Доступ к подсети OpenVpn из контейнеров LXC

zuart · 12 марта 2018, 10:24:46

Приветствую, нужна помощь-совет...

Имеется:
- сервер с выделенным блоком внешних IP-ов (a.a.a.x-a.a.a.y)
- один из адресов выделен самому серверу, остальные распределены на LXC-контейнеры (чтобы каждый контейнер ВЫХОДИЛ НАРУЖУ со своим IP-ом)
- сервер с контейнерами общается по виртуальной сети в адресном пространстве 10.0.0.0/24 (пусть будет 10.0.0.1 - сервер, 10.0.0.1XX - контейнеры)
- сервер при запуске поднимает openvpn соединение к удаленному офису и получает на TUN-интерфейсе адрес из подсети 10.10.0.0/24
- сам сервер прекрасно соединяется со всеми офисными сервисами по адресам из 10.10.0.0/24 без проблем

и вот тут возникает самый главный вопрос, как сделать так, чтобы и службы из LXC-контейнеров тоже могли коннектится к сервисам офиса через уже поднятый канал самого сервера... пока вышел из ситуации путем поднятия каждым контейнером своего openvpn-канала, но это извращение какое-то...

пытался прописать роуты в контейнере, чтобы пакеты на адреса из 10.10.0.0/24 роутились через 10.0.0.1 (сервер), но судя по всему этого мало, подозреваю, что в iptables сервера нужно что-то прописать, но что - х.з. (любой форвардинг "по-умолчанию" разрешен)

Буду благодарен за помощь

alexxnight · 12 марта 2018, 16:47:12

То, что Вы сделали отдельный канал для каждого LXC - это правильно. Но Вас не устраивает...
Можно на хосте сделать перенаправление пакетов из подсети 10.0.0.0/24 порт 80 на другой сервер Вашего офиса
iptables -t nat -A PREROUTING -p tcp -s 10.0.0.0/24 --dport 80 -j DNAT --to-destination 10.10.0.1:80

У этого решения есть некоторая недоделка, надеюсь, что Вы доделаете...

zuart · 15 марта 2018, 23:58:27

Цитата: alexxnight от 12 марта 2018, 16:47:12
То, что Вы сделали отдельный канал для каждого LXC - это правильно. Но Вас не устраивает...

Спасибо, направление взято - допилил =)

А почему ПРАВИЛЬНО для каждого контейнера свой канал, если по сути своей контейнеры и сам сервер не для многопользовательского доступа.

Да и еще момент - насколько канал OpenVpn дает задержки пакетов?

alexxnight · 16 марта 2018, 11:11:06

Цитата: zuart от 15 марта 2018, 23:58:27А почему ПРАВИЛЬНО для каждого контейнера свой канал, если по сути своей контейнеры и сам сервер не для многопользовательского доступа.

Например, каждый отдельный канал удобно мониторить и настраивать. Также, если ключи и сертификаты будут скомпрометированы, то это коснется только одного канала. Но, похоже, что это не Ваш случай...

Цитата: zuart от 15 марта 2018, 23:58:27Да и еще момент - насколько канал OpenVpn дает задержки пакетов?

Скорость сетевого трафика снижается, да. По моим наблюдениям 1-5%.
Мониторю сетевой трафик, сравниваю скорость передачи по eth и по tap.

zuart · 16 марта 2018, 19:14:17

Цитата: alexxnight от 16 марта 2018, 11:11:06Например, каждый отдельный канал удобно мониторить и настраивать. Также, если ключи и сертификаты будут скомпрометированы, то это коснется только одного канала. Но, похоже, что это не Ваш случай...

Да, тут Вы правы. По сути все эти махинации с LXC-контейнерами ради одной хрени, на них запущено по одной службе, которые работают с сервисами с разных IP-адресов для обхода ограничений на лимиты, собирают в кучу и скидывают обработанные данные по openvpn-каналу в центр обработки и консолидации. Так что тут ни о каких компрометациях сертификатов речи нет - в том плане, что если и спалится, то меняется просто на хост-машине и все.

А по поводу потери скорости в 5% - многовато как-то =((( Есть какие-то альтернативы с шифрованием потока передаваемой информации с меньшими потерями на канале?

alexxnight · 18 марта 2018, 14:13:05

Мне кажется, что Вы не поняли. Снижение на 1-5%.
По основному каналу 100%, по OVPN - 95-99%, т.е. почти с такой же скоростью, как и основной канал.
Замеры я проводит на tcp соединении, с шифрованием

zuart · 18 марта 2018, 16:20:09

Цитата: alexxnight от 18 марта 2018, 14:13:05
Мне кажется, что Вы не поняли. Снижение на 1-5%.
По основному каналу 100%, по OVPN - 95-99%, т.е. почти с такой же скоростью, как и основной канал.

Да нет, я все верно понял =) просто потеря 1-2% - еще норм, а вот 5%+ - уже многовато...
Хотя, если откровенно - не критично, просто стремление к идеалу

Bitkovski · 12 ноября 2019, 14:08:36

Доброго времени суток, уважаемые.
Накатил я на одном из серверов Дебиан, наконец то начальство позволило, а поверх поставил Proxmox. До кучи присобачил контейнеры turnkey.
Всё хорошо и всё работает, но как всегда возникло одно НО:
Как сделать шаблон из виртуальной машины или контейнера самостоятельно?
Может кто заморачивался с таким делом.