บรรจวบ เข้าสู่ระบบ
Score:0
avatar Server

วิธีแชร์การเข้าถึงเครือข่าย VPN

ธง us
Roman

ฉันได้รับ การตั้งค่านี้ ด้วยสอง LAN และ OpenVPN infra ฉันต้องการแบ่งปันการเชื่อมต่อ OpenVPN ที่เชื่อมต่อกับเซิร์ฟเวอร์ Proxmox (10.8.0.12) กับ Proxmox VMs (192.168.0,1,2,3,...)

ฉันพยายามใช้ลินุกซ์บริดจ์บน Proxmox:

iface vmbr2 inet แบบคงที่
        ที่อยู่ 10.8.1.12/24
        บริดจ์พอร์ตไม่มี
        ปิดสะพาน
        บริดจ์-fd 0
        โพสต์อัพ echo 1 > /proc/sys/net/ipv4/ip_forward
        โพสต์อัพ iptables -t nat -A POSTROUTING -s '10.8.1.0/24' -o tun0 -j MASQUERADE
        โพสต์ลง iptables -t nat -D POSTROUTING -s '10.8.1.0/24' -o tun0 -j MASQUERADE

ร่วมกับเส้นทางสแตติกด้วยตนเองบน VM - แต่ไม่ได้ผล ในทางกลับกัน การตั้งค่าค่อนข้างคล้ายกัน (โดยใช้ iptables NAT บน vmbr1) สำหรับการแชร์อินเทอร์เน็ตไปยัง Proxmox VMs ทำงานได้อย่างถูกต้อง

คุณช่วยชี้ฉันไปในทิศทางที่ถูกต้องได้ไหม มีใครพยายามตั้งค่าการแบ่งปันดังกล่าวหรือไม่?

ข้อมูล:

เซิร์ฟเวอร์ Proxmox:

ip -- ย่อ ก
lo UNKNOWN 127.0.0.1/8 ::1/128
eno1 อัพ
eno2 ลง
tun0 ไม่รู้จัก 10.8.0.12/24 
vmbr0 ขึ้น pu.bl.ic.ip/31 
vmbr1 UP 192.168.1.1/24 # สะพานสำหรับแชร์อินเทอร์เน็ต (ใช้งานได้)
vmbr2 UP 10.8.1.12/24 # ฉันทำเพื่อสร้าง NAT -> เครือข่าย OpenVPN ( tun0 iface )
tap104i0 ไม่รู้จัก
tap104i1 ไม่รู้จัก
#--------------------------------------------- ----------------------------------------

ไอพีอาร์
ค่าเริ่มต้นผ่าน pu.bl.ic.ip dev vmbr0 proto kernel onlink
10.8.0.0/24 ผ่าน 10.8.0.1 dev tun0 # เส้นทาง OpenVPN
10.8.1.0/24 dev vmbr2 ลิงก์ขอบเขตเคอร์เนลโปรโต src 10.8.1.12
192.168.1.0/24 dev vmbr1 โปรโตเคอร์เนลขอบเขตลิงก์ src 192.168.1.1
#--------------------------------------------- ----------------------------------------

