Tôi đang thiết lập một máy chủ mới tại một trang web mới. Máy chủ được đặt phía sau bộ định tuyến/tường lửa. Máy chủ sẽ chạy một số bộ chứa LXC cho các dịch vụ khác nhau. Các thùng chứa LXC được kết nối với một cây cầu brlxc. Ngoài ra, máy chủ còn kết nối với một trang web khác bằng OpenVPN trong một vùng chứa LXC khác được kết nối với NIC của máy chủ. Do các vấn đề với thiết lập cũ, mục đích là đưa chức năng định tuyến và tường lửa vào bộ định tuyến chuyên dụng bên ngoài.
Chúng tôi kết thúc với một cái gì đó như thế này:
Bộ định tuyến: 10.1.1.1
Máy chủ: 10.1.1.2
OpenVPN: 10.1.2.2 (được kết nối với 10.1.1.2 NIC và được kết nối với bộ định tuyến)
brlxc: 10.1.3.1 (trên máy chủ)
Vùng chứa: 10.1.3.2 (trên brlxc)
Trang web mở rộng: 10.2.0.0/16 (thông qua 10.1.2.2)
Về mặt vật lý, hộp bộ định tuyến được kết nối bằng một cáp duy nhất với Máy chủ.
Máy chủ và máy khách OpenVPN nhận 10.1.1.1 làm tuyến mặc định; vùng chứa 10.1.3.1 trên máy chủ. Bộ định tuyến, 10.1.1.1, có một tuyến để gửi 10.2.0.0/16 qua 10.1.2.2, một tuyến để gửi 10.1.3.0/24 qua 10.1.1.2 và hiện có 10.1.0.0/16 dưới dạng LAN.
Điều khó hiểu đầu tiên tôi nhận thấy là tôi cần 10.2.0.0/16 đến 10.1.2.2 làm tuyến tĩnh trên Máy chủ. Nếu không, bộ định tuyến sẽ gửi chuyển hướng ICMP và kết nối bị hỏng.
Sau khi thêm bộ chứa LXC đầu tiên, tôi cần thêm 10.1.3.0/24 qua 10.1.1.2 vào ứng dụng khách OpenVPN.
Mặc dù thực sự không khó để thiết lập tất cả các tuyến này và cuối cùng xác định ngay cả các quy tắc tường lửa trên máy chủ, nhưng điều này không đáp ứng mục tiêu thiết kế của tôi là có bộ định tuyến để định tuyến và tường lửa cũng như máy chủ để chạy các dịch vụ.
Tôi đoán có một cách tốt hơn để làm điều đó và tôi dường như bỏ lỡ một số điều cần thiết. Tôi đánh giá cao một số hướng dẫn với điều này.
