Tham gia Đăng nhập
Điểm:0
avatar Server

Cách chia sẻ truy cập mạng VPN

lá cờ us
Roman

tôi có thiết lập này với hai mạng LAN và cơ sở hạ tầng OpenVPN. Tôi cần chia sẻ kết nối OpenVPN được đính kèm với máy chủ Proxmox (10.8.0.12) với các máy ảo Proxmox (192.168.0,1,2,3,...).

Tôi đã cố gắng sử dụng linux bridge trên Proxmox:

iface vmbr2 inet tĩnh
        địa chỉ 10.8.1.12/24
        cổng cầu không có
        tắt cầu nối
        cầu-fd 0
        hậu kỳ echo 1 > /proc/sys/net/ipv4/ip_forward
        post-up iptables -t nat -A POSTROUTING -s '10.8.1.0/24' -o tun0 -j MASQUERADE
        post-down iptables -t nat -D POSTROUTING -s '10.8.1.0/24' -o tun0 -j MASQUERADE

cùng với các tuyến tĩnh thủ công trên máy ảo - nhưng nó không hoạt động. Mặt khác, thiết lập khá giống nhau (sử dụng iptables NAT trên vmbr1) để chia sẻ internet với máy ảo Proxmox đang hoạt động chính xác.

Bạn có thể vui lòng chỉ cho tôi đi đúng hướng? Có ai đã cố gắng thiết lập một chia sẻ như vậy?

Dữ liệu:

Máy chủ Proxmox:

ip --brief a
lo CHƯA BIẾT 127.0.0.1/8 ::1/128
eno1 LÊN
eno2 XUỐNG
tun0 CHƯA BIẾT 10.8.0.12/24 
vmbr0 LÊN pu.bl.ic.ip/31 
vmbr1 UP 192.168.1.1/24 # cầu chia sẻ internet ( nó hoạt động )
vmbr2 UP 10.8.1.12/24 # Tôi đã tạo nó để tạo mạng NAT --> OpenVPN ( tun0 iface )
tap104i0 CHƯA BIẾT
tap104i1 CHƯA BIẾT
#--------------------------------------------- ----------------------------------------

ip r
mặc định qua pu.bl.ic.ip dev vmbr0 proto kernel onlink
10.8.0.0/24 qua 10.8.0.1 dev tun0 # Tuyến OpenVPN
10.8.1.0/24 dev vmbr2 liên kết phạm vi kernel proto src 10.8.1.12
192.168.1.0/24 dev vmbr1 liên kết phạm vi kernel proto src 192.168.1.1
#--------------------------------------------- ----------------------------------------

