설정 br0, VPN 필요 없음

설정 br0, VPN 필요 없음

게스트(Windows 또는 Linux)의 모든 트래픽이 호스트(Linux)의 VPN을 통과하도록 강제하려고 합니다. 게스트가 VPN 외부에서 인터넷에 액세스할 수 없도록 호스트 시스템에 연결을 설정하여 새 인터페이스를 생성합니다 tun0. VPN 터널은 호스트 시스템에서 제대로 작동합니다.

설정 br0, VPN 필요 없음

게스트로 VPN 없이 인터넷에 접속하기 위해 브리지 장치를 만들어 br0연결했습니다 enp7s0. 이렇게 하면 손님들 사이에서 인터넷이 실행될 수 있습니다.

ip link add name br0 type bridge
ip link set br0 up
ip link set enp7s0 master br0

호스트에서 vnet5장치가 추가되고 에 브리지됩니다 br0. 그러나 동시에 호스트에서 원격지로의 ping은 더 이상 작동하지 않습니다.

## On the Host
sudo ip a
# ...
# 14: vnet5: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master br0 state UNKNOWN group default qlen 1000
# link/ether ab:ab:ab:ab:ab:ab brd ff:ff:ff:ff:ff:ff
# inet6 fe80::fc54:ff:fe92:5aa9/64 scope link
# valid_lft forever preferred_lft forever
ping www.google.com
# ping: www.google.com: Temporary failure in name resolution
ping 8.8.8.8
# From 192.168.1.100 icmp_seq=1 Destination Host Unreachable

그런 다음 가상 머신을 시작 virt-manager하고 연결을 확인했습니다. 인터넷 이용 가능:

## On the Guest
ip a
# 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
# ...
# 2: enp1s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
#     link/ether 52:54:00:92:5a:a9 brd ff:ff:ff:ff:ff:ff
#     inet 192.168.1.221/24 brd 192.168.1.255 scope global dynamic noprefixroute enp1s0
#        valid_lft 67432sec preferred_lft 67432sec
ping www.google.ch
# PING www.google.ch (172.217.168.35) 56(84) bytes of data.
# 64 bytes from zrh04s14-in-f3.1e100.net (172.217.168.35): icmp_seq=1 ttl=117 time=2.47 ms

설정 외에도 과 사이에 라우팅 규칙을 만들 ip link set enp7s0 master br0수 있을 것 같습니다 .br0enp7s0

VPN 및 tun0인터페이스 사용

VPN 연결을 설정하면 tun0브리지에 할당할 수 없는 인터페이스가 생성됩니다. 그래서 어쨌든 라우팅 규칙을 만들어야 합니다. 그래서 상황은 위와 비슷한 것 같아요. 먼저 enp7s0다시 제거했습니다 br0.

ip link set enp7s0 nomaster
sudo openvpn my_vpn_tcp.ovpn
# ...
# Initialization Sequence Completed
sudo ip a
# ...
# 3: enp7s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
# link/ether ab:ab:ab:ab:ab:ab brd ff:ff:ff:ff:ff:ff permaddr ab:ab:ab:ab:ab:ab
# inet 192.168.1.100/24 brd 192.168.1.255 scope global dynamic noprefixroute enp7s0
# valid_lft 82702sec preferred_lft 82702sec
# ...
# 10: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 500
# link/none
# inet 10.7.7.5/24 scope global tun0
# valid_lft forever preferred_lft forever
# ...
# 12: br0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
# link/ether 72:eb:06:e5:1e:5a brd ff:ff:ff:ff:ff:ff
# inet6 fe80::70eb:6ff:fee5:1e5a/64 scope link
# valid_lft forever preferred_lft forever

추가 조치가 필요하지 않습니다. 호스트에서 VPN 연결을 사용하기만 하면 됩니다.

ping www.google.com
# PING www.google.com (172.217.168.3) 56(84) bytes of data.
# 64 bytes from lala.net (172.217.168.3): icmp_seq=1 ttl=117 time=9.64 ms
# ...
ping www.google.com -I tun0
# PING www.google.com (172.217.168.3) from 10.7.7.5 tun0: 56(84) bytes of data.
# 64 bytes from lala.net (172.217.168.3): icmp_seq=2 ttl=117 time=10.0 ms
# ...
ping www.google.com -I enp7s0
# PING www.google.com (172.217.168.3) from 192.168.1.100 enp7s0: 56(84) bytes of data.
# 64 bytes from lala.net (172.217.168.3): icmp_seq=1 ttl=115 time=4.59 ms
# ...

하지만 이미 말했듯 tun0이 에 추가할 수 없습니다 br0. 따라서 게스트도 인터넷에 액세스할 수 없습니다.

sudo ip link set tun0 master br0
# RTNETLINK answers: Invalid argument

솔루션을 검색했지만 작동하는 솔루션을 찾을 수 없거나 내 상황이 약간 다르고 내가 갖고 있지 않은 네트워크에 대한 더 많은 지식이 필요합니다. 예를 들어이것(이것은 작업을 수행하지 않습니다) 또는이것(이것은 내 경우에 정확히 맞지 않습니다).

