KVM soll das VPN des Hosts nutzen

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
bumer
Beiträge: 238
Registriert: 02.07.2014 12:29:15

KVM soll das VPN des Hosts nutzen

Beitrag von bumer » 16.10.2017 16:46:29

Hallo,

ich nutze auf dem Hypervisor eine VPN-Verbindung, die die KVMs, die sich hinter einer Bridge (172.16.100.0/24) befinden, auch nutzen sollen:

Code: Alles auswählen

# Auf dem Hypervisor:

# ip r
0.0.0.0/1 via 10.8.0.5 dev tun0
128.0.0.0/1 via 10.8.0.5 dev tun0
default via 192.168.0.1 dev ETHbr0
10.8.0.1 via 10.8.0.5 dev tun0
10.8.0.5 dev tun0 proto kernel scope link src 10.8.0.6
44.55.66.77 via 192.168.0.1 dev ETHbr0
172.16.100.0/24 dev NATbr7 proto kernel scope link src 172.16.100.1
192.168.0.0/27 dev ETHbr0 proto kernel scope link src 192.168.0.19

# ip a
2: enp0s31f6: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master ETHbr0 state UP group default qlen 1000
    link/ether xx:xx:xx:xx:xx brd ff:ff:ff:ff:ff:ff
6: ETHbr0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether xx:xx:xx:xx:xx brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.19/27 scope global ETHbr0
       valid_lft forever preferred_lft forever
7: NATbr7: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether xx:xx:xx:xx:xx brd ff:ff:ff:ff:ff:ff
    inet 172.16.100.1/24 scope global NATbr7
       valid_lft forever preferred_lft forever
10: vnet1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master NATbr7 state UNKNOWN group default qlen 1000
    link/ether xx:xx:xx:xx:xx brd ff:ff:ff:ff:ff:ff
25: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 100
    link/none
    inet 10.8.0.6 peer 10.8.0.5/32 scope global tun0
       valid_lft forever preferred_lft forever

# iptables -t nat -S
-P PREROUTING ACCEPT
-P INPUT ACCEPT
-P OUTPUT ACCEPT
-P POSTROUTING ACCEPT
-A POSTROUTING -s 172.16.100.0/24 -o ETHbr0 -j MASQUERADE

# iptables -S
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A FORWARD -s 172.16.100.0/24 -i NATbr7 -j ACCEPT
-A FORWARD -d 172.16.100.0/24 -o NATbr7 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -d 44.55.66.77/32 -p udp -j ACCEPT
-A OUTPUT -o tun0 -j ACCEPT

# In der VM:

# ip r
default via 172.16.100.1 dev ens3
172.16.100.0/24 dev ens3 proto kernel scope link src 172.16.100.40

Mit diesen Einstellungen kommt die KVM nicht nach draußen ins Net. Den VPN-Server 44.55.66.77 kann ich aus der KVM-heraus anpingen, ich denke mal aber, dass die KVM Thrbr0 und nicht tun0 nutzt.

Kann mir bitte jemand helfen? Danke im Voraus.

Viele Grüße,
bumer

Gunman1982
Beiträge: 923
Registriert: 09.07.2008 11:50:57
Lizenz eigener Beiträge: MIT Lizenz

Re: KVM soll das VPN des Hosts nutzen

Beitrag von Gunman1982 » 16.10.2017 17:22:40

bumer hat geschrieben: ↑ zum Beitrag ↑
16.10.2017 16:46:29

Code: Alles auswählen

# In der VM:

# ip r
default via 172.16.100.1 dev ens3
172.16.100.0/24 dev ens3 proto kernel scope link src 172.16.100.40

Mit diesen Einstellungen kommt die KVM nicht nach draußen ins Net. Den VPN-Server 44.55.66.77 kann ich aus der KVM-heraus anpingen, ich denke mal aber, dass die KVM Thrbr0 und nicht tun0 nutzt.

