डॉकर कंटेनर को होस्ट सुरंग इंटरफ़ेस पर OpenVPN क्लाइंट से कनेक्ट करने की अनुमति दें

12

मेरे पास निम्न सेटअप है:

  • DoC सेवा चलाने वाला एक CentOS होस्ट
  • एक उपयोगकर्ता परिभाषित docker ब्रिज नेटवर्क
  • उस उपयोगकर्ता परिभाषित पुल नेटवर्क से जुड़े 2 डॉकटर कंटेनर
  • एक OpenVPN स्थापना (वर्तमान में मेजबान पर चल रही है। एक डॉकटर कंटेनर में भी चल सकती है)
  • कुछ ग्राहक OpenVPN से जुड़े हैं

मैं टुके ब्रिज नेटवर्क पर डॉकटर कंटेनरों के लिए ट्यून नेटवर्क पर ओपनवीएनएन क्लाइंट्स के साथ संवाद करने की अनुमति कैसे दे सकता हूं?

मैं पारदर्शी तरीके से docker1 (10.10.0.3) और vpn (172.19.0.x रेंज) से जुड़े क्लाइंट के बीच टीसीपी आधारित संचार करने में सक्षम होना चाहता हूं।

मुझे डॉकटर (नेटवर्किंग / iptables / ...) की ओर और होस्ट (iptables) पर क्या सेटअप करने की आवश्यकता है?

openvpn  docker 
ddewaele
स्रोत
1
हो सकता है कि देर से, लेकिन आपके मामले में मेरा मानना ​​है कि आपको tapनट की जरूरत है tun, मैं उस पर 12 घंटे से अधिक काम कर रहा हूं, जो अब तक सफल नहीं हुआ है।
मोहम्मद नौरेलिन
@MohammedNoureldin क्या आप लोगों ने कोई हल ढूंढा है? मैं भी अब टैप डिवाइस पर विचार कर रहा हूं। निराशा की बात यह है कि ओप्पन कंटेनर के भीतर से मैं वीपीएन ग्राहकों तक पहुंच सकता हूं। और vpn क्लाइंट से मैं उसी डॉकटर नेटवर्क पर अन्य कंटेनरों तक पहुंच सकता हूं। लेकिन ovpn कंटेनर के अंदर "eth0" और tun0 के बीच अग्रेषण काम नहीं कर रहा है। मुझे लगता है कि यह tun0 प्रकृति बनाम टैप के कारण है।
ह्यूजेंस
@ ह्यूजेंस, हां मैंने इसे हल किया है, कृपया एक अलग प्रश्न पूछें और मुझे एक संदर्भ दें और मैं आपकी मदद करने की पूरी कोशिश करूंगा।
मोहम्मद नौरेलिन
1
हाय @MohammedNoureldin मुझे इसके लिए काम करने के लिए 2 लापता निर्देश मिले हैं। वे खुले मैन पेज p में थे। मैं इस सवाल का जवाब जल्द ही दूसरों के लिए दूंगा।
ह्यूजेंस
1
@Huygens, यह जानकर अच्छा लगा कि वास्तव में मेरे पास उत्तर पोस्ट करने के लिए अभी तक समय नहीं है, लेकिन मुझे यह देखने में दिलचस्पी है कि आपके मामले में क्या काम हुआ।
मोहम्मद नोरेल्डिन

जवाबों:

7

प्रसंग

मैं काइल मन्ना ( https://github.com/kylemanna/docker-openvpn ) से बहुत अच्छे डॉकटर कंटेनर का उपयोग कर रहा हूं । मैं अपने OpenVPN सर्वर को सेट करने के लिए तथाकथित "पैरानॉयड" प्रलेखन का उपयोग कर रहा हूं, लेकिन मेरे विचार में यह मानक तरीका होना चाहिए न कि पैरानॉयड तरीका।

विन्यास

चयनित डॉकटर कंटेनरों और वीपीएन ग्राहकों के बीच द्वि-दिशात्मक कनेक्शन की अनुमति देने के लिए, आपको एक डॉकर नेटवर्क बनाने की आवश्यकता है, जिस पर आप कंटेनर संलग्न करने जा रहे हैं, जिसे वीपीएन ग्राहकों द्वारा एक्सेस करने की अनुमति दी जानी चाहिए। वीपीएन सर्वर उन कंटेनरों में से एक होने जा रहा है।