iptables-save


* nguyên
:CHẤP NHẬN TRƯỚC [555262:374327004]
:CHẤP NHẬN ĐẦU RA [453390:357667405]
LÀM


*lọc
:CHẤP NHẬN ĐẦU VÀO [3284:179456]
: CHẤP NHẬN VỀ PHÍA TRƯỚC [1275:103329]
:CHẤP NHẬN ĐẦU RA [911:61638]
:PVEFW-Thả - [0:0]
:PVEFW-DropBroadcast - [0:0]
:PVEFW-TIẾN PHÍA TRƯỚC - [0:0]
:PVEFW-FWBR-IN - [0:0]
:PVEFW-FWBR-OUT - [0:0]
:PVEFW-HOST-IN - [0:0]
:PVEFW-HOST-OUT - [0:0]
:PVEFW-INPUT - [0:0]
:PVEFW-OUTPUT - [0:0]
:PVEFW-Từ chối - [0:0]
:PVEFW-SET-CHẤP NHẬN-MARK - [0:0]
:PVEFW-logflags - [0:0]
:PVEFW-từ chối - [0:0]
:PVEFW-smurflog - [0:0]
:PVEFW-smurfs - [0:0]
:PVEFW-tcpflags - [0:0]
-A INPUT -j PVEFW-INPUT
-A VỀ PHÍA TRƯỚC -j PVEFW-TIẾP TỤC
-A ĐẦU RA -j PVEFW-OUTPUT
-A PVEFW-Drop -p tcp -m tcp --dport 43 -j PVEFW-reject
-A PVEFW-Drop -j PVEFW-DropBroadcast
-A PVEFW-Drop -p icmp -m icmp --icmp-type 3/4 -j CHẤP NHẬN
-A PVEFW-Drop -p icmp -m icmp --icmp-type 11 -j CHẤP NHẬN
-A PVEFW-Drop -m conntrack --ctstate INVALID -j DROP
-A PVEFW-Drop -p udp -m multiport --dports 135,445 -j DROP
-A PVEFW-Drop -p udp -m udp --dport 137:139 -j DROP
-A PVEFW-Drop -p udp -m udp --sport 137 --dport 1024:65535 -j DROP
-A PVEFW-Drop -p tcp -m multiport --dports 135,139,445 -j DROP
-A PVEFW-Thả -p udp -m udp --dport 1900 -j DROP
-A PVEFW-Thả -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A PVEFW-Drop -p udp -m udp --sport 53 -j DROP
-A PVEFW-Drop -m comment --comment "PVESIG:WDy2wbFe7jNYEyoO3QhUELZ4mIQ"
-A PVEFW-DropBroadcast -m addrtype --dst-type BROADCAST -j DROP
-A PVEFW-DropBroadcast -m addrtype --dst-type MULTICAST -j DROP
-A PVEFW-DropBroadcast -m addrtype --dst-type ANYCAST -j DROP
-A PVEFW-DropBroadcast -d 224.0.0.0/4 -j DROP
-A PVEFW-DropBroadcast -m bình luận --bình luận "PVESIG:NyjHNAtFbkH7WGLamPpdVnxHy4w"
-A PVEFW-FORWARD -m conntrack --ctstate INVALID -j DROP
-A PVEFW-FORWARD -m conntrack --ctstate LIÊN QUAN, THÀNH LẬP -j CHẤP NHẬN
-A PVEFW-FORWARD -m physdev --physdev-in fwln+ --physdev-is-bridged -j PVEFW-FWBR-IN
-A PVEFW-FORWARD -m physdev --physdev-out fwln+ --physdev-is-bridged -j PVEFW-FWBR-OUT
-A PVEFW-FORWARD -m comment --comment "PVESIG:qnNexOcGa+y+jebd4dAUqFSp5nw"
-A PVEFW-FWBR-IN -m conntrack --ctstate INVALID,NEW -j PVEFW-smurfs
-A PVEFW-FWBR-IN -m comment --comment "PVESIG:Ijl7/xz0DD7LF91MlLCz0ybZBE0"
-A PVEFW-FWBR-OUT -m comment --comment "PVESIG:2jmj7l5rSw0yVb/vlWAYkK/YBwk"
-A PVEFW-HOST-IN -i lo -j CHẤP NHẬN
-A PVEFW-HOST-IN -m conntrack --ctstate INVALID -j DROP
-A PVEFW-HOST-IN -m conntrack --ctstate LIÊN QUAN, THÀNH LẬP -j CHẤP NHẬN
-A PVEFW-HOST-IN -m conntrack --ctstate INVALID,NEW -j PVEFW-smurfs
-A PVEFW-HOST-IN -p igmp -j RETURN
-A PVEFW-HOST-IN -i tun0 -p tcp -m tcp --dport 8006 -j RETURN
-A PVEFW-HOST-IN -i tun0 -p tcp -m tcp --dport 1976 -j RETURN
-A PVEFW-HOST-IN -p tcp -m set --match-set PVEFW-0-manager-v4 src -m tcp --dport 8006 -j RETURN
-A PVEFW-HOST-IN -p tcp -m set --match-set PVEFW-0-manager-v4 src -m tcp --dport 5900:5999 -j RETURN
-A PVEFW-HOST-IN -p tcp -m set --match-set PVEFW-0-manager-v4 src -m tcp --dport 3128 -j RETURN
-A PVEFW-HOST-IN -p tcp -m set --match-set PVEFW-0-manager-v4 src -m tcp --dport 22 -j RETURN
-A PVEFW-HOST-IN -p tcp -m set --match-set PVEFW-0-manager-v4 src -m tcp --dport 60000:60050 -j RETURN
-A PVEFW-HOST-IN -j PVEFW-Thả
-A PVEFW-HOST-IN -j DROP
-A PVEFW-HOST-IN -m comment --comment "PVESIG:ViyFkNMCk/yw1BHHyqmUbyOtAzs"
