मैं एक नेटवर्क नेमस्पेस स्थापित करने में सक्षम था, ओपनवैन के साथ एक सुरंग स्थापित करता था और एक आवेदन शुरू करता था जो नेमस्पेस के अंदर इस सुरंग का उपयोग करता था। अब तक बहुत अच्छा है, लेकिन इस एप्लिकेशन को एक वेब इंटरफेस के माध्यम से एक्सेस किया जा सकता है और मुझे यह पता नहीं है कि मेरे लैन के अंदर वेब इंटरफ़ेस के लिए अनुरोध कैसे करें।
मैंने @schnouki के एक गाइड का अनुसरण करते हुए बताया कि कैसे एक नेटवर्क नेमस्पेस सेट किया जाए और इसके अंदर ओपनवीपीएन चलाया जाए
ip netns add myvpn
ip netns exec myvpn ip addr add 127.0.0.1/8 dev lo
ip netns exec myvpn ip link set lo up
ip link add vpn0 type veth peer name vpn1
ip link set vpn0 up
ip link set vpn1 netns myvpn up
ip addr add 10.200.200.1/24 dev vpn0
ip netns exec myvpn ip addr add 10.200.200.2/24 dev vpn1
ip netns exec myvpn ip route add default via 10.200.200.1 dev vpn1
iptables -A INPUT \! -i vpn0 -s 10.200.200.0/24 -j DROP
iptables -t nat -A POSTROUTING -s 10.200.200.0/24 -o en+ -j MASQUERADE
sysctl -q net.ipv4.ip_forward=1
mkdir -p /etc/netns/myvpn
echo 'nameserver 8.8.8.8' > /etc/netns/myvpn/resolv.conf
उसके बाद, मैं अपने बाहरी आईपी की जांच कर सकता हूं और नाम-पत्र के अंदर और बाहर अलग-अलग परिणाम प्राप्त कर सकता हूं, जैसा कि इरादा था:
curl -s ipv4.icanhazip.com
<my-isp-ip>
ip netns exec myvpn curl -s ipv4.icanhazip.com
<my-vpn-ip>
आवेदन शुरू कर दिया है, मैं इस उदाहरण के लिए प्रलय का उपयोग कर रहा हूँ। मैंने यह सुनिश्चित करने के लिए एक वेब इंटरफ़ेस के साथ कई अनुप्रयोगों की कोशिश की कि यह एक विशिष्ट विशिष्ट समस्या नहीं है।
ip netns exec myvpn sudo -u <my-user> /usr/bin/deluged
ip netns exec myvpn sudo -u <my-user> /usr/bin/deluge-web -f
ps $(ip netns pids myvpn)
PID TTY STAT TIME COMMAND
1468 ? Ss 0:13 openvpn --config /etc/openvpn/myvpn/myvpn.conf
9302 ? Sl 10:10 /usr/bin/python /usr/bin/deluged
9707 ? S 0:37 /usr/bin/python /usr/bin/deluge-web -f
अगर मैं vep vpn1 का IP निर्दिष्ट करता हूं, तो मैं नेमस्पेस और बाहर से 8112 पोर्ट पर वेब इंटरफेस का उपयोग करने में सक्षम हूं।
ip netns exec myvpn curl -Is localhost:8112 | head -1
HTTP/1.1 200 OK
ip netns exec myvpn curl -Is 10.200.200.2:8112 | head -1
HTTP/1.1 200 OK
curl -Is 10.200.200.2:8112 | head -1
HTTP/1.1 200 OK
लेकिन मैं अपने सर्वर से नामस्थान में आवेदन करने के लिए 8112 पोर्ट को पुनर्निर्देशित करना चाहता हूं। लक्ष्य मेरे लैन के अंदर एक कंप्यूटर पर एक ब्राउज़र खोलना और http: // my-server-ip: 8112 के साथ वेब इंटरफ़ेस प्राप्त करना है (मेरा-सर्वर-आईपी सर्वर का स्थिर आईपी जा रहा है जो नेटवर्क इंटरफ़ेस को त्वरित करता है)
