Маршрут загальнодоступної підмережі через VPN.

У мене є виділений сервер, який я орендую в OVH і маю / 27 розподілу IP-адреси. Усі мої сервери мають Debian 8, і я хотів би використовувати VPN (OpenVPN) для маршрутизації деяких публічних IP-адрес до іншого віддаленого місця через VPN. Я знаю, що я можу просто пересилати пакети, використовуючи iptablesIP-адресу клієнта VPN, але це не те, що я прошу. Я хотів би використовувати свої IPH-адреси OVH на моєму віддаленому сервері, в установці з використанням контейнерів, щоб кожен контейнер міг мати власну (захищену DDoS) IPH-адресу OVH, і в контейнері було б показано, що він має IP-адресу OVH - не приватна IP-адреса. Чи можливо це, і якщо так, то як?

Ви повинні зробити це за допомогою інтерфейсу TAP на OpenVPN - тобто з'єднання двох мереж разом, але це може здатися повільним, схильним до помилок і взагалі жахливим способом це зробити.

Альтернативою може бути розбиття вашого / 27 на 2/28 і переведення одного з / 28 в віддалене місце. Це би втрачало досить мало IP-адрес, але забезпечило б гідну логічну структуру, яку ви можете використовувати з інтерфейсом TUN та деякими командами маршруту у своїй конфігурації.

З цього приводу, і робити можливі невірні припущення щодо того, який трафік ви плануєте виконувати, використовуючи якийсь балансир навантаження (навіть такий сирий, як iptables) - це кращий спосіб зробити щось подібне 99 разів із 100.

Це можливо за допомогою інтерфейсу tap0 у openvpn.

Я мав успіх у тому, що я просив, тому я опублікую відповідь для інших.

Моя машина OVH має один призначений ip в іншій підмережі, ніж мої додаткові виділення ip.

OVH: main ip (158.69.1.18) OVH: додаткова підмережа: 192.99.1.208-223

Сервер2: 72.34.43.34

Почніть, дотримуючись інструкцій на веб-сторінці : https://openvpn.net/index.php/open-source/documentation/howto.html#install

Встановіть openvpn і створіть ваші ключі. Створіть ключі для клієнта сервера 2 / vpn та скопіюйте їх на сервер 2 у папку / etc / openvpn (або де завгодно)

Знайдіть файл конфігурації сервера, згаданий у вищевказаному URL-адресі, і скопіюйте його зі свого початкового місця на /etc/openvpn/server.conf на своєму vpn-сервері.

Переконайтеся, що в ньому є такі параметри:

dev tap0
server-bridge 10.8.0.0 255.255.255.0 10.8.0.5 10.8.0.5
push "redirect-gateway def1 bypass-dhcp"
client-to-client

Залиште все інше за замовчуванням. 10.8.0.5 10.8.0.5 зробіть так, щоб у його пулі було лише 1 lan ip. Це для vpn з мостом 1 клієнта. Можливо, вам доведеться це змінити, але, ймовірно, не буде

Налаштування конфігурації на вашому клієнтському сервері

client
dev tap0
proto udp
remote 158.69.1.18 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ns-cert-type server
comp-lzo
verb 3
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client1.crt
key /etc/openvpn/client1.key  # This file should be kept

Запустіть сервер та клієнт.

Створіть міст на сервері ovh

brctl addbr br0
brctl addif br0 tap0
brctl addif br0 eth0 (main ethernet interface)

Додайте ip до свого крана та мосту

ip addr add 18.8.0.1 dev tap0
ip addr add 10.8.0.2 dev br0
route add -net 10.8.0.0/24 dev br0

Якщо ваш основний ip не знаходиться у вашій підмережі розподілу ip, додайте ip з цієї підмережі у свій міст. Якщо це так, пропустіть це.

ip addr add 192.99.1.208 dev br0

Додайте ip до свого інтерфейсу tap0 на vpn-клієнті

ip addr add 10.8.0.6 dev tap0

Додайте свій OVH ip в інтерфейс tap на клієнті vpn

ip addr add 192.99.1.210 dev tap0

Додайте шлюз за замовчуванням до tap0

route add default gw 192.99.1.208 dev tap0

Увійдіть до OVH або SYS та перейдіть туди, де ви керуєте своїми ip-адресами, виберіть ip та створіть для нього віртуальний mac, а потім дочекайтеся появи mac та встановіть цю mac-адресу як mac вашого інтерфейсу tap0 на своєму vpn-клієнті.

ifconfig tap0 hw ether 02:00:00:xx:yy:zz

Тепер ваш OVH ip повинен працювати над вашим клієнтом vpn.