Kann mir bitte jemand helfen? Danke im Voraus.
Das zeigt das die VM allen traffic an 172.16.100.1 gibt. Wenn du stattdessen 44.55.66.77 nehmen willst musst du die default route in der VM ändern. Und dann natürlich auch die route eingeben wie sie zu 44.55.66.77 gelangt.

bumer
Beiträge: 238
Registriert: 02.07.2014 12:29:15

Re: KVM soll das VPN des Hosts nutzen

Beitrag von bumer » 16.10.2017 17:30:16

Gunman1982 hat geschrieben: ↑ zum Beitrag ↑
16.10.2017 17:22:40
bumer hat geschrieben: ↑ zum Beitrag ↑
16.10.2017 16:46:29

Code: Alles auswählen

# In der VM:

# ip r
default via 172.16.100.1 dev ens3
172.16.100.0/24 dev ens3 proto kernel scope link src 172.16.100.40

Mit diesen Einstellungen kommt die KVM nicht nach draußen ins Net. Den VPN-Server 44.55.66.77 kann ich aus der KVM-heraus anpingen, ich denke mal aber, dass die KVM Thrbr0 und nicht tun0 nutzt.

Kann mir bitte jemand helfen? Danke im Voraus.
Das zeigt das die VM allen traffic an 172.16.100.1 gibt. Wenn du stattdessen 44.55.66.77 nehmen willst musst du die default route in der VM ändern. Und dann natürlich auch die route eingeben wie sie zu 44.55.66.77 gelangt.
Hi und Danke für die Antwort. Ich kann 44.55.66.77 nicht als Default-Gateway nehmen:

Code: Alles auswählen

# ip r
44.55.66.77 via 172.16.100.1 dev ens3
172.16.100.0/24 dev ens3 proto kernel scope link src 172.16.100.40
# ip route add dev ens3 default via 44.55.66.77
RTNETLINK answers: Network is unreachable
Außerdem will ich doch tun0, was ich nicht erreichen kann, als Default-Gateway, denn wenn ich alles an 44.55.66.77 schicke, gehts nicht verschlüsselt über's VPN.

Benutzeravatar
bluestar
Beiträge: 2335
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: KVM soll das VPN des Hosts nutzen

Beitrag von bluestar » 17.10.2017 08:26:26

Für mich klingt das sehr nach source based routing,
alles was von der IP der VM ausgeht, muss über die Tunnel-IP des VPNs geroutet werden. SIEHE tun0 PtP-IP

bumer
Beiträge: 238
Registriert: 02.07.2014 12:29:15

Re: KVM soll das VPN des Hosts nutzen

Beitrag von bumer » 17.10.2017 12:49:25

bluestar hat geschrieben: ↑ zum Beitrag ↑
17.10.2017 08:26:26
Für mich klingt das sehr nach source based routing,
alles was von der IP der VM ausgeht, muss über die Tunnel-IP des VPNs geroutet werden. SIEHE tun0 PtP-IP
Könntest Du bitte etwas konkreter werden? Vielleicht ein Beispiel? Danke.

jeff84
Beiträge: 324
Registriert: 15.07.2009 13:32:36

Re: KVM soll das VPN des Hosts nutzen

Beitrag von jeff84 » 17.10.2017 14:37:13

Code: Alles auswählen

echo  "1 kvmvpn" >> /etc/iproute2/rt_tables
ip route add default via 10.8.0.5 dev tun0 table kvmvpn
ip route add 172.16.100.0/24 dev NATbr7 source 172.16.100.1 table kvmvpn
ip rule add from 172.16.100.0/24 table kvmvpn
ip rule add to 172.16.100.0/24 table kvmvpn

Benutzeravatar
bluestar
Beiträge: 2335
Registriert: 26.10.2004 11:16:34
Wohnort: Rhein-Main-Gebiet

Re: KVM soll das VPN des Hosts nutzen

Beitrag von bluestar » 17.10.2017 15:40:25

:THX:

Antworten