Skocz do zawartości
Zaloguj się, aby obserwować  
Obserwujący 0
niepozwole

VPN w kontenerze LXC

Przez niepozwole, w Administracja Serwerów

Polecane posty

niepozwole    20

niepozwole
Napisano (edytowany)

Witacje!

 

Mam serwer, na którym działa połączenie VPN. VPN postawiony jest na interfejsie tun. Na wspomnianym serwerze mam kilka kontenerów. Chciałbym udostępnić kontenerom połączenie VPN-owe, które zestawione jest na serwerze hoście. Uniknę tym samym tworzenia kilkunastu kluczy i stawiania połączenia VPN-owego w samym kontenerze. Próbowałem już wszystkiego, interfejsy tupu MACVLAN, BRIDGE, VETH, natowanie VPN-a i maskarada VPN-a. Żadna opcja mi się nie powiodła. Poczytałem już trochę również o interfejsie typu tap zestawiającym most. Być może powinienem zmienić swojego VPN-a na właśnie tego typu połączenie? Proszę zarzućcie jakieś pomysły, jakbym mógł to wykonać.

Edytowano przez niepozwole (zobacz historię edycji)

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

kafi    2425

kafi
Napisano

Skonfiguruj sobie połączeniówkę poprzez interfejs TAP (np. 192.168.1.0/30).

Następnie na hoście VPN ustaw routing jakiejś podsieci przez IP połączeniówki (route 192.168.254.0/24 via 192.168.1.2).

Potem albo użyj jakiegoś interfejsu dodatkowego albo do eth0 przypisz IP 192.168.254.254.

Dalej w kontenerach veth, gdzie ip to jakieś ip z tej klasy, a default gateway to 192.168.254.254.

 

Jeśli zadbasz o poprawną wymianę routingową zarówno na hoście jak i kliencie VPN, to będzie działać.

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

niepozwole    20

niepozwole
Napisano

Skonfiguruj sobie połączeniówkę poprzez interfejs TAP (np. 192.168.1.0/30).

Następnie na hoście VPN ustaw routing jakiejś podsieci przez IP połączeniówki (route 192.168.254.0/24 via 192.168.1.2).

Potem albo użyj jakiegoś interfejsu dodatkowego albo do eth0 przypisz IP 192.168.254.254.

Dalej w kontenerach veth, gdzie ip to jakieś ip z tej klasy, a default gateway to 192.168.254.254.

 

Jeśli zadbasz o poprawną wymianę routingową zarówno na hoście jak i kliencie VPN, to będzie działać.

 

OK. Dzięki za wstępne wskazówki. To dało mi obraz jak to może wyglądać. Będę informował czy mi się udało.

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

niepozwole    20

niepozwole
Napisano (edytowany)

OK. Udało mi się z sukcesem ustanowić połączenie. Krótki opis dla potomnych jak można tego dokonać. Załóżmy, że mamy kontener (192.168.1.51), który stoi na maszynie fizycznej (192.168.1.50) a podsieć, do której chcemy się podłączyć to 192.168.40.0/24. Na maszynie tej koniecznie włączamy forwardowanie IP ( w debianie ): 

echo 1 > /proc/sys/net/ipv4/ip_forward

Następnie w kontenerze ustawiamy routing: 

ip route add 192.168.40.0/24 via 192.168.1.50

a na maszynie fizycznej maskaradujemy to połączenie np. tak:

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o tun0 -j MASQUERADE

I to tyle. :)

Edytowano przez niepozwole (zobacz historię edycji)
  • Upvote 1

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się
Zaloguj się, aby obserwować  
Obserwujący 0
Przejdź do listy tematów Administracja Serwerów
×