Ich habe erfolgreich einen VTI über IPSec Site-to-Site-Tunnel zwischen meinem Heimrouter (UBNT Edgerouter) und dem dedizierten Server (Ubuntu 16.04) bei OVH erstellt. Ich kann interne private Netzwerke beider Seiten über ein VTI-Gerät routen und auf der anderen Seite darauf zugreifen (ich kann von NAT-Geräten (z. B. von einem Computer hinter dem Router) an Site A auf private Geräte von Site B zugreifen, und das ist großartig), aber ich habe ein Problem damit, ein öffentliches Netzwerk darüber zu routen.
Standort A: Heimrouter:
Öffentliche Haupt-IP: 89.xx81
Private IPs (NAT-Heimgeräte): 10.100.10.1/24
VTI: 10.255.12.1/30
~# ip r
default via 89.x.x.1 dev eth0 proto zebra
10.100.10.0/24 dev eth1 proto kernel scope link src 10.100.10.1
10.255.12.0/30 dev vti0 proto kernel scope link src 10.255.12.1
89.x.x.0/22 dev eth0 proto kernel scope link src 89.x.x.81
172.16.0.0/12 dev vti0 proto zebra
~# ip tunnel
vti0: ip/ip remote 51.x.x.136 local 89.x.x.81 ttl inherit nopmtudisc ikey 0 okey 1234
ip_vti0: ip/ip remote any local any ttl inherit nopmtudisc key 0
Standort B: Server bei OVH:
Öffentliche IP: 51.xx136
Dem Server zugewiesener/gerouteter öffentlicher IP-Block: 51.xx128/28 (auf dem Server nur .136 konfiguriert)
Private IPs (OVH vRack): 172.16.0.1/12
VTI: 10.255.12.2/30
~# ip r
10.100.10.0/24 dev vti0 scope link
10.255.12.0/30 dev vti0 proto kernel scope link src 10.255.12.2
51.x.x.142 dev eth0 scope link
172.16.0.0/12 via 172.16.0.1 dev eth0 scope link
172.16.0.0/12 dev eth0 proto kernel scope link src 172.16.0.1
~# ip tunnel
ip_vti0: ip/ip remote any local any ttl inherit nopmtudisc key 0
vti0: ip/ip remote 89.x.x.81 local 51.x.x.136 ttl inherit nopmtudisc key 1234
Ziel:
Konfigurieren Sie eine oder mehrere öffentliche IPs aus dem OVH-Serverblock (51.xx128/28) über das VTI-Gerät auf dem Heimrouter (dann werde ich dort 1:1 NAT durchführen, um die IP dem Server hinter dem Router zuzuweisen) oder wenn möglich direkt auf dem Gerät hinter dem Heimrouter.
Ist dies mit VTI möglich, oder sollte ich einen Wechsel von VTI zu GRE in Betracht ziehen und dann Folgendes befolgen:https://serverfault.com/a/557949?
Antwort1
OK, ich habe es vor ein paar Tagen selbst gelöst.
Standort A:
habe die Route für eine öffentliche IP (die ich nach Hause routen möchte) hinzugefügt übervti0Gerät
~# ip r
...
51.x.x.134 dev vti0 scope link
Standort B (Auswahl zwischen zwei Optionen):
Öffentliche IP zum Heimrouter weiterleiten
Gewünschte öffentliche IP hinzufügen zueth0(odervti0) Gerät und erstellen Sie eine Routentabelle mit Markierung und Standard-Gateway übervti0, markieren Sie dann den Quell-Ausgangsverkehr mitiptables.
oder
Leiten Sie die öffentliche IP an das Gerät hinter dem Heimrouter weiter
Ein ... kreierenDNAT: Öffentliche IP->NATed-Gerät und dann Routentabelle für Standard-Gateway erstellen übervti0für ausgewählte NAT-Geräte (der gesamte Datenverkehr vom Gerät zum Internet wird geleitet überVPN)
Ich habe also bekommen, was ich brauchte. Der nächste Schritt besteht darin, die richtige Ausgabe-IP-Adresse vom Server auf Site A festzulegen (jetzt verlässt der Datenverkehr die Haupt-IP-Adresse des Servers auf Site A).
Wenn meine Lösung nicht die beste Vorgehensweise ist, lassen Sie es mich bitte wissen.
Gibt es andere Möglichkeiten, meine Annahme umzusetzen? Vielleicht ist privates BGP-Peering eine Lösung?