Proxmox NAT avec tunnel GRE En tant qu'interface externe

But final (diagramme ASCII)


WAN->Router->Server->GRE Tunnel->VM network->VM #1, etc.

Tout d'abord, je dois expliquer quelque chose.

J'ai un serveur en cours d'exécution Proxmox (Debian 8.7 x64). Sa connexion à Internet - eth0 (par NAT Avec la redirection du protocole GRE)

Interface GRE (gre1) Créé et contrôlé par un démon fabriqué sur mesure sur l'hôte, mais le reste n'affecte pas les règles ou les itinéraires du pare-feu. L'adresse IP de cet ordinateur dans le tunnel GRE - 192.168.168.2, et point final distant - 192.168.168.1.

J'ai un pont réseau (vmbr0). Voici la configuration correspondante.

auto vmbr0
iface vmbr0 inet static
address 10.2.0.1
netmask 255.255.255.0
bridge_ports none
bridge_stp off
bridge_fd 0

post-up echo 1 > /proc/sys/net/ipv4/ip_forward
post-up iptables -t nat -A POSTROUTING -s '10.2.0.0/24' -o gre1 -j MASQUERADE
post-down iptables -t nat -D POSTROUTING -s '10.2.0.0/24' -o gre1 -j MASQUERADE

En voiture, qui est une autre fin du tunnel GRE, je l'ai déjà iptables, Personnalisé pour NAT correctement et je peux ping 192.168.168.1 et des destinations externes utilisant ping -I gre1 sur l'hôte, cependant à l'intérieur de la machine virtuelle, je peux ping 192.168.168.2 et. 1, Mais pas à l'étranger.

Je soupçonne que la solution de ce problème est une sorte de table de routage foo, Depuis que je l'ai forcée à travailler avant, remplaçant la route de passerelle par défaut sur l'hôte sur 192.168.168.1 et créer manuellement un itinéraire pour le point final du tunnel GRE de l'autre côté 192.168.1.1 (Mon routeur) , Cependant, il provoque également tout le trafic d'accueil dans le tunnel GRE, Ce que je n'ai pas besoin, seul le trafic d'une machine virtuelle.

Je l'ai fait pour faire tout le trafic, y compris le trafic d'accueil, traverser le tunnel GRE.

ip route add GRE_TUNNEL_ENDPOINT via 192.168.1.1 # to avoid running the GRE tunnel in itself
ip route change default via 192.168.168.1

Peut-être que des politiques de routage de source sont peut-être en ordre?

remercier
Invité:

Pour répondre aux questions, connectez-vous ou registre