Автор Тема: Доступ к подсети OpenVpn из контейнеров LXC  (Прочитано 938 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн zuart

  • Новичок форума
  • Topic Author
  • Сообщений: 9
Приветствую, нужна помощь-совет...

Имеется:
- сервер с выделенным блоком внешних IP-ов (a.a.a.x-a.a.a.y)
- один из адресов выделен самому серверу, остальные распределены на LXC-контейнеры (чтобы каждый контейнер ВЫХОДИЛ НАРУЖУ со своим IP-ом)
- сервер с контейнерами общается по виртуальной сети в адресном пространстве 10.0.0.0/24 (пусть будет 10.0.0.1 - сервер, 10.0.0.1XX - контейнеры)
- сервер при запуске поднимает openvpn соединение к удаленному офису и получает на TUN-интерфейсе адрес из подсети 10.10.0.0/24
- сам сервер прекрасно соединяется со всеми офисными сервисами по адресам из 10.10.0.0/24 без проблем

и вот тут возникает самый главный вопрос, как сделать так, чтобы и службы из LXC-контейнеров тоже могли коннектится к сервисам офиса через уже поднятый канал самого сервера... пока вышел из ситуации путем поднятия каждым контейнером своего openvpn-канала, но это извращение какое-то...

пытался прописать роуты в контейнере, чтобы пакеты на адреса из 10.10.0.0/24 роутились через 10.0.0.1 (сервер), но судя по всему этого мало, подозреваю, что в iptables сервера нужно что-то прописать, но что - х.з. (любой форвардинг "по-умолчанию" разрешен)

Буду благодарен за помощь
 

Оффлайн alexxnight

  • Активный пользователь
  • **
  • Сообщений: 80
Re: Доступ к подсети OpenVpn из контейнеров LXC
« Ответ #1 : 12 Март 2018, 16:47:12 »
То, что Вы сделали отдельный канал для каждого LXC - это правильно. Но Вас не устраивает...
Можно на хосте сделать перенаправление пакетов из подсети 10.0.0.0/24 порт 80 на другой сервер Вашего офиса
iptables -t nat -A PREROUTING -p tcp -s 10.0.0.0/24 --dport 80 -j DNAT --to-destination 10.10.0.1:80

У этого решения есть некоторая недоделка, надеюсь, что Вы доделаете...
 

Оффлайн zuart

  • Новичок форума
  • Topic Author
  • Сообщений: 9
Re: Доступ к подсети OpenVpn из контейнеров LXC
« Ответ #2 : 15 Март 2018, 23:58:27 »
То, что Вы сделали отдельный канал для каждого LXC - это правильно. Но Вас не устраивает...
Спасибо, направление взято - допилил =)

А почему ПРАВИЛЬНО для каждого контейнера свой канал, если по сути своей контейнеры и сам сервер не для многопользовательского доступа.

Да и еще момент - насколько канал OpenVpn дает задержки пакетов?
 


Оффлайн alexxnight

  • Активный пользователь
  • **
  • Сообщений: 80
Re: Доступ к подсети OpenVpn из контейнеров LXC
« Ответ #3 : 16 Март 2018, 11:11:06 »
А почему ПРАВИЛЬНО для каждого контейнера свой канал, если по сути своей контейнеры и сам сервер не для многопользовательского доступа.
Например, каждый отдельный канал удобно мониторить и настраивать. Также, если ключи и сертификаты будут скомпрометированы, то это коснется только одного канала. Но, похоже, что это не Ваш случай...

Да и еще момент - насколько канал OpenVpn дает задержки пакетов?
Скорость сетевого трафика снижается, да. По моим наблюдениям 1-5%.
Мониторю сетевой трафик, сравниваю скорость передачи по eth и по tap.
 

