У меня странная ситуация, когда мне нужно сделать следующее:
Подключите туннель OpenVPN со статическими IP-адресами RFC1918 (подумайте о 10.3.3.1 для серверной части и 10.3.3.2 для клиентской части) и используйте его напрямую гостем KVM. Я пытаюсь добиться того, чтобы гость KVM ничего не знал о LAN и только о VPN-туннеле.
РЕДАКТИРОВАТЬ: Чтобы мне не пришлось возиться с межсетевыми экранами :-)
Обычно я бы попытался соединить tun-устройство с интерфейсом KVM и назначить KVM статический IP-адрес (10.3.3.2). Это мудро или есть способ лучше?
Хорошо, это оказалось довольно сложно сделать. Так что я этого не сделал. Я выбрал брандмауэр.
Гость KVM теперь настроен на мостовое соединение и имеет фиксированный MAC / IP. Используя ebtables на хосте, я указал, что гость может подключаться только к MAC-адресу маршрутизатора, и я также ограничил гостевой MAC-адрес, чтобы использовать IP-адрес, который я настроил, иначе отключение автоматически. Таким образом, я могу использовать обычные iptables на маршрутизаторе, чтобы разрешить только гостевые подключения к VPN-серверу в Интернете. Я закончил с пятью строками хорошо продуманных правил ebtables / iptables. Все остальное (ARP или IP-связь внутри подсети, связь с другими хостами в Интернете) автоматически отключается.
При такой настройке гость, когда он не подключен к сети через VPN, не может даже обнаружить, что в той же подсети есть другие хосты, кроме маршрутизатора. Интернет также состоит только из VPN-сервера. Мне нравится :-)