Как можно сделать механизм, который контролирует внешний IP и запрещает выход в интернет, если внешний IP не равен заданному?

Question

[FragMaster]

Дано:

1. есть несколько десятков виртуальных машин под Win10
   
2. каждая ВМ выходит в интернет через свой внешний IP адрес. Это достигается настроенной маршрутизацией на роутере(pfSense). Упрощенно схема маршрутизации выглядит так: ВМ-->pfSense-->OVPN сервер(внешний IP) -->интернет
   

Задача:

1. создать некоторый механизм контроля, который будет каким-либо образом блокировать работу с ВМ или запрещать выход в интернет, если внешний IP адрес не будет соответствовать заданному в настройках.
   
2. задержка между изменением внешнего IP и срабатыванием механизма(блокировка ВМ или отключение доступа в интернет) должна быть не более 1 минуты, желательно меньше.
   
3. механизм должен быть как можно более простой, чтобы свести ошибки работы в идеале к 0%, даже жертвуя удобством администрирования
   

Пример работы:

1. только что запросили какой у нас внешний адрес, например, с сервиса https://www.ipify.org/
   
2. ничего не делаем, если полученный внешний IP соответствует заданному в настройках.
   
3. во всех остальных случаях(сбой получения внешнего адреса, адрес не соответствует заданному и т.д.) запрещать работу
   
4. если механизм сработал и заблокировал доступ к ВМ или доступ в интернет, то разблокировку производит администратор вручную
   

Какие есть идеи для реализации такого механизма?

Comments

[Alexey Dmitriev]

скриптовать на pfsense на проверку связки mac+ip?

[FragMaster]

Alexey Dmitriev, мне кажется идея не оч хорошая потому что:
- единая точка отказа - что то поменяли в скриптах, повлияло на все ВМ, в идеале хочется добиться независимой настройки для каждой ВМ, т.к. нужно добиться, чтобы механизм работал без ошибок ВСЕГДА и если уж ошибся, то на минимальном количестве ВМ
- не знаю как со скоростью реагирования этого скрипта будет...
- с pfSense уже ловили проблему, когда по настройкам не может так трафик ходить, а он ходит, после ребута не воспроизводится, в общем нету доверия pfsense - потому и думаем новый механизм, топорный и простой, пускай будет больше ручной работы, но обеспечена нулевая ошибка работы

[Sergey]

Если у вас настроен выход каждой вм через свой ип адрес, то при смене адреса, как вм может выходить в инет? nat? Выход через интерфейс, на котором ип может сменится?

[FragMaster]

Sergey, через wan интерфейс самого pfSense...
Словили такое поведение:
- правила настроены корректно и не позволяют трафику ходить через wan pfSense
- при падении OVPN канала до сервера OVPN трафик пошел через wan pfSense
- ребутнули pfSense, поведение при падении OVPN канала не повторяется....

Теперь хочется еще перестраховаться...

[Армянское Радио]

Со стороны это выглядит как проблема X-Y - вместо решения реальной проблемы (ответа на вопрос "почему конфигурация ВМ может быть перепутана" ищется ответ на вопрос "где бы мне найти такой костыль, что если конфигурация перепуталась, он доламывал все окончательно, вырубая связь"

[FragMaster]

Армянское Радио, не совсем так, потому что, если мы и решим вопрос с таким поведением pfsense, то это:
- не гарантия того, что при следующих изменениях настроек pfsense проблема не повторится
- тупо человеческий фактор при настройке новых машин
- повторюсь, в идеале ВМ никогда не должна выходить в интернет НЕ через свой адрес

PS: я б честно говоря вообще OVPN клиента поднимал на самой ВМ - пусть это усложнение рутинной настройки, но ошибиться сложнее и эффект от неверных настроек будет влиять только на 1-2 ВМ

[Армянское Радио]

FragMaster, Ну, уже ставя задачу создания контрольного механизма, вы приводите те же аргументы - а как придумать контроль контроля, чтобы человеческий фактор (или pfsense) ничего не сломал.

Эти варианты ведут к более-менее неудобным тупикам - нужно менять архитектуру таким образом, чтобы ошибочные варианты просто не работали.

[Valentin Barbolin]

Почему бы просто не заблокировать всем ВМ выход в интернет кроме одного адреса "OVPN сервер(внешний IP)" ?
Нет VPN - нет интернета.

[FragMaster]

Армянское Радио, от контрольного механизма все равно не уйти, потому что я не знаю, как свести к 0 риски:
- человеческого фактора
- багов ПО(в данном случае pfSense)

PS: мы несколько месяцев жили в полной уверенности, что все работает как надо, т.к. были чек листы настройки и проверялось перед запуском 2 раза все и если внести настройки в 2-х местах не верно, то трафик не ходил... Нам думалось, что все хорошо, но после запуска скрипта отслеживания мы выявили, что уже какое-то время некоторые ВМ ходят НЕ через свой IP при падении OVPN канала(хотя от пользователей получали жалобы, причиной которых был упавший OVPN - значит система работала), хотя настройки это прямо не разрешают.

