Actualmente estoy construyendo un clúster de nube privada usando Proxmox. Mi clúster contiene un nodo principal y dos nodos de cálculo.
Mi nodo principal alberga un servidor NAT y un servidor openvpn, y tres NIC: una para salida y otra por nodo informático. La NAT me permite interactuar con ambos nodos informáticos. En ambos nodos de computación tengo un enrutador con ~30 VLAN por enrutador.
Mi objetivo es poder ver la dirección del cliente VPN cuando me conecto a los enrutadores. Actualmente, me conecto al cabezal mediante VPN, luego intento hacer ping o ssh al enrutador y muestra que la conexión proviene de la dirección IP del nodo principal. ¡Cualquier ayuda es muy apreciada!
Mis rutas son las siguientes:
default via *.*.*.1 dev eno1 onlink
10.10.1.0/24 via 10.10.1.2 dev tun0
10.10.1.2 dev tun0 proto kernel scope link src 10.10.1.1
*.*.*.0/25 dev eno1 proto kernel scope link src *.*.*.46
192.168.0.0/19 via 192.168.77.1 dev vmbr0
192.168.32.0/19 via 192.168.76.6 dev vmbr1
192.168.76.0/24 dev vmbr1 proto kernel scope link src 10.10.1.1
192.168.77.0/24 dev vmbr0 proto kernel scope link src 192.168.77.1
Y la regla NAT (actualmente estoy usando firewalld):
-A POST_public_allow ! -o lo -j MASQUERADE
Respuesta1
La regla NAT que mostró proporciona casi cero información porque modifica uncostumbrecadena, que supuestamente se llama desde otras cadenas (estándar) en otras tablas (supuestamente POSTROUTING
de la nat
tabla; puedes verlo usando iptables -t nat -L POSTROUTING
).
El problema que está experimentando es que supuestamente el enmascaramiento se aplica en la interfaz que conecta el nodo principal con los nodos de cálculo.
Una forma de solucionar esto es tener solo SNAT en la interfaz que utiliza el nodo principal para conectarse a Internet.
Sin embargo, tenga en cuenta un problema. El hecho de que esté usando VPN para acceder al nodo principal (si leí la pregunta correctamente) significa que cuando deshabilite el enmascaramiento excesivo en el nodo principal, sus nodos de cómputo verán los paquetes que está enviando.encimaVPN proveniente de cualquier red en la que se encuentre su programa de envío. Como supuestamente es una subred privada, debes asegurarte de que: Tanto tu red de origen como la red que conecta el nodo principal y los nodos de computación tengan direcciones diferentes (y ambas deben estar separadas de la subred que usa el túnel). - Los nodos de computación. debe tener una regla de ruta para su red de origen (para enviar los paquetes destinados allí al nodo principal). - El nodo principal debe tener habilitado el reenvío de IP.