Route one or multiple Public IPs via VTI over IPSec site-to-site tunnel
Я успешно создал VTI через IPSec Site-to-Site туннель между моим домашним маршрутизатором (UBNT Edgerouter) и выделенным сервером (Ubuntu 16.04) в OVH. Я могу маршрутизировать внутренние частные сети каждой стороны через устройство VTI и получать к ним доступ на другом сайте (я могу получить доступ к частным устройствам диапазона сайта B с устройств с NAT (например, с компьютера за маршрутизатором) на сайте A, и это здорово), но У меня проблема с маршрутизацией через него общедоступной сети.
Сайт A: Домашний маршрутизатор:
Общедоступный основной IP-адрес: 89.xx81
Частные IP-адреса (домашние устройства с NAT): 10.100.10.1/24
VTI: 10.255.12.1/30
~# ip r
default via 89.x.x.1 dev eth0 proto zebra
10.100.10.0/24 dev eth1 proto kernel scope link src 10.100.10.1
10.255.12.0/30 dev vti0 proto kernel scope link src 10.255.12.1
89.x.x.0/22 dev eth0 proto kernel scope link src 89.x.x.81
172.16.0.0/12 dev vti0 proto zebra
~# ip tunnel
vti0: ip/ip remote 51.x.x.136 local 89.x.x.81 ttl inherit nopmtudisc ikey 0 okey 1234
ip_vti0: ip/ip remote any local any ttl inherit nopmtudisc key 0
Сайт B: Сервер на OVH:
Общедоступный IP-адрес: 51.xx136
Блок общедоступных IP-адресов, назначенных / перенаправленных на сервер: 51.xx128 / 28 (только .136 настроен на сервере )
Частные IP-адреса (OVH vRack): 172.16.0.1/12[12211 impressionVTI: 10.255.12.2/30[12212 impressionGoal:[12213 sizes) Настроить один или несколько общедоступных IP-адресов из серверного блока OVH (51. xx128 / 28) через устройство VTI на домашнем роутере (тогда я сделаю 1:1 NAT для назначения IP серверу за маршрутизатором) или непосредственно на устройстве за домашним маршрутизатором, если это возможно.
Это возможно на VTI, или я должен рассмотреть возможность перехода с VTI на GRE, а затем выполнить следующее: https: //serverfault.com/a/557949 ?
Хорошо, я решил это сам несколько дней назад.
Сайт A:
добавил маршрут для общедоступного IP-адреса (который я хочу направить к дому) через vti0 устройство
~# ip r
...
51.x.x.134 dev vti0 scope link
Сайт B (на выбор один из двух вариантов):
Маршрутизация общедоступного IP-адреса к домашнему маршрутизатору
Добавьте требуемый общедоступный IP-адрес к устройству eth0 (или vti0 ) и создайте таблицу маршрутизации с отметкой и шлюзом по умолчанию через vti0 , затем отметьте исходный выходной трафик с помощью iptables .
или
Маршрутизация общедоступного IP-адреса на устройство за домашним маршрутизатором
Создайте DNAT : общедоступный IP-> устройство с NAT а затем создать таблицу маршрутизации для шлюза по умолчанию через vti0 для выбранного устройства с NAT (весь трафик с устройства в Интернет маршрутизируется через VPN )
Итак, я получил то, что мне нужно. Следующим шагом является установка правильного выходного IP-адреса с сервера на сайте A (теперь трафик идет с основного IP-адреса сервера A).
Если мое решение не является лучшим, сообщите мне .
Есть ли другие способы подтвердить мое предположение? Возможно, частный пиринг BGP станет решением ??