我处于一种奇怪的情况,需要做以下事情:
使用静态 RFC1918 IP 连接 OpenVPN 隧道(假设服务器端为 10.3.3.1,客户端为 10.3.3.2),并让 KVM 客户端直接使用它。我想要实现的是 KVM 客户端对 LAN 一无所知,只知道 VPN 隧道。
编辑:这样我就不需要处理防火墙了:-)
通常我会尝试将 tun 设备与 KVM 接口桥接起来,并为 KVM 分配一个静态 IP(10.3.3.2)。这是明智的做法吗?还是有更好的方法?
答案1
好吧,这确实很复杂。所以我没有这么做。我选择了防火墙解决方案。
KVM 客户端现已设置为桥接连接,并具有固定的 MAC/IP。使用主机上的 ebtables,我指定客户端只能连接到路由器的 MAC,并且还限制客户端 MAC 使用我设置的 IP,否则将自动关闭。这样,我就可以在路由器上使用普通 iptables,只允许从客户端到互联网上的 VPN 服务器的连接。我已经完成了五行经过深思熟虑的 ebtables/iptables 规则。其他所有内容(子网内 ARP 或 IP 通信、与互联网上其他主机的通信)都会被默默丢弃。
使用此设置,当访客未通过 VPN 在线时,他们甚至无法发现同一子网上除了路由器之外还有其他主机。互联网也仅由 VPN 服务器组成。我觉得这很好 :-)