답변1

같은 질문에 두 가지 질문이 있지만 실제로는 서로 의존하지 않습니다. 나는 여전히 두 가지 모두에 답할 것입니다.

또한 noprefixroute주소 옵션은 네트워크 구성의 일부가 경로를 추가하기 위해 NetworkManager와 같은 일부 추가 도구에 의해 관리된다는 것을 의미합니다. 이 답변은 네트워크 도구 통합을 다루려고 시도하지 않습니다. 여기에는 올바르게 재구성되지 않으면 향후 변경 사항을 덮어쓸 수 있는 DHCP 구성 처리가 포함됩니다. 인터페이스를 닫거나 삭제하면 많은 설정이 사라지고 다시 설정해야 하므로 다양한 책임 있는 네트워크 도구의 다양한 후크를 통해 수행하는 것이 가장 좋습니다.

설정 br0, VPN 필요 없음

브리지 포트로 설정된 인터페이스는 라우팅 참여를 포기합니다.

브리지 포트로 설정되면 해당 인터페이스와 연결된 경로가 무시됩니다. 주소를 보존할 때 여전히 해로운 부작용이 있을 수 있습니다. 자세한 내용은 블로그에서 확인하실 수 있습니다Linux 브리지의 적절한 격리:

  1. 특정 기기에 프레임워크를 넘겨주세요핸들러 수신,그렇다면,
  2. 프레임을 전역 또는 특정 장치에 넘겨줍니다.프로토콜 핸들러(예: IPv4, ARP, IPv6).

브리지 인터페이스의 경우,커널은 장치별 수신 핸들러를 구성했습니다 br_handle_frame(). 이 기능은 STP 및 LLDP 프레임을 제외하고 또는 "라우팅"이 활성화된 경우를 제외하고 수신 인터페이스의 컨텍스트에서 다른 처리를 허용하지 않습니다. 그래서,이것 프로토콜 핸들러가 실행되지 않음이 경우.

브리지 포트가 되는 인터페이스에 설정된 IP 주소는 br0라우팅에 참여할 수 있는 유일한 인터페이스인 특수 브리지 자체 인터페이스( : 브리지 자체)로 이동해야 합니다(다른 옵션도 있지만 간단하게 유지하겠습니다). . 관련 노선도 마찬가지다.

OP의 기본 게이트웨이가 192.168.1.1/24라고 가정합니다. 첫 번째 경우를 다시 작성해 보겠습니다.

ip link add name br0 up type bridge
ip link set dev enp7s0 master br0

ip address flush dev enp7s0
# previous command will also have removed all associated routes as a side effect
ip address add 192.168.1.100/24 dev br0
# previous command added the LAN route too as a side effect (no noprefixroute here)
ip route add default via 192.168.1.1

이러한 방식으로 호스트와 가상 머신 모두 인터넷에 액세스할 수 있습니다.

VM 부분의 경우 vnet5브리지 포트이기도 하며 라우팅에 참여하지 않습니다. 호스트는 VM과 라우터(192.168.1.1) 간에 프레임을 교환할 뿐입니다. 라우팅은 포함되지 않습니다.

VPN 및 tun0인터페이스 사용

OpenVPN은 TUN/TAP 드라이버(Linux의 커널 모듈에서 제공)를 사용합니다.tun). 운전자는 다음을 제공할 수 있습니다.

  • 레이어 2 TAP 인터페이스

    vnet5이는 이더넷 장치처럼 작동하며 VM 하이퍼바이저에 의해 생성된 이더넷 브리지 포트로 설정될 수 있습니다 .

  • 또는 레이어 3 TUN 인터페이스

    여기에는 프레임 정보(이더넷 MAC 주소)가 포함되어 있지 않으며 프레임을 처리하지 않고 레이어 3 이상의 프로토콜인 IPv4 또는 IPv6만 처리합니다. 따라서 이더넷 브리지 포트로 설정할 수 없습니다. 이것은 tun0TUN 모드에서 OpenVPN에 의해 ​​생성된 OP입니다.

OpenVPN은 브리지할 수 있는 TAP 모드도 사용할 수 있지만 이를 위해서는 원격 구성을 재구성해야 합니다.섬기는 사람측면 및 전체 네트워크 레이아웃: 원격 서버도 192.168.1.0/24 LAN의 일부가 됩니다. OP는 그것을 통제할 수 없는 것 같습니다.

따라서 OP의 TUN 인터페이스가 무엇을 할 수 있는지 생각해 봅시다. 이는 레이어 2가 아닌 레이어 3(라우팅)에서 수행됩니다.

신뢰할 수 있는 가상 머신에 대해서만 이전 설정을 재사용합니다.

