Я намагаюся налаштувати VPN (використовуючи OpenVPN) таким, щоб весь трафік, і лише трафік, до / з конкретних процесів проходив через VPN; інші процеси повинні продовжувати безпосередньо використовувати фізичний пристрій. Наскільки я розумію, спосіб цього зробити в Linux - це мережеві простори імен.
Якщо я нормально використовую OpenVPN (тобто перенаправляю весь трафік від клієнта через VPN), він працює чудово. Зокрема, я запускаю OpenVPN так:
# openvpn --config destination.ovpn --auth-user-pass credentials.txt
(Відредагована версія destina.ovpn знаходиться в кінці цього питання.)
Я затримався на наступному кроці, пишу сценарії, які обмежують тунельний пристрій просторами імен. Я намагався:
Встановлення тунельного пристрою безпосередньо в область імен за допомогою
# ip netns add tns0 # ip link set dev tun0 netns tns0 # ip netns exec tns0 ( ... commands to bring up tun0 as usual ... )
Ці команди виконуються успішно, але трафік, створений всередині простору імен (наприклад, з
ip netns exec tns0 traceroute -n 8.8.8.8
), потрапляє у чорну діру.За припущенням, що " ви можете [все-таки] призначати лише віртуальний інтерфейс Ethernet (veth) в мережевий простір імен " (який, якщо це правда, приймає цьогорічну нагороду за найсмішніше непотрібне обмеження API), створюючи veth пару та міст, і поклавши один кінець вет-пари в область імен. Це навіть не доходить до того, що скинути рух на підлогу: це не дозволить мені поставити тунель у міст! [EDIT: Це, мабуть, тому, що в мости можна вводити тільки пристрої з краном . На відміну від неможливості розмістити довільні пристрої в мережевому просторі імен, це насправді має сенс, що з мостами є концепцією рівня Ethernet; на жаль, мій постачальник VPN не підтримує OpenVPN в режимі крана, тому мені потрібен спосіб вирішення.]
# ip addr add dev tun0 local 0.0.0.0/0 scope link # ip link set tun0 up # ip link add name teo0 type veth peer name tei0 # ip link set teo0 up # brctl addbr tbr0 # brctl addif tbr0 teo0 # brctl addif tbr0 tun0 can't add tun0 to bridge tbr0: Invalid argument
Сценарії в кінці цього питання призначені для підходу veth. Сценарії прямого підходу можна знайти в історії редагування. Змінні в скриптах, які, здається, використовуються без їх першого встановлення, встановлюються в середовищі openvpn
програмою - так, це неохайно і використовує малі імена.
Будь ласка, запропонуйте конкретні поради, як змусити це працювати. Я болісно усвідомлюю, що тут програмую вантажний культ - хтось написав вичерпну документацію на цей матеріал? Я не можу знайти жодного - тому загальний огляд коду сценаріїв також вдячний.
У випадку, якщо це має значення:
# uname -srvm
Linux 3.14.5-x86_64-linode42 #1 SMP Thu Jun 5 15:22:13 EDT 2014 x86_64
# openvpn --version | head -1
OpenVPN 2.3.2 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [PKCS11] [eurephia] [MH] [IPv6] built on Mar 17 2014
# ip -V
ip utility, iproute2-ss140804
# brctl --version
bridge-utils, 1.5
Ядро було побудоване моїм віртуальним хостинг-провайдером ( Linode ) і, хоча воно складено з CONFIG_MODULES=y
, не має фактичних модулів - єдиною CONFIG_*
змінною, встановленою m
відповідно до, /proc/config.gz
був CONFIG_XEN_TMEM
, і я фактично не маю цього модуля (ядро зберігається поза моєю файловою системою; /lib/modules
порожній і /proc/modules
вказує на те, що воно не було магічно завантажене якось). Витяги з /proc/config.gz
наданих на запит, але я не хочу тут вставляти всю річ.
netns-up.sh
#! /bin/sh
mask2cidr () {
local nbits dec
nbits=0
for dec in $(echo $1 | sed 's/\./ /g') ; do
case "$dec" in
(255) nbits=$(($nbits + 8)) ;;
(254) nbits=$(($nbits + 7)) ;;
(252) nbits=$(($nbits + 6)) ;;
(248) nbits=$(($nbits + 5)) ;;
(240) nbits=$(($nbits + 4)) ;;
(224) nbits=$(($nbits + 3)) ;;
(192) nbits=$(($nbits + 2)) ;;
(128) nbits=$(($nbits + 1)) ;;
(0) ;;
(*) echo "Error: $dec is not a valid netmask component" >&2
exit 1
;;
esac
done
echo "$nbits"
}
mask2network () {
local host mask h m result
host="$1."
mask="$2."