Оффлайн zuart

  • Новичок форума
  • Topic Author
  • Сообщений: 9
Re: Доступ к подсети OpenVpn из контейнеров LXC
« Ответ #4 : 16 Март 2018, 19:14:17 »
Например, каждый отдельный канал удобно мониторить и настраивать. Также, если ключи и сертификаты будут скомпрометированы, то это коснется только одного канала. Но, похоже, что это не Ваш случай...
Да, тут Вы правы. По сути все эти махинации с LXC-контейнерами ради одной хрени, на них запущено по одной службе, которые работают с сервисами с разных IP-адресов для обхода ограничений на лимиты, собирают в кучу и скидывают обработанные данные по openvpn-каналу в центр обработки и консолидации. Так что тут ни о каких компрометациях сертификатов речи нет - в том плане, что если и спалится, то меняется просто на хост-машине и все.

А по поводу потери скорости в 5% - многовато как-то =((( Есть какие-то альтернативы с шифрованием потока передаваемой информации с меньшими потерями на канале?
 

Оффлайн alexxnight

  • Активный пользователь
  • **
  • Сообщений: 80
Re: Доступ к подсети OpenVpn из контейнеров LXC
« Ответ #5 : 18 Март 2018, 14:13:05 »
Мне кажется, что Вы не поняли. Снижение на 1-5%.
По основному каналу 100%, по OVPN - 95-99%, т.е. почти с такой же скоростью, как и основной канал.
Замеры я проводит на tcp соединении, с шифрованием
 

Оффлайн zuart

  • Новичок форума
  • Topic Author
  • Сообщений: 9
Re: Доступ к подсети OpenVpn из контейнеров LXC
« Ответ #6 : 18 Март 2018, 16:20:09 »
Мне кажется, что Вы не поняли. Снижение на 1-5%.
По основному каналу 100%, по OVPN - 95-99%, т.е. почти с такой же скоростью, как и основной канал.
Да нет, я все верно понял =) просто потеря 1-2% - еще норм, а вот 5%+ - уже многовато...
Хотя, если откровенно - не критично, просто стремление к идеалу
 

Оффлайн Bitkovski

  • И таки да!!!
  • Пользователь
  • *
  • Сообщений: 46
  • большой тухес тоже нахес
Re: Доступ к подсети OpenVpn из контейнеров LXC
« Ответ #7 : 12 Ноябрь 2019, 14:08:36 »
Доброго времени суток, уважаемые.
Накатил я на одном из серверов Дебиан, наконец то начальство позволило, а поверх поставил Proxmox. До кучи присобачил контейнеры turnkey.
Всё хорошо и всё работает, но как всегда возникло одно НО:
Как сделать шаблон из виртуальной машины или контейнера самостоятельно?
Может кто заморачивался с таким делом.
« Последнее редактирование: 12 Ноябрь 2019, 14:10:13 от Bitkovski »
Таки не думайте, что ви самый умный. Здесь все Евреи!!!
 


Теги:
 

Не получается получить доступ к Интернету через PPTPD

Автор Klader

Ответов: 16
Просмотров: 3833
Последний ответ 22 Август 2012, 14:53:47
от kobzar
Доступ по SSH к Debian Jessie

Автор ColdRain

Ответов: 14
Просмотров: 1913
Последний ответ 31 Январь 2017, 10:34:44
от ColdRain
Как открыть доступ к сайту из интернета в Linux debian 7(apache2+php+mysql)?HELP

Автор moskov199

Ответов: 4
Просмотров: 3615
Последний ответ 16 Август 2013, 16:04:17
от gardarea51
Samba доступ к папкам с паролем и без

Автор DIESEL

Ответов: 11
Просмотров: 536
Последний ответ 24 Июнь 2019, 07:53:39
от DIESEL
(РЕШЕНО) Доступ к FTP-серверу (vsftpd) по паролю и анонимный.

Автор caspar

Ответов: 3
Просмотров: 1912
Последний ответ 06 Январь 2018, 11:08:36
от caspar