Creé con éxito VTI sobre un túnel de sitio a sitio IPSec entre el enrutador de mi hogar (UBNT Edgerouter) y el servidor dedicado (Ubuntu 16.04) en OVH. Puedo enrutar redes privadas internas de cada lado a través del dispositivo VTI y acceder a ellas en el otro sitio (puedo acceder a dispositivos de rango privado del sitio B desde dispositivos NATed (por ejemplo, desde una computadora detrás del enrutador) en el Sitio A, y eso es genial), pero Tengo un problema al enrutar una red pública a través de él.
Sitio A: Enrutador doméstico:
IP principal pública: 89.xx81
IP privadas (dispositivos domésticos con NAT): 10.100.10.1/24
VTI: 10.255.12.1/30
~# ip r
default via 89.x.x.1 dev eth0 proto zebra
10.100.10.0/24 dev eth1 proto kernel scope link src 10.100.10.1
10.255.12.0/30 dev vti0 proto kernel scope link src 10.255.12.1
89.x.x.0/22 dev eth0 proto kernel scope link src 89.x.x.81
172.16.0.0/12 dev vti0 proto zebra
~# ip tunnel
vti0: ip/ip remote 51.x.x.136 local 89.x.x.81 ttl inherit nopmtudisc ikey 0 okey 1234
ip_vti0: ip/ip remote any local any ttl inherit nopmtudisc key 0
Sitio B: Servidor en OVH:
IP pública: 51.xx136
Bloque de IP públicas asignado/enrutado al servidor: 51.xx128/28 (solo .136 configurado en el servidor)
IP privadas (OVH vRack): 172.16.0.1/12
VTI: 10.255.12.2/30
~# ip r
10.100.10.0/24 dev vti0 scope link
10.255.12.0/30 dev vti0 proto kernel scope link src 10.255.12.2
51.x.x.142 dev eth0 scope link
172.16.0.0/12 via 172.16.0.1 dev eth0 scope link
172.16.0.0/12 dev eth0 proto kernel scope link src 172.16.0.1
~# ip tunnel
ip_vti0: ip/ip remote any local any ttl inherit nopmtudisc key 0
vti0: ip/ip remote 89.x.x.81 local 51.x.x.136 ttl inherit nopmtudisc key 1234
Meta:
Configure una o varias IP públicas desde el bloque del servidor OVH (51.xx128/28) a través del dispositivo VTI en el enrutador doméstico (luego crearé una NAT 1:1 allí para asignar la IP al servidor detrás del enrutador) o directamente en el dispositivo detrás enrutador doméstico si es posible.
Es posible en VTI o debería considerar un cambio de VTI a GRE y luego seguir esto:https://serverfault.com/a/557949?
Respuesta1
Ok, lo resolví yo solo hace unos días.
Sitio A:
Agregué la ruta para una IP pública (que quiero enrutar a casa) a través devti0dispositivo
~# ip r
...
51.x.x.134 dev vti0 scope link
Sitio B (una elección entre una de dos opciones):
Enrutar IP pública al enrutador doméstico
Agregar IP pública deseada aeth0(ovti0) dispositivo y crear tabla de rutas con marca y puerta de enlace predeterminada a través devti0y luego marque el tráfico de salida de origen poriptables.
o
Enrutar la IP pública al dispositivo detrás del enrutador doméstico
Crear unADNT: IP pública->Dispositivo NATed y luego cree una tabla de rutas para la puerta de enlace predeterminada a través devti0para el dispositivo NATed seleccionado (todo el tráfico desde el dispositivo a Internet se enruta a través devpn)
Entonces obtuve lo que necesitaba. El siguiente paso es configurar la dirección IP de salida correcta del servidor en el sitio A (ahora el tráfico sale de la dirección IP del servidor principal ubicado en A).
Si mi solución no es la mejor práctica, hágamelo saber.
¿Hay otras formas de cumplir mi suposición? ¿Quizás el peering BGP privado sea una solución?