 -j MASQUERADE

вместе с ручными статическими маршрутами на виртуальных машинах - но это не сработало. С другой стороны, довольно похожая настройка (с использованием iptables NAT на vmbr1) для совместного использования Интернета с виртуальными машинами Proxmox работает правильно.

Не могли бы вы указать мне правильное направление? Кто-нибудь пробовал настроить такой обмен?

Данные:

Проксмокс-сервер:

ip --кратко
lo НЕИЗВЕСТНО 127.0.0.1/8 ::1/128
eno1 UP
eno2 ВНИЗ
tun0 НЕИЗВЕСТНО 10.8.0.12/24 
vmbr0 UP pu.bl.ic.ip/31 
vmbr1 UP 192.168.1.1/24 # мост для раздачи интернета (работает)
vmbr2 UP 10.8.1.12/24 # Я сделал это, чтобы сделать NAT --> сеть OpenVPN ( tun0 iface )
tap104i0 НЕИЗВЕСТНО
tap104i1 НЕИЗВЕСТНО
#--------------------------------------------- ----------------------------------------

ip р
по умолчанию через pu.bl.ic.ip dev vmbr0 proto kernel onlink
10.8.0.0/24 через 10.8.0.1 dev tun0 # маршрут OpenVPN
10.8.1.0/24 dev vmbr2 прото-область ядра ссылка src 10.8.1.12
192.168.1.0/24 dev vmbr1 ссылка на область ядра proto src 192.168.1.1
#--------------------------------------------- ----------------------------------------