-A PVEFW-HOST-OUT -o lo -j CHẤP NHẬN
-A PVEFW-HOST-OUT -m conntrack --ctstate INVALID -j DROP
-A PVEFW-HOST-OUT -m conntrack --ctstate LIÊN QUAN, THÀNH LẬP -j CHẤP NHẬN
-A PVEFW-HOST-OUT -p igmp -j RETURN
-A PVEFW-HOST-OUT -d pu.bl.ic.ip/31 -p tcp -m tcp --dport 8006 -j RETURN
-A PVEFW-HOST-OUT -d pu.bl.ic.ip/31 -p tcp -m tcp --dport 22 -j RETURN
-A PVEFW-HOST-OUT -d pu.bl.ic.ip/31 -p tcp -m tcp --dport 5900:5999 -j RETURN
-A PVEFW-HOST-OUT -d pu.bl.ic.ip/31 -p tcp -m tcp --dport 3128 -j RETURN
-A PVEFW-HOST-OUT -j TRỞ LẠI
-A PVEFW-HOST-OUT -m bình luận --bình luận "PVESIG:vW12F8KvRxI4X2sYVlSVEYYgIjM"
-A PVEFW-INPUT -j PVEFW-HOST-IN
-A PVEFW-INPUT -m comment --comment "PVESIG:+5iMmLaxKXynOB/+5xibfx7WhFk"
-A PVEFW-OUTPUT -j PVEFW-HOST-OUT
-A PVEFW-OUTPUT -m bình luận --bình luận "PVESIG:LjHoZeSSiWAG3+2ZAyL/xuEehd0"
-A PVEFW-Từ chối -p tcp -m tcp --dport 43 -j PVEFW-từ chối
-A PVEFW-Từ chối -j PVEFW-DropBroadcast
-A PVEFW-Từ chối -p icmp -m icmp --icmp-type 3/4 -j CHẤP NHẬN
-A PVEFW-Từ chối -p icmp -m icmp --icmp-type 11 -j CHẤP NHẬN
-A PVEFW-Reject -m conntrack --ctstate INVALID -j DROP
-A PVEFW-Reject -p udp -m multiport --dports 135,445 -j PVEFW-reject
-A PVEFW-Từ chối -p udp -m udp --dport 137:139 -j PVEFW-từ chối
-A PVEFW-Từ chối -p udp -m udp --sport 137 --dport 1024:65535 -j PVEFW-từ chối
-A PVEFW-Từ chối -p tcp -m multiport --dports 135,139,445 -j PVEFW-reject
-A PVEFW-Từ chối -p udp -m udp --dport 1900 -j DROP
-A PVEFW-Từ chối -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A PVEFW-Từ chối -p udp -m udp --sport 53 -j DROP
-A PVEFW-Từ chối -m bình luận --bình luận "PVESIG:CZJnIN6rAdpu+ej59QPr9+laMUo"
-A PVEFW-SET-ACCEPT-MARK -j MARK --set-xmark 0x80000000/0x80000000
-A PVEFW-SET-ACCEPT-MARK -m comment --comment "PVESIG:Hg/OIgIwJChBUcWU8Xnjhdd2jUY"
-A PVEFW-logflags -j DROP
-A PVEFW-logflags -m comment --comment "PVESIG:MN4PH1oPZeABMuWr64RrygPfW7A"
-A PVEFW-reject -m addrtype --dst-type BROADCAST -j DROP
-A PVEFW-từ chối -s 224.0.0.0/4 -j DROP
-A PVEFW-từ chối -p icmp -j DROP
-A PVEFW-reject -p tcp -j REJECT --reject-with tcp-reset
-A PVEFW-reject -p udp -j REJECT --reject-with icmp-port-unreachable
-A PVEFW-reject -p icmp -j REJECT --reject-with icmp-host-unreachable
-A PVEFW-từ chối -j TỪ CHỐI --từ chối-với icmp-host-bị cấm
-A PVEFW-reject -m comment --comment "PVESIG:Jlkrtle1mDdtxDeI9QaDSL++Npc"
-A PVEFW-smurflog -j DROP
-A PVEFW-smurflog -m comment --comment "PVESIG:2gfT1VMkfr0JL6OccRXTGXo+1qk"
-A PVEFW-smurfs -s 0.0.0.0/32 -j TRẢ LẠI
-A PVEFW-smurfs -m addrtype --src-type BROADCAST -g PVEFW-smurflog
-A PVEFW-smurfs -s 224.0.0.0/4 -g PVEFW-smurflog
-A PVEFW-smurfs -m comment --comment "PVESIG:HssVe5QCBXd5mc9kC88749+7fag"
-A PVEFW-tcpflags -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -g PVEFW-logflags
-A PVEFW-tcpflags -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -g PVEFW-logflags
-A PVEFW-tcpflags -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -g PVEFW-logflags
-A PVEFW-tcpflags -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -g PVEFW-logflags
-A PVEFW-tcpflags -p tcp -m tcp --sport 0 --tcp-flags FIN,SYN,RST,ACK SYN -g PVEFW-logflags
-A PVEFW-tcpflags -m comment --comment "PVESIG:CMFojwNPqllyqD67NeI5m+bP5mo"
LÀM
# Hoàn thành vào T3 26/10 12:21:12 2021
# Được tạo bởi iptables-save v1.8.7 vào Thứ Ba ngày 26 tháng 10 12:21:12 


