înregistrare Logare
Puncte:0
avatar Server

Cum să partajați accesul la rețea VPN

drapel us
Roman

am avut această configurație cu două LAN și OpenVPN infra. Trebuie să partajez conexiunea OpenVPN atașată la serverul Proxmox (10.8.0.12) la mașinile virtuale Proxmox (192.168.0,1,2,3,...).

Am încercat să folosesc linux bridge pe Proxmox:

iface vmbr2 inet static
        adresa 10.8.1.12/24
        bridge-ports niciunul
        bridge-stp off
        punte-fd 0
        post-up echo 1 > /proc/sys/net/ipv4/ip_forward
        post-up iptables -t nat -A POSTROUTING -s '10.8.1.0/24' -o tun0 -j MASQUERADE
        post-down iptables -t nat -D POSTROUTING -s '10.8.1.0/24' -o tun0 -j MASQUERADE

împreună cu rutele statice manuale pe VM - dar nu a funcționat. Pe de altă parte, o configurație destul de similară (folosind iptables NAT pe vmbr1) pentru partajarea internetului la VM-urile Proxmox funcționează corect.

Ați putea vă rog să mă îndreptați în direcția corectă? A încercat cineva să configureze o astfel de partajare?

Datele:

Server Proxmox:

ip --scurtă a
lo NECUNOSCUT 127.0.0.1/8 ::1/128
eno1 SUS
eno2 JOS
tun0 NECUNOSCUT 10.8.0.12/24 
vmbr0 UP pu.bl.ic.ip/31 
vmbr1 UP 192.168.1.1/24 # puntea pentru partajarea internetului (funcționează)
vmbr2 UP 10.8.1.12/24 # Am făcut-o pentru a face o rețea NAT --> OpenVPN (tun0 iface)
tap104i0 NECUNOSCUT
tap104i1 NECUNOSCUT
#--------------------------------------------- ----------------------------------------

ip r
implicit prin pu.bl.ic.ip dev vmbr0 proto kernel onlink
10.8.0.0/24 prin 10.8.0.1 dev tun0 # ruta OpenVPN
10.8.1.0/24 dev vmbr2 proto kernel scope link src 10.8.1.12
192.168.1.0/24 dev vmbr1 proto kernel scope link src 192.168.1.1
#--------------------------------------------- ----------------------------------------