VPN सर्वर होना चाहिए client-to-client, topology subnet, dev tun0(या अन्य tun डिवाइस) और push "route <docker net IP> <docker net mask>"कॉन्फ़िगर किया गया।

वीपीएन सर्वर के होस्ट को एक सबनेट से दूसरे में आईपी पैकेट को अग्रेषित करने के लिए कॉन्फ़िगर किया जाना चाहिए। इसका मतलब है कि sysctl ip_forward को 1 पर सेट करना (यह होना चाहिए अगर आपके पास डॉकर इंस्टॉल है), ट्यून डिवाइस से पैकेट को iptables फॉरवर्ड चेन से गुजरने और उचित रूटिंग सेट करने की अनुमति देता है। इसे इन आदेशों के साथ संक्षेप में प्रस्तुत किया जा सकता है:

$ sudo sysctl -w net.ipv4.ip_forward=1
$ sudo iptables -A FORWARD -i tun+ -j ACCEPT
$ sudo ip route add 192.168.255.0/24 via <IP address of OpenVPN server container>

वैसे भी, यहाँ वे विकल्प हैं जो मैंने सर्वर को सेट-अप करने के लिए उपयोग किया है:

$ docker run --rm --net=none -it -v $PWD/files/openvpn:/etc/openvpn kylemanna/openvpn:2.4 ovpn_genconfig -u udp://<FQDN> -N -d -c -p "route <docker net IP> <docker net range>" -e "topology subnet"

यह एक सर्वर कॉन्फिगर फाइल जनरेट करना चाहिए:

server 192.168.255.0 255.255.255.0
verb 3
key /etc/openvpn/pki/private/vpn.example.com.key
ca /etc/openvpn/pki/ca.crt
cert /etc/openvpn/pki/issued/vpn.example.com.crt
dh /etc/openvpn/pki/dh.pem
tls-auth /etc/openvpn/pki/ta.key
key-direction 0
keepalive 10 60
persist-key
persist-tun

proto udp
# Rely on Docker to do port mapping, internally always 1194
port 1194
dev tun0
status /tmp/openvpn-status.log

user nobody
group nogroup
client-to-client

### Push Configurations Below
push "dhcp-option DNS 8.8.8.8"
push "route 172.20.20.0 255.255.255.0"

### Extra Configurations Below
topology subnet

ठोस उदाहरण

मैं अब एक ठोस उदाहरण लूंगा। इस उदाहरण में, मैं होस्ट vpn.example.com पर डॉकर के अंदर उपर्युक्त ओपनवीपीएन सर्वर चलाऊंगा। यह कंटेनर डोकर नेटवर्क डोकर-नेट-वीपीएन से जुड़ा हुआ है। यहां कमांड हैं (इस उदाहरण में मैं सर्वर पर सीधे सर्वर कॉन्फ़िगरेशन उत्पन्न करता हूं और मैं सीए पीढ़ी को छोड़ देता हूं, कृपया इसके बजाय उपरोक्त उल्लेख परियोजना के पागल दस्तावेज़ का पालन करें):

$ docker network create --attachable=true --driver=bridge --subnet=172.20.20.0/24 --gateway=172.20.20.1 docker-net-vpn
$ docker run --rm --net=none -it -v $PWD/files/openvpn:/etc/openvpn kylemanna/openvpn:2.4 ovpn_genconfig -u udp://vpn.example.com -N -d -c -p "route 172.20.20.0 255.255.255.0" -e "topology subnet"
$ docker run --detach --name openvpn -v $PWD/files/openvpn:/etc/openvpn --net=docker-net-vpn --ip=172.20.20.2 -p 1194:1194/udp --cap-add=NET_ADMIN kylemanna/openvpn:2.4
$ sudo sysctl -w net.ipv4.ip_forward=1
$ sudo iptables -A FORWARD -i tun+ -j ACCEPT
$ sudo ip route add 192.168.255.0/24 via 172.20.20.2

