Sziasztok!
Van egy dedikált szerver, amelyen openvpn szerver fut, távoli gépek pedig openvpn klienssel ezen gép tun0 csatolóján keresztül tudnak felcsatlakozni. Több gép is fel tud csatlakozni, ekkor felcsatlakozott gépek (192.168.10.xx-yy) egy közös hálózatba kerülnek.
Ezen a dedikált gépen fut még néhány virtualbox virtuális gép (192.168.56.xx-yy), jelen pillanatban hostonly hálózati módban. A dedikált gépről a guest gépekre be lehet ssh-zni, illetve a guest gépek is látják a host gépen lévő vboxnet0 csatolót (192.168.56.1).
Az a kérdésem, hogy hogyan kell beállítani, hogy a virtuális gépek rendesen kilássanak az internetre, illetve ha valaki vpn klienssel fellép, akkor a távoli gépről direktbe be lehessen ssh-zni a guest gépekre?
van valakinek tapasztalata ilyenben?
- 4638 megtekintés
Hozzászólások
korábbi elképzelés az volt, hogy a dedikált géphez több ip címet is venni, és a dedikált gépen futó virtualbox guest-ek pedig ezen ip címeket kapnák meg, és bridged módban kapcsolódnának a host hálózati adapteréhez - de ez azért nem jó, mert ekkor minden virtuális gép kivülről is elérhető. Én azt szeretném, hogy a guest gépek csak akkor látszódjanak, ha a host géphez vpn klienssel felkapcsolódtak.
- A hozzászóláshoz be kell jelentkezni
bridgeld össze őket egy dummy ifel
- A hozzászóláshoz be kell jelentkezni
Miért látszódna az internet felől? Ha nincs kipublikálva semmi a tűzfalon, akkor mi a probléma?
- A hozzászóláshoz be kell jelentkezni
Helló.
Miért nem dobsz fel mindegyik virtuális gépre egy vpn klienst, és máris megoldódott a problémád! Egyébként ha host only-t használsz, akkor 192.168.56.1 legyen a default gw a guest gépeken (route add default gw 192.168.56.1) és ne felejtsd el kitölteni a resolv.conf -ot.
<= Powered By Ubuntu & Gentoo Linux =>
'Software is like sex: It's better when it's free!'
By Linus Torvalds
- A hozzászóláshoz be kell jelentkezni
http://kepfeltoltes.hu/120403/tess_www.kepfeltoltes.hu_.jpg
De ha távolról akarod elérni, akkor routeren is engedélyezni kell.
Supernatural On CW
- A hozzászóláshoz be kell jelentkezni
Host only adapterről beszél! Gondolom, hogy nincs több ip-je, ezért nincs a vps-eknek publikus ip-jük...
<= Powered By Ubuntu & Gentoo Linux =>
'Software is like sex: It's better when it's free!'
By Linus Torvalds
- A hozzászóláshoz be kell jelentkezni
Nem teljesen értem a dolgot. A host-only network pont azért host-only, mert csak az alapgépet - illetve a többi host-only guestet - lehet elérni rajta keresztül. Ha a guesteket ki akarod engedni a net felé, akkor vagy az alap gépen kell route-olást állítani - de ez csúnya -, vagy a gépeket nem a host-only hálóba rakni.
Oké, a bridge nem jó, mert akkor kéne egy valós IP cím is guestenként, meg innen kezdve erősen el kell kezdeni védeni a guesteket, mert a net felől direktben elérhetőek. Ez annyira nyilván nem szívderítő. Na de a virtualbox alatt van NAT adapter is! Ez abban hasonlít a host-only networkhoz, hogy szintén privát cím tartományt használ - de ezt a virtualbox az alapgép IP-jére NAT-olva kiengedi a külső hálóba, azaz a netre is.
Ha valaki VPN kapcsolatot húz és szeretné elérni a guesteket, az két lépcsős probléma:
- meg kell oldani a guestek route-olását. Amíg a NAT nincs rendben, a guestek nem tudnak kimenni a netre, addig ez nincs megoldva. Erre van a fentebbi.
- az openvpn-nel tudatni kell, hogy nem csak saját hálója van - 192.168.10.0/24 -, hanem azt is jelezni kell, hogy a VPN fogadó mögött van egy további subnet, a 192.168.56.0/24. Ehhez a szerver oldalon az openvpn config fileba kell egy extra sor:
push "route 192.168.56.0 255.255.255.0"
- A hozzászóláshoz be kell jelentkezni
Ha jól tudom a virualbox nat adaptere és a vpn nem vmi jó barátok: http://www.virtualbox.org/manual/ch06.html ! A host only-val nincs semmi gond! Ha beállítod, amit írtam és nyomsz egy "sysctl -w net.ipv4.ip_forward=1" -t (érdemes a sysctl.conf-ba is beírni), akkor menni fog a net is vpn is, minden! Már jó pár vps-t beállítottam, és mind így működik!
<= Powered By Ubuntu & Gentoo Linux =>
'Software is like sex: It's better when it's free!'
By Linus Torvalds
- A hozzászóláshoz be kell jelentkezni
"sysctl -w net.ipv4.ip_forward=1" - köszi, ez hiányzott. De a teljesség igényéhez még ez is hozzátartozik,
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
hogy a vps-ek lássák kifele az internetet.
Azonban félek, hogy még egy beállítás hiányzik: Szerintem a ip forwarding a nem csak a csak a 192.168.10.xx-yy 192.168.56.xx-yy hálózatokat kapcsolta így össze, hanem a a védett 192.168.56.xx-yy hálózatot és az eth0 -t is. Az nem lenne jó, ha valaki egy 192.168.56.xy -s címmel az eth0 -t gatwayként használva kapcsolódnak fel valamely 192.168.56.xx gépre, valahogy ezt is be kellene állítani - sajnos az iptables-hez nem értek ennyire.
- A hozzászóláshoz be kell jelentkezni
Te kevered a host-only-t az Internal networking-el!
<= Powered By Ubuntu & Gentoo Linux =>
'Software is like sex: It's better when it's free!'
By Linus Torvalds
- A hozzászóláshoz be kell jelentkezni
jelenleg a guest gépekre nat-ot használok, így a guest gépek minden gond nélkül látják a külvilágot. A host gépen pedig a "VBoxManage modifyvm --natpf" -el a guest gépek bizonyos portjai a host gépre vannak kiajánlva. Ezen portokat a tűzfalban tiltva vannak, így kívülről akkor látszódnak csak, ha vpn-el fellépnek a host gépre. - végülis így is jó, de gondoltam, hogy a host-only-val valódi sub-netet lehetne kialakítani a vpn hálón belül.
- A hozzászóláshoz be kell jelentkezni
+1
--
A legértékesebb idő a pillanat amelyben élsz.
http://phoenix-art.hanzo.hu/
https://sites.google.com/site/jupiter2005ster/
- A hozzászóláshoz be kell jelentkezni