iptables-сохранить


*сырой
: ПРЕДВАРИТЕЛЬНОЕ ПРИНЯТИЕ [555262:374327004]
: ВЫВОД ПРИНЯТ [453390:357667405]
СОВЕРШИТЬ


*фильтр
:ВВОД ПРИНЯТЬ [3284:179456]
:ВПЕРЕД ПРИНЯТЬ [1275:103329]
: ВЫВОД ПРИНЯТ [911:61638]
:PVEFW-Drop - [0:0]
:PVEFW-DropBroadcast - [0:0]
:PVEFW-ВПЕРЕД - [0:0]
:PVEFW-FWBR-IN - [0:0]
:PVEFW-FWBR-ВЫХОД - [0:0]
:PVEFW-HOST-IN - [0:0]
:PVEFW-HOST-OUT - [0:0]
:PVEFW-ВХОД - [0:0]
:PVEFW-ВЫВОД - [0:0]
:PVEFW-Отклонить - [0:0]
:PVEFW-SET-ACCEPT-MARK - [0:0]
:PVEFW-logflags - [0:0]
:PVEFW-отклонить - [0:0]
:PVEFW-smurflog - [0:0]
:PVEFW-smurfs - [0:0]
:PVEFW-tcpflags - [0:0]
-A ВХОД -j PVEFW-ВХОД
-A ВПЕРЕД -j PVEFW-ВПЕРЕД
-A ВЫХОД -j PVEFW-ВЫХОД
-A PVEFW-Drop -p tcp -m tcp --dport 43 -j PVEFW-reject
-A PVEFW-Drop -j PVEFW-DropBroadcast
-A PVEFW-Drop -p icmp -m icmp --icmp-type 3/4 -j ПРИНЯТЬ
-A PVEFW-Drop -p icmp -m icmp --icmp-type 11 -j ПРИНЯТЬ
-A PVEFW-Drop -m conntrack --ctstate INVALID -j DROP
-A PVEFW-Drop -p udp -m многопортовый --dports 135 445 -j DROP
-A PVEFW-Drop -p udp -m udp --dport 137:139 -j DROP
-A PVEFW-Drop -p udp -m udp --sport 137 --dport 1024:65535 -j DROP
-A PVEFW-Drop -p tcp -m многопортовый --dports 135 139 445 -j DROP
-A PVEFW-Drop -p udp -m udp --dport 1900 -j DROP
-A PVEFW-Drop -p TCP -m TCP ! --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A PVEFW-Drop -p udp -m udp --sport 53 -j DROP
-A PVEFW-Drop -m comment --comment "PVESIG:WDy2wbFe7jNYEyoO3QhUELZ4mIQ"
-A PVEFW-DropBroadcast -m addrtype --dst-type BROADCAST -j DROP
-A PVEFW-DropBroadcast -m тип_адреса --dst-type МНОГОКАСТОВЫЙ -j DROP
-A PVEFW-DropBroadcast -m addrtype --dst-type ANYCAST -j DROP
-A PVEFW-DropBroadcast -d 224.0.0.0/4 -j DROP
-A PVEFW-DropBroadcast -m comment --comment "PVESIG:NyjHNAtFbkH7WGLamPpdVnxHy4w"
-A PVEFW-FORWARD -m conntrack --ctstate INVALID -j DROP
-A PVEFW-FORWARD -m conntrack --ctstate СВЯЗАННО, УСТАНОВЛЕНО -j ПРИНЯТЬ
-A PVEFW-FORWARD -m physdev --physdev-in fwln+ --physdev-is-bridged -j PVEFW-FWBR-IN
-A PVEFW-FORWARD -m physdev --physdev-out fwln+ --physdev-is-bridged -j PVEFW-FWBR-OUT
-A PVEFW-FORWARD -m комментарий --comment "PVESIG:qnNexOcGa+y+jebd4dAUqFSp5nw"
-A PVEFW-FWBR-IN -m conntrack --ctstate INVALID,NEW -j PVEFW-smurfs
-A PVEFW-FWBR-IN -m комментарий --comment "PVESIG:Ijl7/xz0DD7LF91MlLCz0ybZBE0"
-A PVEFW-FWBR-OUT -m комментарий --comment "PVESIG:2jmj7l5rSw0yVb/vlWAYkK/YBwk"
-A PVEFW-HOST-IN -i lo -j ПРИНЯТЬ
-A PVEFW-HOST-IN -m conntrack --ctstate INVALID -j DROP
-A PVEFW-HOST-IN -m conntrack --ctstate СВЯЗАННО,УСТАНОВЛЕНО -j ПРИНЯТЬ
-A PVEFW-HOST-IN -m conntrack --ctstate INVALID,NEW -j PVEFW-smurfs
-A PVEFW-HOST-IN -p igmp -j ВОЗВРАТ
-A PVEFW-HOST-IN -i tun0 -p tcp -m tcp --dport 8006 -j ВОЗВРАТ
-A PVEFW-HOST-IN -i tun0 -p tcp -m tcp --dport 1976 -j ВОЗВРАТ
-A PVEFW-HOST-IN -p tcp -m set --match-set PVEFW-0-management-v4 src -m tcp --dport 8006 -j ВОЗВРАТ
-A PVEFW-HOST-IN -p tcp -m set --match-set PVEFW-0-management-v4 src -m tcp --dport 5900:5999 -j ВОЗВРАТ
-A PVEFW-HOST-IN -p tcp -m set --match-set PVEFW-0-management-v4 src -m tcp --dport 3128 -j RETURN
-A PVEFW-HOST-IN -p tcp -m set --match-set PVEFW-0-management-v4 src -m tcp --dport 22 -j RETURN
-A PVEFW-HOST-IN -p tcp -m set --match-set PVEFW-0-management-v4 src -m tcp --dport 60000:60050 -j ВОЗВРАТ
-A PVEFW-HOST-IN -j PVEFW-Drop
-A PVEFW-HOST-IN -j DROP
-A PVEFW-HOST-IN -m comment --comment "PVESIG:ViyFkNMCk/yw1BHHyqmUbyOtAzs"
-A PVEFW-HOST-OUT -o lo -j ПРИНЯТЬ
-A PVEFW-HOST-OUT -m conntrack --ctstate INVALID -j DROP
-A PVEFW-HOST-OUT -m conntrack --ctstate СВЯЗАННО,УСТАНОВЛЕНО -j ПРИНЯТЬ
-A PVEFW-HOST-OUT -p igmp -j ВОЗВРАТ
-A PVEFW-HOST-OUT -d pu.bl.ic.ip/31 -p tcp -m tcp --dport 8006 -j ВОЗВРАТ
-A PVEFW-HOST-OUT -d pu.bl.ic.ip/31 -p tcp -m tcp --dport 22 -j ВОЗВРАТ
-A PVEFW-HOST-OUT -d pu.bl.ic.ip/31 -p tcp -m tcp --dport 5900:5999 -j ВОЗВРАТ
-A PVEFW-HOST-OUT -d pu.bl.ic.ip/31 -p tcp -m tcp --dport 3128 -j ВОЗВРАТ
-A PVEFW-HOST-OUT -j ВОЗВРАТ
-A PVEFW-HOST-OUT -m comment --comment "PVESIG:vW12F8KvRxI4X2sYVlSVEYYgIjM"
-A PVEFW-INPUT -j PVEFW-HOST-IN
-A PVEFW-INPUT -m comment --comment "PVESIG:+5iMmLaxKXynOB/+5xibfx7WhFk"
-A PVEFW-ВЫХОД -j PVEFW-ХОСТ-ВЫХОД
-A PVEFW-OUTPUT -m комментарий --comment "PVESIG:LjHoZeSSiWAG3+2ZAyL/xuEehd0"
-A PVEFW-Reject -p tcp -m tcp --dport 43 -j PVEFW-reject
-A PVEFW-Reject -j PVEFW-DropBroadcast
-A PVEFW-Reject -p icmp -m icmp --icmp-type 3/4 -j ПРИНЯТЬ
-A PVEFW-Reject -p icmp -m icmp --icmp-type 11 -j ПРИНЯТЬ
-A PVEFW-Reject -m conntrack --ctstate INVALID -j DROP
-A PVEFW-Reject -p udp -m многопортовый --dports 135 445 -j PVEFW-reject
-A PVEFW-Reject -p udp -m udp --dport 137:139 -j PVEFW-reject
-A PVEFW-Reject -p udp -m udp --sport 137 --dport 1024:65535 -j PVEFW-reject
-A PVEFW-Reject -p tcp -m multiport --dports 135,139,445 -j PVEFW-reject
-A PVEFW-Reject -p udp -m udp --dport 1900 -j DROP
-A PVEFW-Reject -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A PVEFW-Reject -p udp -m udp --sport 53 -j DROP
-A PVEFW-Reject -m comment --comment "PVESIG:CZJnIN6rAdpu+ej59QPr9+laMUo"
-A PVEFW-SET-ACCEPT-MARK -j MARK --set-xmark 0x80000000/0x80000000
-A PVEFW-SET-ACCEPT-MARK -m comment --comment "PVESIG:Hg/OIgIwJChBUcWU8Xnjhdd2jUY"
-A PVEFW-logflags -j DROP
-A PVEFW-logflags -m comment --comment "PVESIG:MN4PH1oPZeABMuWr64RrygPfW7A"
-A PVEFW-reject -m тип_адреса --dst-type РАССЫЛКА -j DROP
-A PVEFW-reject -s 224.0.0.0/4 -j DROP
-A PVEFW-reject -p icmp -j DROP
-A PVEFW-reject -p tcp -j REJECT --reject-with-tcp-reset
-A PVEFW-reject -p udp -j REJECT --reject-with-icmp-port-unreachable
-A PVEFW-reject -p icmp -j REJECT --reject-with-icmp-host-unreachable
-A PVEFW-reject -j REJECT --reject-with-icmp-host-prohibited
-A PVEFW-reject -m comment --comment "PVESIG:Jlkrtle1mDdtxDeI9QaDSL++Npc"
-A PVEFW-smurflog -j DROP
-A PVEFW-smurflog -m comment --comment "PVESIG:2gfT1VMkfr0JL6OccRXTGXo+1qk"
-A PVEFW-smurfs -s 0.0.0.0/32 -j ВОЗВРАТ
-A PVEFW-smurfs -m addrtype --src-type BROADCAST -g PVEFW-smurflog
-A PVEFW-smurfs -s 224.0.0.0/4 -g PVEFW-smurflog
-A PVEFW-smurfs -m comment --comment "PVESIG:HssVe5QCBXd5mc9kC88749+7fag"
-A PVEFW-tcpflags -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -g PVEFW-logflags
-A PVEFW-tcpflags -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG НЕТ -g PVEFW-logflags
-A PVEFW-tcpflags -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -g PVEFW-logflags
-A PVEFW-tcpflags -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -g PVEFW-logflags
-A PVEFW-tcpflags -p tcp -m tcp --sport 0 --tcp-flags FIN,SYN,RST,ACK SYN -g PVEFW-logflags
-A PVEFW-tcpflags -m comment --comment "PVESIG:CMFojwNPqllyqD67NeI5m+bP5mo"
СОВЕРШИТЬ
# Завершено Вт, 26 октября, 12:21:12 2021 г.
# Сгенерировано iptables-save v1.8.7, Вт, 26 октября, 12:21:12 