संपादित करें: मैंने iptables नियम बनाने के अपने प्रयासों को हटा दिया। मैं जो करने की कोशिश कर रहा हूं उसे ऊपर बताया गया है और निम्नलिखित कमांड को HTTP 200 का उत्पादन करना चाहिए:
curl -I localhost:8112
curl: (7) Failed to connect to localhost port 8112: Connection refused
curl -I <my-server-ip>:8112
curl: (7) Failed to connect to <my-server-ip> port 8112: Connection refused
मैंने DNAT और SNAT नियमों की कोशिश की और अच्छे माप के लिए एक MASQUERADE में फेंक दिया, लेकिन जब से मुझे नहीं पता कि मैं क्या कर रहा हूं, मेरे प्रयास व्यर्थ हैं। शायद कोई मुझे इस निर्माण में मदद कर सकता है।
EDIT: का tcpdump आउटपुट tcpdump -nn -q tcp port 8112
। अप्रत्याशित रूप से, पहला कमांड एक HTTP 200 लौटाता है और दूसरा कमांड अस्वीकृत कनेक्शन के साथ समाप्त होता है।
curl -Is 10.200.200.2:8112 | head -1
listening on vpn0, link-type EN10MB (Ethernet), capture size 262144 bytes
IP 10.200.200.1.36208 > 10.200.200.2.8112: tcp 82
IP 10.200.200.2.8112 > 10.200.200.1.36208: tcp 145
curl -Is <my-server-ip>:8112 | head -1
listening on lo, link-type EN10MB (Ethernet), capture size 262144 bytes
IP <my-server-ip>.58228 > <my-server-ip>.8112: tcp 0
IP <my-server-ip>.8112 > <my-server-ip>.58228: tcp 0
EDIT: @schnouki ने मुझे एक डेबियन एडमिनिस्ट्रेशन लेख की ओर इशारा किया जिसमें जेनेरिक iptables TCP प्रॉक्सी की व्याख्या की गई थी । हाथ में समस्या के लिए लागू, उनकी स्क्रिप्ट इस तरह दिखाई देगी:
YourIP=<my-server-ip>
YourPort=8112
TargetIP=10.200.200.2
TargetPort=8112
iptables -t nat -A PREROUTING --dst $YourIP -p tcp --dport $YourPort -j DNAT \
--to-destination $TargetIP:$TargetPort
iptables -t nat -A POSTROUTING -p tcp --dst $TargetIP --dport $TargetPort -j SNAT \
--to-source $YourIP
iptables -t nat -A OUTPUT --dst $YourIP -p tcp --dport $YourPort -j DNAT \
--to-destination $TargetIP:$TargetPort
दुर्भाग्य से, वेथ इंटरफेस के बीच यातायात जब्त हो गया और कुछ नहीं हुआ। हालाँकि, @schnouki ने भी socat
टीसीपी प्रॉक्सी के रूप में उपयोग का सुझाव दिया था और यह पूरी तरह से काम कर रहा है।
curl -Is <my-server-ip>:8112 | head -1
IP 10.200.200.1.43384 > 10.200.200.2.8112: tcp 913
IP 10.200.200.2.8112 > 10.200.200.1.43384: tcp 1495
मैं अभी तक अजीब बंदरगाह फेरबदल को समझने के लिए है, जबकि ट्रैफिक वीथ इंटरफेस से गुजर रहा है, लेकिन मेरी समस्या अब हल हो गई है।
veth
उपकरणों के साथ कोई अनुभव नहीं है (यह बहुत दिलचस्प लगता है, हालांकि ... ;-))। क्या आपने यहtcpdump
जांचने के लिए उपयोग किया है कि आने वाले पैकेट्स कितनी दूर हैं? यदिtcpdump -i veth0
कुछ दिखाई नहीं देता है तोtcpdumo -i lo
आवश्यक हो सकता है।