Tham gia Đăng nhập
Điểm:0
avatar Server

Định tuyến tất cả Lưu lượng thông qua Nút VPN trong khi chấp nhận Kết nối WAN đến

lá cờ br
Arakis

Tôi muốn định tuyến tất cả lưu lượng thông qua một VPN-Node khác, trong khi:

  • Giữ Kết nối với Máy chủ VPN hoạt động (đã hoạt động)
  • Vẫn chấp nhận Kết nối WAN trên Máy khách đó.

Cấu hình nút máy khách của tôi:

#35.1.1.1: IP WAN của VPN-Server
#192.168.8.1: Cổng WAN của Client
# 10.25.0.1: IP máy chủ VPN nội bộ (không được sử dụng bên dưới)
#10.25.0.3: VPN Gatway cho Client (Bản thân gatway cũng là Client)

tuyến ip thêm 35.1.1.1/32 qua 192.168.8.1 # bảo vệ tuyến đến VPN-Server
ip route mặc định qua 192.168.8.1 # xóa route mặc định ban đầu
tuyến ip thêm mặc định qua 10.25.0.3 # chuyển hướng đến Nút VPN khác

Khi chạy các lệnh này, cổng hoạt động - Mọi lưu lượng truy cập từ nút Máy khách được định tuyến qua Cổng VPN (10.25.0.3), trong khi vẫn giữ nguyên kết nối đến Máy chủ (35.1.1.1/10.25.0.1).

Vấn đề duy nhất là, Máy khách sẽ không chấp nhận kết nối nữa. tôi đã đọc một cái gì đó về fwmarkquy tắc chính sách dựa trên nguồn gốc nhưng tôi không hiểu những gì tôi thực sự cần và những lệnh nào tôi cần nhập.

31
0 + 0
Điểm:0
avatar Server
lá cờ br
Arakis

Để làm việc này:

  • Vô hiệu hóa Lọc đường dẫn ngược
  • Thêm Cổng VPN dưới dạng cặp 0.0.0.0/1128.0.0.0/1 thay vì đơn giản 0.0.0.0/0. Nhìn thấy đây.
  • Thêm một bảng định tuyến tùy chỉnh. Nhìn thấy đây.

Cách này không cần fwmark hoặc bất kỳ quy tắc tường lửa bổ sung nào.

Đây là kịch bản cấu hình làm việc của tôi. Tôi đã cố gắng bình luận càng nhiều càng tốt.

INTERFACE=tun0 # giao diện VPN
#REMOTEADDRESS=35.1.1.1 # IP thực của máy chủ VPN
REMOTEADDRESS=`dig +short <VPN-Server>` # Nhập tên máy chủ của máy chủ VPN hoặc thay thế biểu thức qua IP, xem bên trên

VPN_GATEWAY=10.25.0.3
#ORIGINAL_GATEWAY="qua 192.168.8.1 dev eth0"
ORIGINAL_GATEWAY=`hiển thị lộ trình ip | grep ^default | cắt -d '' -f 2-5`
ORIGINAL_NAMESERVER=`cat /etc/resolv.conf | grep ^ máy chủ tên | cắt -d '' -f 2`

# Tắt tính năng lọc Đường dẫn ngược
echo 0 > /proc/sys/net/ipv4/conf/eth0/rp_filter # thiết bị ETH
echo 0 > /proc/sys/net/ipv4/conf/tun0/rp_filter # thiết bị VPN

tuyến ip thêm $REMOTEADDRESS $ORIGINAL_GATEWAY # tuyến bảo vệ đến Máy chủ VPN
tuyến ip thêm $ORIGINAL_NAMESERVER $ORIGINAL_GATEWAY # TÙY CHỌN: bảo vệ tuyến đến DNS. Cần thiết cho Google Cloud.
định tuyến ip thêm $VPN_GATEWAY nhà phát triển $INTERFACE
tuyến ip thêm 0.0.0.0/1 qua $VPN_GATEWAY nhà phát triển $INTERFACE
tuyến ip thêm 128.0.0.0/1 qua $VPN_GATEWAY nhà phát triển $INTERFACE

# Thêm bảng định tuyến tùy chỉnh
echo 200 tùy chỉnh >> /etc/iproute2/rt_tables
quy tắc ip thêm từ bảng 192.168.8.100 tùy chỉnh trước 1 # IP máy khách thực
định tuyến ip mặc định qua 192.168.8.1 # Real Gateway
tuyến ip thêm mặc định qua bảng 192.168.8.1 dev eth0 tùy chỉnh
0 + 0
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.