*натуральный
: ПРЕДВАРИТЕЛЬНОЕ ПРИНЯТИЕ [1409:85920]
:ВВОД ПРИНЯТЬ [984:53816]
: ВЫВОД ПРИНЯТ [459:29557]
:ОТПРАВКА ПРИНЯТИЯ [461:29725]
-A PREROUTING -d 10.8.0.12/32 -i vmbr2 -p tcp -j DNAT --к месту назначения 10.8.0.3
-A PREROUTING -d 10.8.0.3/32 -i vmbr2 -p tcp -j DNAT --к месту назначения 10.8.1.104
-A РАЗМЕЩЕНИЕ -s 192.168.1.0/24 -o vmbr0 -j МАСКАРАД
СОВЕРШИТЬ
Завершено Вт 26 окт 12:21:12 2021

Проксмокс ВМ:


ip --кратко
ло НЕИЗВЕСТНО 127.0.0.1/8 
ens18 УП 192.168.1.104/24
ens19 УП 10.8.1.104/24 



ip р
по умолчанию через 192.168.1.1 dev ens18 proto static
10.8.1.0/24 dev ens19 ссылка на область действия ядра src 10.8.1.104
192.168.1.0/24 dev ens18 ссылка на область ядра proto src 192.168.1.104
48
0 + 0
Nikita Kipriyanov avatar
флаг za
Nikita Kipriyanov
Все маршруты на месте? Пожалуйста, покажите ip addr (можно скрыть vm интерфейсы, участвующие в бридже и не имеющие адресов), ip route, iptables-save работающей системы, когда она должна работать, но не работает.
0
Ответить
флаг us
Roman
@NikitaKipriyanov, я дополнил свой первоначальный вопрос деталями, которые вы мне задали. Не могли бы вы взглянуть, если это прояснит вам мою настройку?
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.