KVM soll das VPN des Hosts nutzen

bumer · Beitrag von **bumer** » 16.10.2017 16:46:29

Hallo,

ich nutze auf dem Hypervisor eine VPN-Verbindung, die die KVMs, die sich hinter einer Bridge (172.16.100.0/24) befinden, auch nutzen sollen:

Code: Alles auswählen

# Auf dem Hypervisor:

# ip r
0.0.0.0/1 via 10.8.0.5 dev tun0
128.0.0.0/1 via 10.8.0.5 dev tun0
default via 192.168.0.1 dev ETHbr0
10.8.0.1 via 10.8.0.5 dev tun0
10.8.0.5 dev tun0 proto kernel scope link src 10.8.0.6
44.55.66.77 via 192.168.0.1 dev ETHbr0
172.16.100.0/24 dev NATbr7 proto kernel scope link src 172.16.100.1
192.168.0.0/27 dev ETHbr0 proto kernel scope link src 192.168.0.19

# ip a
2: enp0s31f6: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master ETHbr0 state UP group default qlen 1000
    link/ether xx:xx:xx:xx:xx brd ff:ff:ff:ff:ff:ff
6: ETHbr0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether xx:xx:xx:xx:xx brd ff:ff:ff:ff:ff:ff
    inet 192.168.0.19/27 scope global ETHbr0
       valid_lft forever preferred_lft forever
7: NATbr7: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether xx:xx:xx:xx:xx brd ff:ff:ff:ff:ff:ff
    inet 172.16.100.1/24 scope global NATbr7
       valid_lft forever preferred_lft forever
10: vnet1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast master NATbr7 state UNKNOWN group default qlen 1000
    link/ether xx:xx:xx:xx:xx brd ff:ff:ff:ff:ff:ff
25: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 100
    link/none
    inet 10.8.0.6 peer 10.8.0.5/32 scope global tun0
       valid_lft forever preferred_lft forever

# iptables -t nat -S
-P PREROUTING ACCEPT
-P INPUT ACCEPT
-P OUTPUT ACCEPT
-P POSTROUTING ACCEPT
-A POSTROUTING -s 172.16.100.0/24 -o ETHbr0 -j MASQUERADE

# iptables -S
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A FORWARD -s 172.16.100.0/24 -i NATbr7 -j ACCEPT
-A FORWARD -d 172.16.100.0/24 -o NATbr7 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -d 44.55.66.77/32 -p udp -j ACCEPT
-A OUTPUT -o tun0 -j ACCEPT

# In der VM:

# ip r
default via 172.16.100.1 dev ens3
172.16.100.0/24 dev ens3 proto kernel scope link src 172.16.100.40

Mit diesen Einstellungen kommt die KVM nicht nach draußen ins Net. Den VPN-Server 44.55.66.77 kann ich aus der KVM-heraus anpingen, ich denke mal aber, dass die KVM Thrbr0 und nicht tun0 nutzt.

Kann mir bitte jemand helfen? Danke im Voraus.

Viele Grüße,
bumer

Gunman1982 · Beitrag von **Gunman1982** » 16.10.2017 17:22:40

bumer hat geschrieben:
16.10.2017 16:46:29
Code: Alles auswählen
# In der VM:

# ip r
default via 172.16.100.1 dev ens3
172.16.100.0/24 dev ens3 proto kernel scope link src 172.16.100.40
Mit diesen Einstellungen kommt die KVM nicht nach draußen ins Net. Den VPN-Server 44.55.66.77 kann ich aus der KVM-heraus anpingen, ich denke mal aber, dass die KVM Thrbr0 und nicht tun0 nutzt.

Kann mir bitte jemand helfen? Danke im Voraus.

Das zeigt das die VM allen traffic an 172.16.100.1 gibt. Wenn du stattdessen 44.55.66.77 nehmen willst musst du die default route in der VM ändern. Und dann natürlich auch die route eingeben wie sie zu 44.55.66.77 gelangt.

bumer · Beitrag von **bumer** » 16.10.2017 17:30:16

Gunman1982 hat geschrieben:
16.10.2017 17:22:40
bumer hat geschrieben:
16.10.2017 16:46:29
Code: Alles auswählen
# In der VM:

# ip r
default via 172.16.100.1 dev ens3
172.16.100.0/24 dev ens3 proto kernel scope link src 172.16.100.40
Mit diesen Einstellungen kommt die KVM nicht nach draußen ins Net. Den VPN-Server 44.55.66.77 kann ich aus der KVM-heraus anpingen, ich denke mal aber, dass die KVM Thrbr0 und nicht tun0 nutzt.

Kann mir bitte jemand helfen? Danke im Voraus.
Das zeigt das die VM allen traffic an 172.16.100.1 gibt. Wenn du stattdessen 44.55.66.77 nehmen willst musst du die default route in der VM ändern. Und dann natürlich auch die route eingeben wie sie zu 44.55.66.77 gelangt.

Hi und Danke für die Antwort. Ich kann 44.55.66.77 nicht als Default-Gateway nehmen:

Code: Alles auswählen

# ip r
44.55.66.77 via 172.16.100.1 dev ens3
172.16.100.0/24 dev ens3 proto kernel scope link src 172.16.100.40
# ip route add dev ens3 default via 44.55.66.77
RTNETLINK answers: Network is unreachable

Außerdem will ich doch tun0, was ich nicht erreichen kann, als Default-Gateway, denn wenn ich alles an 44.55.66.77 schicke, gehts nicht verschlüsselt über's VPN.

bluestar · Beitrag von **bluestar** » 17.10.2017 08:26:26

Für mich klingt das sehr nach source based routing,
alles was von der IP der VM ausgeht, muss über die Tunnel-IP des VPNs geroutet werden. SIEHE tun0 PtP-IP

bumer · Beitrag von **bumer** » 17.10.2017 12:49:25

bluestar hat geschrieben:
17.10.2017 08:26:26
Für mich klingt das sehr nach source based routing,
alles was von der IP der VM ausgeht, muss über die Tunnel-IP des VPNs geroutet werden. SIEHE tun0 PtP-IP

Könntest Du bitte etwas konkreter werden? Vielleicht ein Beispiel? Danke.

jeff84 · Beitrag von **jeff84** » 17.10.2017 14:37:13

Code: Alles auswählen

echo  "1 kvmvpn" >> /etc/iproute2/rt_tables
ip route add default via 10.8.0.5 dev tun0 table kvmvpn
ip route add 172.16.100.0/24 dev NATbr7 source 172.16.100.1 table kvmvpn
ip rule add from 172.16.100.0/24 table kvmvpn
ip rule add to 172.16.100.0/24 table kvmvpn

bluestar · Beitrag von **bluestar** » 17.10.2017 15:40:25

debianforum.de

KVM soll das VPN des Hosts nutzen

KVM soll das VPN des Hosts nutzen

Re: KVM soll das VPN des Hosts nutzen

Re: KVM soll das VPN des Hosts nutzen

Re: KVM soll das VPN des Hosts nutzen

Re: KVM soll das VPN des Hosts nutzen

Re: KVM soll das VPN des Hosts nutzen

Re: KVM soll das VPN des Hosts nutzen