iptables-บันทึก


*ดิบ
: ยอมรับ [555262:374327004]
: ยอมรับเอาต์พุต [453390:357667405]
ให้สัญญา


*กรอง
: ยอมรับอินพุต [3284:179456]
:ส่งต่อ ยอมรับ [1275:103329]
: ยอมรับเอาต์พุต [911:61638]
:PVEFW-หล่น - [0:0]
:PVEFW-DropBroadcast - [0:0]
:PVEFW-ไปข้างหน้า - [0:0]
:PVEFW-FWBR-IN - [0:0]
:PVEFW-FWBR-ออก - [0:0]
:PVEFW-โฮสต์ใน - [0:0]
:PVEFW-โฮสต์ออก - [0:0]
:PVEFW-อินพุต - [0:0]
:PVEFW-เอาต์พุต - [0:0]
:PVEFW-ปฏิเสธ - [0:0]
:PVEFW-SET-ยอมรับ-เครื่องหมาย - [0:0]
:PVEFW-logflags - [0:0]
:PVEFW-ปฏิเสธ - [0:0]
:PVEFW-smurflog - [0:0]
:PVEFW-สเมิร์ฟ - [0:0]
:PVEFW-tcpflags - [0:0]
-A อินพุต -j PVEFW-อินพุต
-A ไปข้างหน้า -j PVEFW-ไปข้างหน้า
-A เอาต์พุต -j PVEFW-เอาต์พุต
-A PVEFW-Drop -p tcp -m tcp --dport 43 -j PVEFW-ปฏิเสธ
-A PVEFW-Drop -j PVEFW-DropBroadcast
-A PVEFW-Drop -p icmp -m icmp --icmp-type 3/4 -j ยอมรับ
-A PVEFW-Drop -p icmp -m icmp --icmp-type 11 -j ยอมรับ
-A PVEFW-Drop -m conntrack --ctstate ไม่ถูกต้อง -j DROP
-A PVEFW-Drop -p udp -m มัลติพอร์ต --dports 135,445 -j DROP
-A PVEFW-Drop -p udp -m udp --dport 137:139 -j DROP
-A PVEFW-Drop -p udp -m udp --sport 137 --dport 1024:65535 -j DROP
-A PVEFW-Drop -p tcp -m หลายพอร์ต --dports 135,139,445 -j DROP
-A PVEFW-Drop -p udp -m udp --dport 1900 -j DROP
-A PVEFW-Drop -p tcp -m tcp ! --tcp-ธง FIN, SYN, RST, ACK SYN -j DROP
-A PVEFW-Drop -p udp -m udp --sport 53 -j DROP
-A PVEFW-Drop -m ความคิดเห็น --แสดงความคิดเห็น "PVESIG:WDy2wbFe7jNYEyoO3QhUELZ4mIQ"
-A PVEFW-DropBroadcast -m addrtype --dst-type BROADCAST -j DROP
-A PVEFW-DropBroadcast -m addrtype --dst-type MULTICAST -j DROP
-A PVEFW-DropBroadcast -m addrtype --dst-type ANYCAST -j DROP
-A PVEFW-DropBroadcast -d 224.0.0.0/4 -j DROP
-A PVEFW-DropBroadcast -m ความคิดเห็น --แสดงความคิดเห็น "PVESIG:NyjHNAtFbkH7WGLamPpdVnxHy4w"
-A PVEFW-FORWARD -m conntrack --ctstate ไม่ถูกต้อง -j DROP
-A PVEFW-FORWARD -m conntrack --ctstate ที่เกี่ยวข้อง ก่อตั้ง -j ยอมรับ
-A PVEFW-FORWARD -m physdev --physdev-in fwln+ --physdev-is-bridged -j PVEFW-FWBR-IN
-A PVEFW-FORWARD -m physdev --physdev-out fwln+ --physdev-is-bridged -j PVEFW-FWBR-OUT
-A PVEFW-FORWARD -m ความคิดเห็น --แสดงความคิดเห็น "PVESIG:qnNexOcGa+y+jebd4dAUqFSp5nw"
-A PVEFW-FWBR-IN -m conntrack --ctstate ไม่ถูกต้อง ใหม่ -j PVEFW-smurfs
-A PVEFW-FWBR-IN -m ความคิดเห็น --comment "PVESIG:Ijl7/xz0DD7LF91MlLCz0ybZBE0"
-A PVEFW-FWBR-OUT -m ความคิดเห็น --ความคิดเห็น "PVESIG:2jmj7l5rSw0yVb/vlWAYkK/YBwk"
-A PVEFW-HOST-IN -i lo -j ยอมรับ
-A PVEFW-HOST-IN -m conntrack --ctstate ไม่ถูกต้อง -j DROP
-A PVEFW-HOST-IN -m conntrack --ctstate ที่เกี่ยวข้อง ก่อตั้ง -j ยอมรับ
-A PVEFW-HOST-IN -m conntrack --ctstate ไม่ถูกต้อง ใหม่ -j PVEFW-smurfs
-A PVEFW-HOST-IN -p igmp -j ผลตอบแทน
-A PVEFW-HOST-IN -i tun0 -p tcp -m tcp --dport 8006 -j ผลตอบแทน
-A PVEFW-HOST-IN -i tun0 -p tcp -m tcp --dport 1976 -j ผลตอบแทน
-A PVEFW-HOST-IN -p tcp -m set --match-set PVEFW-0-management-v4 src -m tcp --dport 8006 -j RETURN
-A PVEFW-HOST-IN -p tcp -m set --match-set PVEFW-0-management-v4 src -m tcp --dport 5900:5999 -j RETURN
-A PVEFW-HOST-IN -p tcp -m set --match-set PVEFW-0-management-v4 src -m tcp --dport 3128 -j RETURN
-A PVEFW-HOST-IN -p tcp -m set --match-set PVEFW-0-management-v4 src -m tcp --dport 22 -j RETURN
-A PVEFW-HOST-IN -p tcp -m set --match-set PVEFW-0-management-v4 src -m tcp --dport 60000:60050 -j RETURN
-A PVEFW-โฮสต์ใน -j PVEFW-Drop
-A PVEFW-โฮสต์ใน -j DROP
-A PVEFW-HOST-IN -m ความคิดเห็น --ความคิดเห็น "PVESIG:ViyFkNMCk/yw1BHHyqmUbyOtAzs"