iptables-salvare


*brut
:ACCEPTAREA PRE-ROUTARE [555262:374327004]
: ACCEPT IEȘIRE [453390:357667405]
COMMIT


*filtru
:INPUT ACCEPT [3284:179456]
: FORWARD ACCEPT [1275:103329]
: ACCEPT IEȘIRE [911:61638]
:PVEFW-Drop - [0:0]
:PVEFW-DropBroadcast - [0:0]
:PVEFW-FOWARD - [0:0]
:PVEFW-FWBR-IN - [0:0]
:PVEFW-FWBR-OUT - [0:0]
:PVEFW-HOST-IN - [0:0]
:PVEFW-HOST-OUT - [0:0]
:PVEFW-INPUT - [0:0]
:PVEFW-OUTPUT - [0:0]
:PVEFW-Reject - [0:0]
:PVEFW-SET-ACCEPT-MARK - [0:0]
:PVEFW-logflags - [0:0]
:PVEFW-reject - [0:0]
:PVEFW-smurflog - [0:0]
:PVEFW-strumfi - [0:0]
:PVEFW-tcpflags - [0:0]
-A INTRARE -j PVEFW-INPUT
-A ÎNTAINTĂ -j PVEFW-ÎNAINTĂ
-A IEȘIRE -j PVEFW-IEȘIRE
-A PVEFW-Drop -p tcp -m tcp --dport 43 -j PVEFW-reject
-A PVEFW-Drop -j PVEFW-DropBroadcast
-A PVEFW-Drop -p icmp -m icmp --icmp-type 3/4 -j ACCEPT
-A PVEFW-Drop -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A PVEFW-Drop -m conntrack --ctstate INVALID -j DROP
-A PVEFW-Drop -p udp -m multiport --dports 135.445 -j DROP
-A PVEFW-Drop -p udp -m udp --dport 137:139 -j DROP
-A PVEFW-Drop -p udp -m udp --sport 137 --dport 1024:65535 -j DROP
-A PVEFW-Drop -p tcp -m multiport --dports 135,139,445 -j DROP
-A PVEFW-Drop -p udp -m udp --dport 1900 -j DROP
-A PVEFW-Drop -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A PVEFW-Drop -p udp -m udp --sport 53 -j DROP
-Un comentariu PVEFW-Drop -m --comentare „PVESIG:WDy2wbFe7jNYEyoO3QhUELZ4mIQ”
-A PVEFW-DropBroadcast -m addrtype --dst-type BROADCAST -j DROP
-A PVEFW-DropBroadcast -m addrtype --dst-type MULTICAST -j DROP
-A PVEFW-DropBroadcast -m addrtype --dst-type ANYCAST -j DROP
-A PVEFW-DropBroadcast -d 224.0.0.0/4 -j DROP
-Un comentariu PVEFW-DropBroadcast -m --comentare „PVESIG:NyjHNAtFbkH7WGLamPpdVnxHy4w”
-A PVEFW-FORWARD -m conntrack --ctstate INVALID -j DROP
-A PVEFW-FORWARD -m conntrack --ctstate RELATED,STABLISHED -j ACCEPT
-A PVEFW-FORWARD -m physdev --physdev-in fwln+ --physdev-is-bridged -j PVEFW-FWBR-IN
-A PVEFW-FORWARD -m physdev --physdev-out fwln+ --physdev-is-bridged -j PVEFW-FWBR-OUT
-Un comentariu PVEFW-FORWARD -m --comentare „PVESIG:qnNexOcGa+y+jebd4dAUqFSp5nw”
-A PVEFW-FWBR-IN -m conntrack --ctstate INVALID,NEW -j PVEFW-strumfi
-A PVEFW-FWBR-IN -m comentariu --comentare „PVESIG:Ijl7/xz0DD7LF91MlLCz0ybZBE0”
-Un comentariu PVEFW-FWBR-OUT -m --comentare „PVESIG:2jmj7l5rSw0yVb/vlWAYkK/YBwk”
-A PVEFW-HOST-IN -i lo -j ACCEPT
-A PVEFW-HOST-IN -m conntrack --ctstate INVALID -j DROP
-A PVEFW-HOST-IN -m conntrack --ctstate RELATED,STABLISHED -j ACCEPT
-A PVEFW-HOST-IN -m conntrack --ctstate INVALID,NEW -j PVEFW-smurfs
-A PVEFW-HOST-IN -p igmp -j RETURN
-A PVEFW-HOST-IN -i tun0 -p tcp -m tcp --dport 8006 -j RETURN
-A PVEFW-HOST-IN -i tun0 -p tcp -m tcp --dport 1976 -j RETURN
-A PVEFW-HOST-IN -p tcp -m set --match-set PVEFW-0-management-v4 src -m tcp --dport 8006 -j RETURN
-A PVEFW-HOST-IN -p tcp -m set --match-set PVEFW-0-management-v4 src -m tcp --dport 5900:5999 -j RETURN
-A PVEFW-HOST-IN -p tcp -m set --match-set PVEFW-0-management-v4 src -m tcp --dport 3128 -j RETURN
-A PVEFW-HOST-IN -p tcp -m set --match-set PVEFW-0-management-v4 src -m tcp --dport 22 -j RETURN
-A PVEFW-HOST-IN -p tcp -m set --match-set PVEFW-0-management-v4 src -m tcp --dport 60000:60050 -j RETURN
-A PVEFW-HOST-IN -j PVEFW-Drop
-A PVEFW-HOST-IN -j DROP
-Un comentariu PVEFW-HOST-IN -m --comentare „PVESIG:ViyFkNMCk/yw1BHHyqmUbyOtAzs”
-A PVEFW-HOST-OUT -o lo -j ACCEPT
-A PVEFW-HOST-OUT -m conntrack --ctstate INVALID -j DROP
-A PVEFW-HOST-OUT -m conntrack --ctstate RELATED,STABLISHED -j ACCEPT
-A PVEFW-HOST-OUT -p igmp -j RETURN
-A PVEFW-HOST-OUT -d pu.bl.ic.ip/31 -p tcp -m tcp --dport 8006 -j RETURN
-A PVEFW-HOST-OUT -d pu.bl.ic.ip/31 -p tcp -m tcp --dport 22 -j RETURN
-A PVEFW-HOST-OUT -d pu.bl.ic.ip/31 -p tcp -m tcp --dport 5900:5999 -j RETURN
-A PVEFW-HOST-OUT -d pu.bl.ic.ip/31 -p tcp -m tcp --dport 3128 -j RETURN
-A PVEFW-HOST-OUT -j RETURNARE
-Un comentariu PVEFW-HOST-OUT -m --comentare „PVESIG:vW12F8KvRxI4X2sYVlSVEYYgIjM”
-A PVEFW-INPUT -j PVEFW-HOST-IN
-Un comentariu PVEFW-INPUT -m --comentare „PVESIG:+5iMmLaxKXynOB/+5xibfx7WhFk”
-A PVEFW-OUTPUT -j PVEFW-HOST-OUT
-Un comentariu PVEFW-OUTPUT -m --comentare „PVESIG:LjHoZeSSiWAG3+2ZAyL/xuEehd0”
-A PVEFW-Reject -p tcp -m tcp --dport 43 -j PVEFW-reject
-A PVEFW-Reject -j PVEFW-DropBroadcast
-A PVEFW-Reject -p icmp -m icmp --icmp-type 3/4 -j ACCEPT
-A PVEFW-Reject -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A PVEFW-Reject -m conntrack --ctstate INVALID -j DROP
-A PVEFW-Reject -p udp -m multiport --dports 135.445 -j PVEFW-reject
-A PVEFW-Reject -p udp -m udp --dport 137:139 -j PVEFW-reject
-A PVEFW-Reject -p udp -m udp --sport 137 --dport 1024:65535 -j PVEFW-reject
-A PVEFW-Reject -p tcp -m multiport --dports 135,139,445 -j PVEFW-reject
-A PVEFW-Reject -p udp -m udp --dport 1900 -j DROP
-A PVEFW-Reject -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A PVEFW-Reject -p udp -m udp --sport 53 -j DROP
-A PVEFW-Reject -m comment --comentare „PVESIG:CZJnIN6rAdpu+ej59QPr9+laMUo”
-A PVEFW-SET-ACCEPT-MARK -j MARK --set-xmark 0x80000000/0x80000000
-A PVEFW-SET-ACCEPT-MARK -m comentariu --comentare „PVESIG:Hg/OIgIwJChBUcWU8Xnjhdd2jUY”
-A PVEFW-logflags -j DROP
-A PVEFW-logflags -m comentariu --comentare „PVESIG:MN4PH1oPZeABMuWr64RrygPfW7A”
-A PVEFW-reject -m addrtype --dst-type BROADCAST -j DROP
-A PVEFW-reject -s 224.0.0.0/4 -j DROP
-A PVEFW-reject -p icmp -j DROP
-A PVEFW-reject -p tcp -j REJECT --reject-with tcp-reset
-A PVEFW-reject -p udp -j REJECT --reject-cu icmp-port-inaccesibil
-A PVEFW-reject -p icmp -j REJECT --reject-cu icmp-gazdă-inaccesibil
-A PVEFW-reject -j REJECT --reject-with icmp-host-prohibited
-Un comentariu PVEFW-reject -m --comentare „PVESIG:Jlkrtle1mDdtxDeI9QaDSL++Npc”
-A PVEFW-smurflog -j DROP
-Un comentariu PVEFW-smurflog -m --comentare „PVESIG:2gfT1VMkfr0JL6OccRXTGXo+1qk”
-A PVEFW-strumfi -s 0.0.0.0/32 -j RETURN
-A PVEFW-smurfs -m addrtype --src-type BROADCAST -g PVEFW-smurflog
-A PVEFW-strumfi -s 224.0.0.0/4 -g PVEFW-strumf
-Un comentariu PVEFW-strumfi -m --comentare „PVESIG:HssVe5QCBXd5mc9kC88749+7fag”
-A PVEFW-tcpflags -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -g PVEFW-logflags
-A PVEFW-tcpflags -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -g PVEFW-logflags
-A PVEFW-tcpflags -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -g PVEFW-logflags
-A PVEFW-tcpflags -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -g PVEFW-logflags
-A PVEFW-tcpflags -p tcp -m tcp --sport 0 --tcp-flags FIN,SYN,RST,ACK SYN -g PVEFW-logflags
-Un comentariu PVEFW-tcpflags -m --comentare „PVESIG:CMFojwNPqllyqD67NeI5m+bP5mo”
COMMIT
# Finalizat marți, 26 octombrie 12:21:12 2021
# Generat de iptables-save v1.8.7 pe Mar 26 Oct 12:21:12 


