У меня есть сервер с контейнерами OpenVZ. Туннель IPsec настроен на аппаратном узле (HN), и я хотел бы сделать удаленную сеть доступной в контейнерах (CT). Как я могу это сделать?
Текущая настройка выглядит так:
CT не может связаться с хостами в удаленной сети 192.168.200.0/24, и я не знаю, как это сделать. Можно ли это сделать с помощью интерфейса Venet для контейнеров или мне нужно переключиться на veth? Это отсутствующий маршрут на HN? Должен ли я включать какой-либо NAT на HN?
Любая помощь будет оценена по достоинству.
ОБНОВИТЬ: Если CT отправляет эхо-запрос со своего частного адреса, я вижу запрос / ответ icmp с помощью tcpdump на интерфейсе venet0 на хосте. Похоже, с исходящим трафиком все в порядке, но входящий заблокирован.
Чтобы сделать туннели IPsec хоста доступными для ваших контейнеров, вам необходимо запустить это в своем контейнере:
sysctl -w net.ipv4.conf.venet0.disable_policy=1
Это отключит проверку политики IPSEC (SPD) на интерфейсе VZ. Это необходимо адаптировать, если в контейнере используются ветеринарные устройства.
Подробнее см .: