VMware ESXI - Туннель VPN к VMs
Действительно необходимо использовать 204, поскольку Nginx не позволит 200 без органа по ответу. Для отправки 204, Вы просто используете директиву возврата для return 204; в соответствующем месте.
У меня вопрос, можно ли настроить VPN-туннель (ipsec) от шлюза в нашем офисе (Cisco RV082) на хост-сервер VMWare, чтобы нам не пришлось открывать все виртуальные машины в Интернет?
Нет. Вы не можете устанавливать сторонние сервисы, такие как VPN-клиент, на гипервизоре.
Это то, что вам нужно:
IP-адрес управления для самого ESXi. Он может быть общедоступным или частным, если вы можете связаться с ним для управления. Если он общедоступный, убедитесь, что он хорошо защищен брандмауэром.
Виртуальная машина для работы в качестве шлюза VPN (OpenVPN, pfsense, RRAS и т. Д.)
По крайней мере, один общедоступный IP-адрес для виртуальной машины, выступающей в качестве шлюза VPN.
Общедоступный vSwitch с общедоступным интерфейсом для вашей виртуальной машины VPN-шлюза.
Частный vSwitch, к которому подключаются остальные ваши «только частные» виртуальные машины.
Вы ' Я подключу вашу виртуальную машину VPN к обоим vSwitches и настрою маршрутизацию через нее. Таким образом, вы туннелируете к виртуальной машине, которая имеет доступ как к общедоступной сети (чтобы вы могли подключиться к ней через VPN), так и к частной сети, чтобы ваши виртуальные машины не подвергались без надобности внешнему миру, и вам не нужно общедоступные IP-адреса для всех из них.
Моя компания постоянно делает это с виртуализированными конечными точками брандмауэра ... Мы - поставщик частного облака, так что это реалистичный сценарий.
Это может происходить в форме виртуализированная система Linux с туннелем n2n (если нет контроля над промежуточными устройствами или нет / недостаточно общедоступных IP-адресов).
У нас также есть клиенты, которые использовали Quagga для маршрутизации и OpenVPN в качестве конечной точки на виртуальной машине.
Другой популярный вариант в наших настройках, а также необходимость в некоторых решениях Amazon Web Services - использование ] Виртуальный межсетевой экран Vyatta в качестве конечной точки VPN.
В пространстве ISP разверните сервер OpenVPN (предпочтительно работающий на Linux из-за небольшого размера). Этот сервер OpenVPN будет иметь два сетевых адаптера, один из которых будет иметь общедоступный IP-адрес, а другой - частный IP-адрес в той же подсети, что и сервер ESXi. ESXi не будет иметь назначенного ему общедоступного IP-адреса, но весь трафик в Интернет будет маршрутизироваться через сервер OpenVPN, который будет действовать как шлюз.
Как это работает?
Когда администратор хочет подключиться к любой из виртуальных машин ESXi, он сначала подключается и аутентифицируется на сервере OpenVPN, используя его общедоступный IP-адрес, который затем предоставит ему доступ к удаленной частной подсети . После подключения к серверу VPN он затем подключится к серверу ESXi, используя свой частный IP-адрес.