具有 KVM 虚拟化和 Ubuntu 20.04 LTS 的 VPS A
VPN服务器:10.29.0.0/24
具有 KVM 虚拟化功能的 VPS B,带有来自 VPS A 的 Ubuntu 20.04 LTS
VPN 客户端:10.29.0.19
VPN 服务器:10.8.0.0/24
我不控制 VPS A,并且作为 VPN 服务器允许 VPN 客户端之间的通信。
从 VPS B 本身的命令行,我可以 ping 通 VPS A 上 VPN 服务器的所有客户端。
root@vpsB:~# ping 10.29.0.1
PING 10.29.0.1 (10.29.0.1) 56(84) bytes of data.
64 bytes from 10.29.0.1: icmp_seq=1 ttl=64 time=3.09 ms
64 bytes from 10.29.0.1: icmp_seq=2 ttl=64 time=3.10 ms
^C
--- 10.29.0.1 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 3.091/3.094/3.097/0.003 ms
root@vpsB:~# ping 10.29.0.5
PING 10.29.0.5 (10.29.0.5) 56(84) bytes of data.
64 bytes from 10.29.0.5: icmp_seq=1 ttl=64 time=59.8 ms
64 bytes from 10.29.0.5: icmp_seq=2 ttl=64 time=60.0 ms
^C
--- 10.29.0.5 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1002ms
rtt min/avg/max/mdev = 59.761/59.877/59.994/0.116 ms
root@vpsB:~# ip address show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
link/ether 00:00:3c:a2:85:61 brd ff:ff:ff:ff:ff:ff
inet 217.XXX.XXX.111/24 brd 217.XXX.XXX.255 scope global eth0
valid_lft forever preferred_lft forever
3: tun1: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UNKNOWN group default qlen 100
link/none
inet 10.8.0.1/24 brd 10.8.0.255 scope global tun1
valid_lft forever preferred_lft forever
4: tun3: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UNKNOWN group default qlen 100
link/none
inet 10.29.0.19/24 brd 10.29.0.255 scope global tun3
root@vpsB:~# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 217.XXX.XXX.1 0.0.0.0 UG 0 0 0 eth0
10.8.0.0 0.0.0.0 255.255.255.0 U 0 0 0 tun1
10.29.0.0 0.0.0.0 255.255.255.0 U 0 0 0 tun3
217.XXX.XXX.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
root@vpsB:~# iptables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-A INPUT -p udp -m udp --dport 1194 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.8.0.0/24 -j ACCEPT
我需要做什么才能从 10.8.0.0/24 ping 到 10.29.0.0/24?
答案1
iptables规则是从上到下处理的。从VPS-B(您拥有的)中,您已经拥有必须重新安排的现有 NAT 规则。为了重新排列 NAT 规则,您必须将现有规则复制到文本编辑器,然后删除现有规则。然后按正确的顺序重新添加 NAT 规则。
程序是这样的:
查看现有 NAT 链规则(删除之前):
sudo iptables -t nat -L -n --line-numbers
将规则保存到文本编辑器
删除现有 NAT 规则:
sudo iptables -t nat -D POSTROUTING 1
重复上述命令,直到删除所有 NAT 规则。然后重新添加NAT规则。
确保首先执行以下规则(然后将遵循其余的 NAT 规则):
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -d 10.29.0.0/24 -o tun3 -j MASQUERADE
确保规则的顺序正确:
sudo iptables -t nat -L -n --line-numbers
VPS-B 已经互连10.8.0.0/24和10.29.0.0/24,因此在此服务器上不需要进一步的路由语句。
从使用 VPS-B 作为其 VPN 服务器的 VPN 客户端,告诉他们使用 VPN 服务器 ( 10.8.0.1) 作为子网的下一跃点10.29.0.0/24
sudo ip route add 10.29.0.0/24 via 10.8.0.1
如果一切正常,请考虑将 iptables 规则保存在 VPS-B 服务器上。指南是这里