Roteie um ou vários IPs públicos via VTI sobre túnel site a site IPSec

tag-icon tag-icon networking ipsec tunneling
Roteie um ou vários IPs públicos via VTI sobre túnel site a site IPSec

Criei com sucesso o túnel VTI sobre IPSec Site-to-Site entre meu roteador doméstico (UBNT Edgerouter) e o servidor dedicado (Ubuntu 16.04) na OVH. Posso rotear redes privadas internas de cada lado via dispositivo VTI e acessá-lo no outro site (posso acessar dispositivos de alcance privado do site B a partir de dispositivos NATed (por exemplo, do computador atrás do roteador) no Site A, e isso é ótimo), mas Tenho um problema ao rotear uma rede pública por ela.

Site A: Roteador doméstico:

IP principal público: 89.xx81

IPs privados (dispositivos domésticos NAT): 10.100.10.1/24

VTI: 10.255.12.1/30

~# ip r
default via 89.x.x.1 dev eth0  proto zebra 
10.100.10.0/24 dev eth1  proto kernel  scope link  src 10.100.10.1 
10.255.12.0/30 dev vti0  proto kernel  scope link  src 10.255.12.1 
89.x.x.0/22 dev eth0  proto kernel  scope link  src 89.x.x.81 
172.16.0.0/12 dev vti0  proto zebra 

~# ip tunnel
vti0: ip/ip remote 51.x.x.136 local 89.x.x.81 ttl inherit nopmtudisc ikey 0 okey 1234
ip_vti0: ip/ip remote any local any ttl inherit nopmtudisc key 0

Site B: Servidor na OVH:

IP público: 51.xx136

Bloco de IPs públicos atribuídos/roteados para o servidor: 51.xx128/28 (somente .136 configurado no servidor)

IPs privados (OVH vRack): 172.16.0.1/12

VTI: 10.255.12.2/30

~# ip r
10.100.10.0/24 dev vti0  scope link 
10.255.12.0/30 dev vti0  proto kernel  scope link  src 10.255.12.2 
51.x.x.142 dev eth0  scope link 
172.16.0.0/12 via 172.16.0.1 dev eth0  scope link 
172.16.0.0/12 dev eth0  proto kernel  scope link  src 172.16.0.1

~# ip tunnel
ip_vti0: ip/ip  remote any  local any  ttl inherit  nopmtudisc key 0
vti0: ip/ip  remote 89.x.x.81  local 51.x.x.136  ttl inherit  nopmtudisc key 1234

Meta:

Configure um ou vários IP(s) públicos do bloco de servidores OVH (51.xx128/28) através do dispositivo VTI no roteador doméstico (então farei 1:1 NAT lá para atribuir o IP ao servidor atrás do roteador) ou diretamente no dispositivo atrás roteador doméstico, se possível.

É possível no VTI ou devo considerar uma mudança de VTI para GRE e seguir isto:https://serverfault.com/a/557949?

Responder1

Ok, resolvi sozinho há alguns dias.

Local A:

adicionei a rota para um IP público (que desejo rotear para casa) viavti0dispositivo

~# ip r
...
51.x.x.134 dev vti0  scope link

Site B (uma escolha entre uma de duas opções):

  1. Rotear IP público para roteador doméstico

    Adicionar IP público desejado aeth0(ouvti0) dispositivo e criar tabela de rotas com marca e gateway padrão viavti0e marque o tráfego de saída de origem comtabelas de ip.

    ou

  2. Rotear IP público para dispositivo atrás do roteador doméstico

    Criar umaDNAT: IP público-> Dispositivo NAT e, em seguida, crie uma tabela de rotas para o gateway padrão viavti0para o dispositivo NAT selecionado (todo o tráfego do dispositivo para a Internet é roteado viaVPN)

Então, consegui o que precisava. A próxima etapa é definir o endereço IP de saída correto do servidor no site A (agora o tráfego sai do endereço IP do servidor principal do site A).

Se minha solução não for a melhor prática, entre em contato.

Existem outras maneiras de realizar minha suposição? Talvez o peering privado de BGP seja uma solução?

informação relacionada