* tự nhiên
:CHẤP NHẬN TRƯỚC [1409:85920]
:CHẤP NHẬN ĐẦU VÀO [984:53816]
:CHẤP NHẬN ĐẦU RA [459:29557]
:CHẤP NHẬN SAU ĐÓ [461:29725]
-A PREROUTING -d 10.8.0.12/32 -i vmbr2 -p tcp -j DNAT --to-destination 10.8.0.3
-A PREROUTING -d 10.8.0.3/32 -i vmbr2 -p tcp -j DNAT --to-destination 10.8.1.104
-A POSTROUTING -s 192.168.1.0/24 -o vmbr0 -j MASQUERADE
LÀM
Hoàn thành vào Thứ ba ngày 26 tháng 10 12:21:12 2021

Máy ảo Proxmox:


ip --brief a
lo CHƯA BIẾT 127.0.0.1/8 
ens18 LÊN 192.168.1.104/24
vis19 LÊN 10.8.1.104/24 



ip r
mặc định qua 192.168.1.1 dev ens18 proto tĩnh
10.8.1.0/24 dev ens19 liên kết phạm vi kernel proto src 10.8.1.104
192.168.1.0/24 dev ens18 liên kết phạm vi kernel proto src 192.168.1.104
48
0 + 0
Nikita Kipriyanov avatar
lá cờ za
Nikita Kipriyanov
Tất cả các tuyến đường được đặt ra? Vui lòng hiển thị `ip addr` (bạn có thể ẩn các giao diện vm tham gia vào cầu nối và không có địa chỉ), `ip route`, `iptables-save` của hệ thống đang chạy khi nó được cho là hoạt động, nhưng nó không hoạt động.
0
Hồi đáp
lá cờ us
Roman
@NikitaKipriyanov, tôi đã bổ sung câu hỏi ban đầu của mình với các chi tiết mà bạn đã hỏi tôi. Bạn có thể vui lòng xem nếu điều đó làm rõ cho bạn thiết lập của tôi không?
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.