-A PVEFW-HOST-OUT -o lo -j ยอมรับ
-A PVEFW-HOST-OUT -m conntrack --ctstate ไม่ถูกต้อง -j DROP
-A PVEFW-HOST-OUT -m conntrack --ctstate ที่เกี่ยวข้อง, ก่อตั้งขึ้น -j ยอมรับ
-A PVEFW-HOST-OUT -p igmp -j ผลตอบแทน
-A PVEFW-HOST-OUT -d pu.bl.ic.ip/31 -p tcp -m tcp --dport 8006 -j ผลตอบแทน
-A PVEFW-HOST-OUT -d pu.bl.ic.ip/31 -p tcp -m tcp --dport 22 -j ผลตอบแทน
-A PVEFW-HOST-OUT -d pu.bl.ic.ip/31 -p tcp -m tcp --dport 5900:5999 -j ผลตอบแทน
-A PVEFW-HOST-OUT -d pu.bl.ic.ip/31 -p tcp -m tcp --dport 3128 -j ผลตอบแทน
-A PVEFW-HOST-OUT -j ผลตอบแทน
-A PVEFW-HOST-OUT -m comment --comment "PVESIG:vW12F8KvRxI4X2sYVlSVEYYgIjM"
-A PVEFW-INPUT -j PVEFW-โฮสต์-IN
-A PVEFW-INPUT -m ความคิดเห็น --ความคิดเห็น "PVESIG:+5iMmLaxKXynOB/+5xibfx7WhFk"
-A PVEFW-OUTPUT -j PVEFW-โฮสต์ออก
-A PVEFW-OUTPUT -m ความคิดเห็น --ความคิดเห็น "PVESIG:LjHoZeSSiWAG3+2ZAyL/xuEehd0"
-A PVEFW-ปฏิเสธ -p tcp -m tcp --dport 43 -j PVEFW-ปฏิเสธ
-A PVEFW-ปฏิเสธ -j PVEFW-DropBroadcast
-A PVEFW-ปฏิเสธ -p icmp -m icmp --icmp-type 3/4 -j ยอมรับ
-A PVEFW-ปฏิเสธ -p icmp -m icmp --icmp-type 11 -j ยอมรับ
-A PVEFW-Reject -m conntrack --ctstate ไม่ถูกต้อง -j DROP
-A PVEFW-Reject -p udp -m หลายพอร์ต --dports 135,445 -j PVEFW-reject
-A PVEFW-ปฏิเสธ -p udp -m udp --dport 137:139 -j PVEFW-ปฏิเสธ
-A PVEFW-ปฏิเสธ -p udp -m udp --sport 137 --dport 1024:65535 -j PVEFW-ปฏิเสธ
-A PVEFW-Reject -p tcp -m หลายพอร์ต --dports 135,139,445 -j PVEFW-reject
-A PVEFW-ปฏิเสธ -p udp -m udp --dport 1900 -j DROP
-A PVEFW-ปฏิเสธ -p tcp -m tcp ! --tcp-ธง FIN, SYN, RST, ACK SYN -j DROP
-A PVEFW-ปฏิเสธ -p udp -m udp --sport 53 -j DROP
-A PVEFW-ปฏิเสธ -m ความคิดเห็น --แสดงความคิดเห็น "PVESIG:CZJnIN6rAdpu+ej59QPr9+laMUo"
-A PVEFW-SET-ACCEPT-MARK -j MARK --set-xmark 0x80000000/0x80000000
-A PVEFW-SET-ACCEPT-MARK -m ความคิดเห็น --ความคิดเห็น "PVESIG:Hg/OIgIwJChBUcWU8Xnjhdd2jUY"
-A PVEFW-logflags -j DROP
-A PVEFW-logflags -m ความคิดเห็น --แสดงความคิดเห็น "PVESIG:MN4PH1oPZeABMuWr64RrygPfW7A"
-A PVEFW-reject -m addrtype --dst-type BROADCAST -j DROP
-A PVEFW-reject -s 224.0.0.0/4 -j DROP
-A PVEFW-reject -p icmp -j DROP
-A PVEFW-reject -p tcp -j REJECT --reject-with tcp-reset
-A PVEFW-reject -p udp -j REJECT --reject-with icmp-port-unreachable
-A PVEFW-reject -p icmp -j REJECT --reject-with icmp-host-unreachable
-A PVEFW-reject -j REJECT --reject-with icmp-host-prohibited
-A PVEFW-reject -m comment --comment "PVESIG:Jlkrtle1mDdtxDeI9QaDSL++Npc"
-A PVEFW-smurflog -j DROP
-A PVEFW-smurflog -m ความคิดเห็น --ความคิดเห็น "PVESIG:2gfT1VMkfr0JL6OccRXTGXo+1qk"
-A PVEFW-สเมิร์ฟ -s 0.0.0.0/32 -j ผลตอบแทน
-A PVEFW-สเมิร์ฟ -m addrtype --src-type BROADCAST -g PVEFW-smurflog
-A PVEFW-สเมิร์ฟ -s 224.0.0.0/4 -g PVEFW-smurflog
-A PVEFW-smurfs -m comment --comment "PVESIG:HssVe5QCBXd5mc9kC88749+7fag"
-A PVEFW-tcpflags -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -g PVEFW-logflags
-A PVEFW-tcpflags -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -g PVEFW-logflags
-A PVEFW-tcpflags -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -g PVEFW-logflags
-A PVEFW-tcpflags -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -g PVEFW-logflags
-A PVEFW-tcpflags -p tcp -m tcp --sport 0 --tcp-flags FIN,SYN,RST,ACK SYN -g PVEFW-logflags
-A PVEFW-tcpflags -m ความคิดเห็น --แสดงความคิดเห็น "PVESIG:CMFojwNPqllyqD67NeI5m+bP5mo"
ให้สัญญา
# เสร็จสิ้นในวันอังคารที่ 26 ต.ค. 12:21:12 น. 2564
# สร้างโดย iptables-save v1.8.7 ในวันอังคารที่ 26 ตุลาคม 12:21:12 น. 


