У меня есть два сервера узла рабочий Xen 4.2 - я назову их Узлом A и Узлом B.
Узел A выполняет OpenVPN как сервер. Узел B выполняет OpenVPN как клиент. Оба узла размещают много гостей Xen VMs. Узел A и Узел B соединены вместе через OpenVPN, таким образом, что Узел A 10.0.0.1, и Узел B 10.0.0.2.
Вот то, где проблемы запускаются:
Если я подключаю к гостю VM на Узле B через SSH и выхожу who
команда, это правильно сообщает, что я зарегистрирован от моего домашнего IP-адреса Comcast.
Однако, если я подключаю к гостю VM на Узле A и выхожу who
команда, это говорит, что я зарегистрирован, но не от моего IP Comcast - скорее от основного IP-адреса Узла A.
Это проблематично не только потому, что гость, которого неправильно записывают VMs, куда логины прибывают из, но у нас также есть обнаружение грубой силы. Пять неудавшихся логинов подряд и Вы запрещаетесь. Так как все логины теперь, кажется, прибывают из основного IP-адреса узла A, узел A заблокирован брандмауэром, и VM отбрасывает офлайн.
Кто-либо знает, почему это происходит?
route -n
вывод от узла A:
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 204.XX.60.65 0.0.0.0 UG 0 0 0 em1
10.0.0.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
169.254.0.0 0.0.0.0 255.255.0.0 U 1004 0 0 em1
204.XX.60.0 0.0.0.0 255.255.255.0 U 0 0 0 em1
Содержание/etc/openvpn/server.conf от узла A:
port 1194
proto tcp-server
dev tun0
# 10.0.0.1 is server-vpn
# 10.0.0.2 is backup-vpn
ifconfig 10.0.0.1 10.0.0.2
# Our pre-shared static key
secret static.key
# LZO compression
comp-lzo
tun-mtu 64800
mssfix 1440
# 3 -- medium output, good for normal operation.
verb 3
Эта проблема решена, в iptables было ошибочное правило POSTROUTING MASQUERADE, не связанное с установкой OpenVPN.
Я удалил правило с помощью:
iptables -t nat -D POSTROUTING 1
Где 1
это номер правила, полученный из service iptables status
.