Как пробросить трафик виртуальной машины через VPN?

Question

[Сергей Савостин]

Подскажите как осуществить такую хотелку.
Есть Хост (Proxmox), на нем виртаулка. Внешний ip 123.123.123.123. Виртуалка крутится внутри 10.0.0.0/24.
На хосте запускаем OpenVPN клиент (tun0, 10.18.0.0/24) с отключенным redirect-gateway.
Нужно заставить ходить весь трафик из виртуалки и обратно через VPN, но только этот трафик.
Трогать виртуалку (внутри, т.е. запускать OpenVPN клиент внутри виртуалки) нельзя.
Конфиг хоста:

iface eno1 inet manual
auto vmbr0
iface vmbr0 inet static
        address  123.123.123.123/24
        gateway  123.123.123.1
        bridge-ports eno1
        bridge-stp off
        bridge-fd 0

auto vmbr1
iface vmbr1 inet static
        address  10.0.0.1
        netmask  24
        bridge-ports none
        bridge-stp off
        bridge-fd 0
post-up         iptables -t nat -A POSTROUTING -s '10.0.0.0/24' -o vmbr0 -j MASQUERADE

Пробовал iptables -t nat -A POSTROUTING -s '10.0.0.0/24' -o tun0 -j MASQUERADE
но чего-то не хватает...

Comments

[Drno]

Вам надо правильно прероутинг(если я не ошибаюсь) вида
iptables с этого IP (адрес виртуалки) перенаправить на IP тунеля

я знаю как это сделать в микротике, с iptables не дружу особо)

[Сергей Савостин]

Drno, типа

iptables -t nat -A PREROUTING -s '10.0.0.0/24' -o tun0 -j MASQUERADE

?

[Drno]

Сергей Савостин, что то типа того. только с такой настройкой пойдут через VPN все виртуалки из этой подсети

[Сергей Савостин]

Drno, не суть, виртуалка одна...
-o не может быть использовано с PREROUTING...

[Drno]

Сергей Савостин, значит построутинг видимо...

[hint000]

Сергей Савостин,

-o не может быть использовано с PREROUTING

Правильно.
Тем более, что -o задаёт условие применения правила, а не указывает, куда отправить пакет. Так что даже если бы и могло быть использовано, то всё равно не помогло бы. Такое правило просто никогда бы не срабатывало, т.к. пакеты не шли бы через указанный интерфейс.
Drno,

значит построутинг видимо

POSTROUTING по определению не влияет на направление, куда будет отправлен пакет. Именно поэтому называется POST-ROUTING, т.е. эта цепочка применяется после маршрутизации. Направление уже выбрано на этапе маршрутизации и не может быть изменено после этого.

Answer 1

[Сергей Савостин]

Нашел решение самостоятельно:

iptables -A FORWARD -i vmbr1 -o tun0 -j ACCEPT
iptables -A FORWARD -i tun0 -o vmbr1 -j ACCEPT
iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE
echo 100 vguest >> /etc/iproute2/rt_tables
ip rule add from 10.0.0.0/24 table vguest
ip route add default dev tun0 table vguest

Answer 2

[Alexey Dmitriev]

iproute2 умеет работать с маркированным через iptables трафиком.
Маркируете трафик в таблице PREROUTING через iptables -j MARK --set-mark как вам нужно, потом подхватываете его iproute2 и маршрутизируете, как вам нужно.

Answer 3

[hint000]

Через iptables эта задача не решается. Совсем.
Решается через хитрую маршрутизацию:
https://www.google.com/search?q=source+based+routing
https://habr.com/ru/post/108690/

Comments

[Сергей Савостин]

Спасибо за наводку. Но видать у меня мало понимания как оно работает.
Пробовал так:

ip route add default dev tun0 table 101
ip rule add from 10.0.0.0/24 table 101

Теперь из виртуалки даже 10.0.0.1 не пингуется...