*แนท
: ยอมรับ [1409:85920]
: ยอมรับอินพุต [984:53816]
: ยอมรับเอาต์พุต [459:29557]
:หลังยอมรับ [461:29725]
-A PREROUTING -d 10.8.0.12/32 -i vmbr2 -p tcp -j DNAT --to-destination 10.8.0.3
-A PREROUTING -d 10.8.0.3/32 -i vmbr2 -p tcp -j DNAT --to-destination 10.8.1.104
-A โพสต์ -s 192.168.1.0/24 -o vmbr0 -j MASQUERADE
ให้สัญญา
เสร็จสิ้นในวันอังคารที่ 26 ต.ค. 12:21:12 น. 2564

Proxmox VM:


ip -- ย่อ ก
เลย UNKNOWN 127.0.0.1/8 
ens18 อัพ 192.168.1.104/24
ens19 อัพ 10.8.1.104/24 



ไอพีอาร์
ค่าเริ่มต้นผ่าน 192.168.1.1 dev ens18 proto static
10.8.1.0/24 dev ens19 ลิงก์ขอบเขตเคอร์เนลโปรโต src 10.8.1.104
192.168.1.0/24 dev ens18 ลิงก์ขอบเขตเคอร์เนลโปรโต src 192.168.1.104
48
0 + 0
Nikita Kipriyanov avatar
za flag
Nikita Kipriyanov
มีครบทุกเส้นทาง? กรุณาแสดง `ip addr` (คุณอาจซ่อนอินเทอร์เฟซ vm ที่เข้าร่วมในบริดจ์และไม่มีที่อยู่), `เส้นทาง ip`, `iptables-save` ของระบบที่กำลังทำงานอยู่เมื่อมันควรจะทำงาน แต่มันไม่ทำงาน
0
ตอบกลับ
us flag
Roman
@NikitaKipriyanov ฉันได้เสริมคำถามเดิมของฉันด้วยรายละเอียดที่คุณถามฉัน คุณช่วยดูว่าการตั้งค่าของฉันชัดเจนหรือไม่
0
ตอบกลับ
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา