У меня два Linux сервера. Я хочу использовать туннель GRE для маршрутизации всего интернет-трафика от ClientBox через туннель к GatewayBox, так что для остальной части Интернета мой ClientBox выглядит как GatewayBox, и поэтому я могу использовать внешний IP-адрес GatewayBox для всего использования ClientBox в Интернете. Я установил между ними туннель GRE (прокси не подходит для моих конкретных нужд).
Мой туннель GRE работает! Я могу пинговать оба конца.
Теперь мне нужно настроить GatewayBox для фактической маршрутизации этих входящих подключений из ClientBox в Интернет и обратно в ClientBox. Итак, я запустил следующий сценарий:
#! /bin/bash
IPTABLES=/sbin/iptables
WANIF='ens3' # servers from this company use ens3 instead of eth0, it seems
LANIF='gre1' # both boxes have the gre tunnel set up as gre1
# enable ip forwarding in the kernel
echo 'Enabling Kernel IP forwarding...'
/bin/echo 1 > /proc/sys/net/ipv4/ip_forward
# flush rules and delete chains
echo 'Flushing rules and deleting existing chains...'
$IPTABLES -F
$IPTABLES -X
# enable masquerading to allow LAN internet access
echo 'Enabling IP Masquerading and other rules...'
$IPTABLES -t nat -A POSTROUTING -o $LANIF -j MASQUERADE
$IPTABLES -A FORWARD -i $LANIF -o $WANIF -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -i $WANIF -o $LANIF -j ACCEPT
$IPTABLES -t nat -A POSTROUTING -o $WANIF -j MASQUERADE
$IPTABLES -A FORWARD -i $WANIF -o $LANIF -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -i $LANIF -o $WANIF -j ACCEPT
echo 'Done.'
Затем в ClientBox я выполняю:
$ curl whatismyip.com --interface gre1
и я вижу, как количество пакетов FORWARD и POSTROUTING увеличивается на GatewayBox. Но curl на ClientBox никогда не получает ответа и в конечном итоге истекает.
Таким образом, либо трафик не возвращается успешно между двумя устройствами, либо он вообще не попадает в Интернет. Чтобы убедиться в этом, я установил образец тестового сервера и файл PHP, который записывает в файл, если он получает какие-либо обращения / трафик. Когда я пробую команду curl из ClientBox, он ничего не пишет. Но когда я тестирую его со своего ноутбука, он распознает попадание / трафик.
Таким образом, трафик никогда не попадает в Интернет.
Вот конфигурация GatewayBox: (прокрутите вниз)
# ip address
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: ens3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
link/ether 56:00:02:2f:e2:ce brd ff:ff:ff:ff:ff:ff
inet 95.179.179.240/23 brd 95.179.179.255 scope global dynamic ens3
valid_lft 79871sec preferred_lft 79871sec
inet6 fe80::5400:2ff:fe2f:e2ce/64 scope link
valid_lft forever preferred_lft forever
3: gre0@NONE: <NOARP> mtu 1476 qdisc noop state DOWN group default qlen 1000
link/gre 0.0.0.0 brd 0.0.0.0
4: gretap0@NONE: <BROADCAST,MULTICAST> mtu 1462 qdisc noop state DOWN group default qlen 1000
link/ether 00:00:00:00:00:00 brd ff:ff:ff:ff:ff:ff
5: erspan0@NONE: <BROADCAST,MULTICAST> mtu 1450 qdisc noop state DOWN group default qlen 1000
link/ether 00:00:00:00:00:00 brd ff:ff:ff:ff:ff:ff
6: gre1@NONE: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1476 qdisc noqueue state UNKNOWN group default qlen 1000
link/gre 95.179.179.240 peer 155.138.239.111
inet 10.10.10.2/24 scope global gre1
valid_lft forever preferred_lft forever
inet6 fe80::200:5efe:5fb3:b3f0/64 scope link
valid_lft forever preferred_lft forever
# ip route show
default via 95.179.178.1 dev ens3 proto dhcp metric 100
10.10.10.0/24 dev gre1 proto kernel scope link src 10.10.10.2
95.179.178.0/23 dev ens3 proto kernel scope link src 95.179.179.240
155.138.239.111 dev ens3 scope link
169.254.169.254 via 95.179.178.1 dev ens3 proto dhcp metric 100
# curl ipinfo.io --interface ens3
{
"ip": "95.179.179.240",
"hostname": "95.179.179.240.vultr.com",
"city": "Haarlem",
"region": "North Holland",
"country": "NL",
"loc": "52.3902,4.6568",
"org": "AS20473 Choopa, LLC",
"postal": "2031",
"timezone": "Europe/Amsterdam",
"readme": "https://ipinfo.io/missingauth"
}
# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
# iptables -L -t nat
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- anywhere anywhere
MASQUERADE all -- anywhere anywhere
Есть идеи, как я могу заставить это работать?