पहला कमांड एक समर्पित नया डॉकर नेटवर्क बनाता है जो एक नए सबनेट को परिभाषित करता है। हम इस नेटवर्क के लिए OpenVPN सर्वर को संलग्न करेंगे।

दूसरा कमांड OpenVPN कॉन्फ़िगरेशन को उसी सबनेट का उपयोग करके बनाता है जैसा कि 1 कमांड में परिभाषित किया गया है।

तीसरा एक OpenVPN सर्वर बनाता है। यह नए बनाए गए डॉकर नेटवर्क से जुड़ा है और एक फिक्स आईपी का उपयोग करता है।

चौथा और पांचवां आदेश आईपी अग्रेषण को कॉन्फ़िगर करता है।

अंतिम कमांड ओपन वीपीएन कंटेनर फिक्स्ड आईपी के माध्यम से वीपीएन क्लाइंट कॉन्फ़िगरेशन की ओर एक नया मार्ग जोड़ता है।

ध्यान दें

मैंने इसकी कोशिश नहीं की है, लेकिन यह संभव है कि iptables के लिए FORWARD नियम को प्रतिबंधित किया जाए। डॉकर नेटवर्क निर्माण ने एक नया ब्रिज डिवाइस बनाया। इस पुल का नाम br-<ID>ID के साथ Docker नेटवर्क ID के पहले 12 अक्षर हैं। इस आईडी से प्राप्त किया जा सकता है docker network inspect -f '{{.Id}}' docker-net-vpn | cut -b-12। इसलिए निम्नलिखित आदेश शायद अधिक प्रतिबंधात्मक (इतना बेहतर सुरक्षा-वार) है, लेकिन फिर भी हमारे ट्रैफ़िक को रूट करने की अनुमति देनी चाहिए:

$ NET_VPN_BRIDGE="br-$(docker network inspect -f '{{.Id}}' docker-net-vpn | cut -b-12)"
$ sudo iptables -A FORWARD -i tun+ -o ${NET_VPN_BRIDGE} -j ACCEPT
हुय्गेंस
स्रोत
अरे, यह काम करने के लिए नहीं मिल सकता है, मैं 192.168.255.6 को ट्रैसरोट कर सकता हूं और मुझे मिलता है: 1 gnet (172.20.20.1) 1966.269 ms !H 1966.248 ms !H 1966.239 ms !Hलेकिन मैं खुले बंदरगाहों तक पिंग या पहुंच नहीं सकता।
ग्यूसॉफ्ट
हाय @GuySoft क्या ट्रेसरआउट रिपोर्ट कर रहा है कि आपका अंतिम हॉप (172.20.20.1) मेजबान 192.168.255.6 तक नहीं पहुंच सकता है। तो इसका मतलब है कि आपकी रूटिंग टेबल शायद गलत है। क्या हम यह देखने के लिए चैट कर सकते हैं कि समस्या कहाँ है?
ह्यूजेंस
यह काम करना शुरू कर देता है, मुझे लगता है कि क्या खुशी है कि दोनों मशीनों ने डॉकटर स्थापित किया था, और दोनों के पास एक सबनेट 172.20.20.1 था, जिससे चीजें टकरा गई थीं, मुझे डॉकटर बनाने के लिए एक ऐसा तरीका खोजने की आवश्यकता है जो क्लाइंट मशीन पर टकराए नहीं। ।
ग्यूसॉफ्ट
यदि आप Docker Compose का उपयोग करते हैं, तो आप IP पता श्रेणी निर्दिष्ट कर सकते हैं जिसका नेटवर्क को उपयोग करना चाहिए। कंपोज़ डॉक्यूमेंटेशन देखें। कमांड लाइन से इसे करना भी संभव है docker network…
ह्यूजेंस
मुझे लगता है कि वह हिस्सा नहीं मिल रहा है जहां होस्ट (होस्ट आईपी + ओपनवीपीएन पोर्ट) का कनेक्शन ओपनवीपीएन कंटेनर (172.20.20.2) पर रूट किया जा रहा है
jtomasrl
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.