*nat
:ACCEPTAREA PRE-ROUTARE [1409:85920]
:INPUT ACCEPT [984:53816]
: ACCEPT IEȘIRE [459:29557]
: POSTROUTING ACCEPT [461:29725]
-A PREROUTING -d 10.8.0.12/32 -i vmbr2 -p tcp -j DNAT --to-destination 10.8.0.3
-A PREROUTING -d 10.8.0.3/32 -i vmbr2 -p tcp -j DNAT --to-destination 10.8.1.104
-A POSTROUTING -s 192.168.1.0/24 -o vmbr0 -j MASQUERADE
COMMIT
Finalizat marți, 26 octombrie 12:21:12 2021

Proxmox VM:


ip --scurtă a
lo NECUNOSCUT 127.0.0.1/8 
ens18 UP 192.168.1.104/24
ens19 UP 10.8.1.104/24 



ip r
implicit prin 192.168.1.1 dev ens18 proto static
10.8.1.0/24 dev ens19 proto kernel scope link src 10.8.1.104
192.168.1.0/24 dev ens18 proto kernel scope link src 192.168.1.104
48
0 + 0
pod
Nikita Kipriyanov avatar
drapel za
Nikita Kipriyanov
Toate rutele sunt la locul lor? Vă rugăm să afișați `ip addr` (puteți ascunde interfețele vm care participă la bridge și care nu au adrese), `ip route`, `iptables-save` a sistemului care rulează atunci când ar trebui să funcționeze, dar nu funcționează.
0
Răspunde
drapel us
Roman
@NikitaKipriyanov, am completat întrebarea mea inițială cu detaliile pe care mi le-ați adresat. Ați putea vă rog să aruncați o privire dacă asta vă clarifică configurația mea?
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.