通过2个接口进行路由

通过2个接口进行路由

具有 KVM 虚拟化和 Ubuntu 20.04 LTS 的 VPS A

VPN服务器:10.29.0.0/24

具有 KVM 虚拟化功能的 VPS B,带有来自 VPS A 的 Ubuntu 20.04 LTS
VPN 客户端:10.29.0.19
VPN 服务器:10.8.0.0/24

我不控制 VPS A,并且作为 VPN 服务器允许 VPN 客户端之间的通信。

从 VPS B 本身的命令行,我可以 ping 通 VPS A 上 VPN 服务器的所有客户端。

root@vpsB:~# ping 10.29.0.1
PING 10.29.0.1 (10.29.0.1) 56(84) bytes of data.
64 bytes from 10.29.0.1: icmp_seq=1 ttl=64 time=3.09 ms
64 bytes from 10.29.0.1: icmp_seq=2 ttl=64 time=3.10 ms
^C
--- 10.29.0.1 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 3.091/3.094/3.097/0.003 ms
root@vpsB:~# ping 10.29.0.5
PING 10.29.0.5 (10.29.0.5) 56(84) bytes of data.
64 bytes from 10.29.0.5: icmp_seq=1 ttl=64 time=59.8 ms
64 bytes from 10.29.0.5: icmp_seq=2 ttl=64 time=60.0 ms
^C
--- 10.29.0.5 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1002ms
rtt min/avg/max/mdev = 59.761/59.877/59.994/0.116 ms
root@vpsB:~# ip address show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever

       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 00:00:3c:a2:85:61 brd ff:ff:ff:ff:ff:ff
    inet 217.XXX.XXX.111/24 brd 217.XXX.XXX.255 scope global eth0
       valid_lft forever preferred_lft forever
    
3: tun1: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UNKNOWN group default qlen 100
    link/none
    inet 10.8.0.1/24 brd 10.8.0.255 scope global tun1
       valid_lft forever preferred_lft forever
    
4: tun3: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UNKNOWN group default qlen 100
    link/none
    inet 10.29.0.19/24 brd 10.29.0.255 scope global tun3
root@vpsB:~# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         217.XXX.XXX.1   0.0.0.0         UG    0      0        0 eth0
10.8.0.0        0.0.0.0         255.255.255.0   U     0      0        0 tun1
10.29.0.0       0.0.0.0         255.255.255.0   U     0      0        0 tun3
217.XXX.XXX.0   0.0.0.0         255.255.255.0   U     0      0        0 eth0
root@vpsB:~# iptables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-A INPUT -p udp -m udp --dport 1194 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.8.0.0/24 -j ACCEPT

我需要做什么才能从 10.8.0.0/24 ping 到 10.29.0.0/24?

答案1

iptables规则是从上到下处理的。从VPS-B(您拥有的)中,您已经拥有必须重新安排的现有 NAT 规则。为了重新排列 NAT 规则,您必须将现有规则复制到文本编辑器,然后删除现有规则。然后按正确的顺序重新添加 NAT 规则。

程序是这样的:

查看现有 NAT 链规则(删除之前):

sudo iptables -t nat -L -n --line-numbers

将规则保存到文本编辑器

删除现有 NAT 规则:

sudo iptables -t nat -D POSTROUTING 1

重复上述命令,直到删除所有 NAT 规则。然后重新添加NAT规则。

确保首先执行以下规则(然后将遵循其余的 NAT 规则):

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -d 10.29.0.0/24 -o tun3 -j MASQUERADE

确保规则的顺序正确:

sudo iptables -t nat -L -n --line-numbers

VPS-B 已经互连10.8.0.0/2410.29.0.0/24,因此在此服务器上不需要进一步的路由语句。

从使用 VPS-B 作为其 VPN 服务器的 VPN 客户端,告诉他们使用 VPN 服务器 ( 10.8.0.1) 作为子网的下一跃点10.29.0.0/24

sudo ip route add 10.29.0.0/24 via 10.8.0.1

如果一切正常,请考虑将 iptables 规则保存在 VPS-B 服务器上。指南是这里

相关内容