result=""
while [ -n "$host" ]; do
h="${host%%.*}"
m="${mask%%.*}"
host="${host#*.}"
mask="${mask#*.}"
result="$result.$(($h & $m))"
done
echo "${result#.}"
}
maybe_config_dns () {
local n option servers
n=1
servers=""
while [ $n -lt 100 ]; do
eval option="\$foreign_option_$n"
[ -n "$option" ] || break
case "$option" in
(*DNS*)
set -- $option
servers="$servers
nameserver $3"
;;
(*) ;;
esac
n=$(($n + 1))
done
if [ -n "$servers" ]; then
cat > /etc/netns/$tun_netns/resolv.conf <<EOF
# name servers for $tun_netns
$servers
EOF
fi
}
config_inside_netns () {
local ifconfig_cidr ifconfig_network
ifconfig_cidr=$(mask2cidr $ifconfig_netmask)
ifconfig_network=$(mask2network $ifconfig_local $ifconfig_netmask)
ip link set dev lo up
ip addr add dev $tun_vethI \
local $ifconfig_local/$ifconfig_cidr \
broadcast $ifconfig_broadcast \
scope link
ip route add default via $route_vpn_gateway dev $tun_vethI
ip link set dev $tun_vethI mtu $tun_mtu up
}
PATH=/sbin:/bin:/usr/sbin:/usr/bin
export PATH
set -ex
# For no good reason, we can't just put the tunnel device in the
# subsidiary namespace; we have to create a "virtual Ethernet"
# device pair, put one of its ends in the subsidiary namespace,
# and put the other end in a "bridge" with the tunnel device.
tun_tundv=$dev
tun_netns=tns${dev#tun}
tun_bridg=tbr${dev#tun}
tun_vethI=tei${dev#tun}
tun_vethO=teo${dev#tun}
case "$tun_netns" in
(tns[0-9] | tns[0-9][0-9] | tns[0-9][0-9][0-9]) ;;
(*) exit 1;;
esac
if [ $# -eq 1 ] && [ $1 = "INSIDE_NETNS" ]; then
[ $(ip netns identify $$) = $tun_netns ] || exit 1
config_inside_netns
else
trap "rm -rf /etc/netns/$tun_netns ||:
ip netns del $tun_netns ||:
ip link del $tun_vethO ||:
ip link set $tun_tundv down ||:
brctl delbr $tun_bridg ||:
" 0
mkdir /etc/netns/$tun_netns
maybe_config_dns
ip addr add dev $tun_tundv local 0.0.0.0/0 scope link
ip link set $tun_tundv mtu $tun_mtu up
ip link add name $tun_vethO type veth peer name $tun_vethI
ip link set $tun_vethO mtu $tun_mtu up
brctl addbr $tun_bridg
brctl setfd $tun_bridg 0
#brctl sethello $tun_bridg 0
brctl stp $tun_bridg off
brctl addif $tun_bridg $tun_vethO
brctl addif $tun_bridg $tun_tundv
ip link set $tun_bridg up
ip netns add $tun_netns
ip link set dev $tun_vethI netns $tun_netns
ip netns exec $tun_netns $0 INSIDE_NETNS
trap "" 0
fi
netns-down.sh
#! /bin/sh
PATH=/sbin:/bin:/usr/sbin:/usr/bin
export PATH
set -ex
tun_netns=tns${dev#tun}
tun_bridg=tbr${dev#tun}
case "$tun_netns" in
(tns[0-9] | tns[0-9][0-9] | tns[0-9][0-9][0-9]) ;;
(*) exit 1;;
esac
[ -d /etc/netns/$tun_netns ] || exit 1
pids=$(ip netns pids $tun_netns)
if [ -n "$pids" ]; then
kill $pids
sleep 5
pids=$(ip netns pids $tun_netns)
if [ -n "$pids" ]; then
kill -9 $pids
fi
fi
# this automatically cleans up the the routes and the veth device pair
ip netns delete "$tun_netns"
rm -rf /etc/netns/$tun_netns
# the bridge and the tunnel device must be torn down separately
ip link set $dev down
brctl delbr $tun_bridg
призначення.ovpn
client
auth-user-pass
ping 5
dev tun
resolv-retry infinite
nobind
persist-key
persist-tun
ns-cert-type server
verb 3
route-metric 1
proto tcp
ping-exit 90
remote [REDACTED]
<ca>
[REDACTED]
</ca>
<cert>
[REDACTED]
</cert>
<key>
[REDACTED]
</key>
grep veth /proc/modules
нічого не містить, але я не знаю, чи це остаточно. Екземпляри Linode не мають ядра, встановленого в розділі ОС, тому я не впевнений, що міг би завантажити завантажений модуль.
lsmod
взагалі дає якийсь результат? Чи є каталог /lib/modules
?
lsmod: command not found
. Є /lib/modules
, але в ньому немає ніяких модулів, це лише купа каталогів на одне ядро, що містять порожні modules.dep
файли. Я загляну в допомогу, що стосується Linode, і з’ясую, чи так це має бути.