Tôi đã đối phó với rắc rối này trong gần hai tháng. Tôi sẽ giải thích tình hình. Tôi làm việc tại nhà và để truy cập hầu hết các dịch vụ của công ty, tôi phải sử dụng ứng dụng khách openvpn. Vấn đề là tôi có ba máy tính ở nhà, một máy chủ đa năng, máy tính cá nhân của tôi và một máy tính xách tay của công ty. Tôi đã thiết lập từ lâu một nat và các tuyến để truy cập từ máy tính cá nhân của mình đến máy chủ của công ty thông qua ứng dụng khách openvpn chạy trên máy tính xách tay của tôi. Tôi lo lắng về pin của nó vì tôi để nó cắm vào bộ sạc hàng ngày nên sau khi suy nghĩ rất nhiều, tôi quyết định chuyển ứng dụng khách openvpn vào trong một thùng chứa trên máy chủ của mình để sử dụng nó làm bộ định tuyến để kết nối với máy chủ của công ty.
Tôi đã thiết lập vùng chứa bằng macvlan với dải ip của mạng cục bộ, quyền đặc quyền và quyền net_admin. Sau nhiều tháng dùng thử và gặp lỗi, tôi mới làm cho nó hoạt động được một lần, sau đó máy chủ của tôi bị chết và tôi đã quên mất iptables mà tôi đã đặt trên vùng chứa để làm cho nó hoạt động. Tôi đã không viết nó trong kịch bản điểm đầu vào vì thiếu thời gian và bây giờ tôi phải giải quyết vấn đề này một lần nữa.
Mọi thứ trên máy chủ openvpn, mạng của công ty và máy chủ đều biết cách định tuyến lại mọi ip của máy khách vpn.
Điều tôi cần làm bây giờ là định tuyến mạng cục bộ của mình thông qua ứng dụng khách openvpn bên trong vùng chứa.
Chi tiết:
- Mạng cục bộ: 192.168.0.0/24
- Cổng cục bộ: 192.168.0.1
- Máy tính:192.168.0.17
- Máy chủ gia đình: 192.168.0.16
- Vùng chứa: 192.168.0.242
- Máy khách OpenVPN: 10.1.2.4
- Cổng OpenVPN: 10.1.2.1
- Phạm vi Máy chủ của Công ty: 192.168.2-19.0/24
Trên máy chủ nhà của tôi (192.168.0.16), nó hoạt động hoàn hảo. Tôi chỉ phải thêm một số tuyến trỏ đến IP vùng chứa như thế này. tuyến ip thêm 192.168.19.0/24 qua 192.168.0.242
Nhưng những gì tôi không thể làm việc đó là phần còn lại của mạng cục bộ. Trên máy tính cá nhân của mình, tôi đã thiết lập một bộ định tuyến trỏ đến ip vùng chứa (192.168.0.242) cho dải máy chủ của công ty như tôi đã làm trên máy chủ của mình.
Nếu tôi chạy ping tới bất kỳ thiết bị nào trong số chúng, tôi có thể thấy với tcpdump và tshark rằng nó đang đến đích ở phía bên kia (PC > Máy chủ gia đình > Bộ chứa > Máy khách VPN > Máy chủ VPN > Cổng > Máy chủ) Cái này đến đích như dự định nhưng khi nó quay lại máy tính của tôi (Máy chủ > Cổng > Máy chủ VPN > Máy khách VPN )
Phản hồi ping trở lại và chết trên vùng chứa, vì vậy vấn đề tôi phải giải quyết bây giờ là làm thế nào để vùng chứa tự nhiên hoặc chuyển tiếp gói đó đến máy tính cá nhân của tôi.
Tôi biết chắc chắn rằng tôi chỉ cần thêm hoặc xóa các quy tắc iptables bên trong vùng chứa.
Tại điểm vào của tôi, tôi có các iptables này được tải sau khi ứng dụng khách vpn mở bắt đầu.
iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE
iptables -A FORWARD -m conntrack --ctstate LIÊN QUAN, THÀNH LẬP -j CHẤP NHẬN
iptables -A FORWARD -i tun0 -o eth0 -j CHẤP NHẬN
iptables -A FORWARD -i eth0 -o tun0 -j CHẤP NHẬN
Nếu nó chỉ đáng nói với những quy tắc này thì tôi đã làm cho nó hoạt động trên máy tính xách tay của mình.
Ngoài ra, vùng chứa có thể tiếp cận mọi thứ ở cả hai phía, ping đến một trong các máy chủ của công ty và ping máy chủ của chính nó hoặc ping máy tính cá nhân của tôi một cách hoàn hảo.