호스트에 방화벽 제한 및/또는 브리지 경로 변경을 포함하여 고급 방화벽이 포함되어 있지 않으면 VM이 자신을 게이트웨이로 사용하도록 강제할 수 없습니다. 이전과 같이 브리지된 VM은 단순히 호스트를 무시하고 192.168.1.1을 호스트로 유지할 수 있습니다. 게이트웨이 및 트래픽이 tun0궁극적으로 호스트 인터페이스를 사용하지 않도록 합니다.

VM을 신뢰할 수 있고 재구성할 수 있는 경우 br0위의 내용을 그대로 두고 다음을 기반으로 OpenVPN 설정을 적용하고 br0( enp7s0에 대한 참조 교체 br0) VM이 실행되고(주소 192.168.1.221에서) VPN이 작동된 후에 이 작업을 수행할 수 있습니다.

  • 호스트에서

    사용정책/소스 기반 라우팅이 특정 소스에 대해 다른 라우팅 결과를 선택하세요.

    ip rule add from 192.168.1.221 lookup 1000
    ip rule add iif tun0 lookup 1000
    ip route add 192.168.1.0/24 dev br0 table 1000
    ip route add default dev tun0 table 1000
    

    라우터로 설정:

    sysctl -w net.ipv4.ip_forward=1
    

이 상황을 처리할 수 있는 유사한 NAT 규칙이 없는 경우:

  iptables -t nat -A POSTROUTING -s 192.168.1.221 -o tun0 -j MASQUERADE
  • (Linux) VM에서는 호스트의 라우터 대신 호스트를 게이트웨이로 사용합니다.

    ip route flush to default
    ip route add default via 192.168.1.100
    

신뢰할 수 없는 가상 머신에 대한 권장 사항: 호스트 기본 인터페이스를 브리지 포트로 설정하지 마십시오.

tun0이렇게 하면 조작해서는 안 되는 네트워크 부분을 볼 수 없기 때문에 가상 머신 트래픽을 더 쉽게 적용할 수 있습니다 .

  • 자체 IP 네트워크를 사용하도록 가상 머신 설정 변경

    예: 192.168.100.0/24 및 고정 IP 192.168.100.2/24(호스트의 네트워크 DHCP 대신), 기본 게이트웨이 192.168.100.1. Linux 가상 머신에서:

    ip address add 192.168.100.2/24 dev enp1s0
    ip route add default via 192.168.100.1
    
  • 호스트에서 초기 구성부터 시작합니다(브리징 없음 enp7s0).

    아래의 제로 브리지를 사용할 수도 있지만(즉, 브리지 포트로 직접 설정 ip address add 192.168.100.1/24 dev vnet5하지 않음 )vnet5라이브러리 가상 머신이것을 더 어렵게 만들 수도 있습니다.

    가상 머신 전용 브리지를 설정하기만 하면 됩니다(여기서는 일반적으로 주소 192.168.100.1/24 사용).라이브러리 가상 머신기본 브리지 virbr0192.168.122.1/24 제공):

    ip link add name br0 up type bridge
    ip address add 192.168.100.1/24 dev br0
    ip link set dev vnet5 master br0
    

    그리고 또한 사용정책 라우팅br0두 개의 관련 인터페이스인 및 에 대한 가상 머신과 관련된 트래픽 동작을 변경합니다 tun0. 항상 그렇듯이 백업 라우팅 테이블의 기존 경로에 대한 일부 복사 및 변경이 포함됩니다. 여기서는 tun0호스트와 해당 가상 머신만 제공된다고 가정합니다. 궁극적인 목표는 VM 측에서 오는 모든 것이 tun 측으로 라우팅되고, TUN 측에서 오는 모든 것이 VM 측으로 라우팅되며, 원치 않는 측은 무시되는 것입니다.

    ip rule add iif br0 lookup 2000
    ip rule add iif tun0 lookup 2000
    ip route add 192.168.100.0/24 dev br0 table 2000
    ip route add default dev tun0 table 2000 # layer 3 interfaces don't need a gateway
    

    참고: tun0호스트에서 들어오는 패킷(예: 라우팅되지 않음)은 호스트에 의해 처리되었습니다.현지의라우팅 테이블, 테이블 2000의 추가 경로는 필요하지 않습니다.

    라우터로 설정:

    sysctl -w net.ipv4.ip_forward=1
    

    그런 다음 원격 OpenVPN 서버가 192.168.100.0/24를 모르므로 NAT를 완료합니다.

    iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o tun0 -j MASQUERADE
    

가상 머신이 여전히 192.168.1.0/24 LAN에 액세스할 수 있는 경우:

  • 이를 수용하기 위해 테이블 ​​2000을 다시 업데이트하십시오.

    기본 테이블의 LAN 경로를 테이블 2000에 복사합니다.

    ip route add 192.168.1.0/24 dev enp7s0 table 2000
    
  • 적절한 MASQUERADE 규칙을 다시 추가하세요.

    ...이제 VM은 다른 시스템이 알지 못하는 다른 LAN에 있기 때문입니다.

    iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o enp7s0 -j MASQUERADE
    

    (일부 iptables 규칙 분해가 수행될 수 있습니다).

관련 정보