PS2: если есть предложение, по проекту системы, которая исключит такие ошибки, я только с радостью, мы с ребятами уже голову сломали

[FragMaster]

Andrey Barbolin, собственно сейчас так и работает, но
вот 1
вот 2

[Армянское Радио]

FragMaster, нужно понимание схемы ваших подключений, чтобы сказать что-то определенное.

[Drno]

FragMaster, подождите ка... если

Почему бы просто не заблокировать всем ВМ выход в интернет кроме одного адреса "OVPN сервер(внешний IP)" ?
Нет VPN - нет интернета.

у Вас сделано, то ВМ не сможет выйти в инет... чисто физически...

Ну как вариант попробуйте микротик и далее маркировкой трафика... ну тоесть до микротика доступ у ВМ есть, а само правило NAT появляется только при подключении OVPN клиента, соответственно добавляется NAT правило. Либо NAT сразу прописать, а добавлять\удалять роут... динамически

[FragMaster]

Drno,

FragMaster, подождите ка... если
Почему бы просто не заблокировать всем ВМ выход в интернет кроме одного адреса "OVPN сервер(внешний IP)" ?
Нет VPN - нет интернета.
у Вас сделано, то ВМ не сможет выйти в инет... чисто физически...

ВМ доступ в интернет не имеет, потому что OVPN канал поднимается на pfSense и сам pfSense уже маршрутизирует трафик до OVPN сервера с конкретной ВМ

Ну как вариант попробуйте микротик и далее маркировкой трафика... ну тоесть до микротика доступ у ВМ есть, а само правило NAT появляется только при подключении OVPN клиента, соответственно добавляется NAT правило. Либо NAT сразу прописать, а добавлять\удалять роут... динамически

В принципе сейчас оно так и работает, только вместо mikrotik используем pfsense

[FragMaster]

Армянское Радио, сеть выглядит так
- ВМ(192.168.0.х), смотрит на pfsense
- роутер pfsense, смотрит в сеть с ВМ(192.168.0.х), в интернет(1.1.1.1), поднимает OVPN туннель(172.20.20.х) до роутера на firtsvds(2.2.2.х), делает nat всего трафика от ВМ через OVPN туннель
- на роутере на firtsvds(2.2.2.х) есть OVPN сервер, для всего трафика из туннеля (172.20.20.х) делаем nat через wan

Для каждой ВМ поднимается индивидуальный OVPN туннель до своего роутера на firstvds, т.е. для каждой ВМ будет:
- свой OVPN туннель
- свой роутер на firstvds
- свой отдельный набор правил на pfsense

[Drno]

FragMaster, так при такой схеме ВМ не может физически выйти в инет, без OVPN... мож реально где то ошибка была в конфиге просто?

закинуть скрипт на ВМ который проверяет IP\маршрут, и если что отрубает сетевую?) или на ВМ мы не можем зайти

[Sergey]

FragMaster, почему просто на pfsense не изолировать сеть вм от других сетей, кроме ovpn ?

[Valentin Barbolin]

FragMaster, Очевидно, что при ПРАВИЛЬНОЙ настройке трафик не должен ходить через WAN интерфейс. Может покажите свои настройки, а мы попробуем найти ошибку?

[Армянское Радио]

FragMaster, вот как выглядит такая схема:


Усложнять - просто. Почему у вас проблема с подниманием VPN прямо из виртуалки?

Answer 1

[FragMaster]

В общем всем спасибо за мысли, вы мне посоветовали именно такой подход, как я планировал, но в вопросе не освещал, чтобы получить альтернативное видение.
В результате:
- поднятие OVPN клиента + маршрутизация трафика останется на pfSense
- написал скрипт, который будет запускаться в ВМ и контролировать внешний IP и в случае, если он не тот, блокировать все сетевые интерфейсы. Скрипт выполняется раз в 1 минуту.
https://gitlab.com/a.perminov/external-ip-monitor
- еще есть скрипт, который так же проверяет не пересекается ли внешний IP в всех ВМ и шлет уведомления о проблемах в Discord

Думаю этого будет достаточно...

Answer 2

[nApoBo3]

Реализация данного функционала на стороне виртуальной машины потенциально проблемная.
Сделать можно на любом скриптовом языке, родным для windows является powershell, плюс планировщик задач.
По ссылке пример:
woshub.com/get-external-ip-powershell
Не проверял, но на первый взгляд выглядит рабочим.
Блокировать сеть можно, например, отключение сетевого интерфейса или удаление маршрута( но для удаления маршрута, нужны права админа, т.е. ваш скрипт должен запускаться от привилегированной учетной записи ).

Но я бы рекомендовал реализовывать данный функционал на сетевом слое.
Обратите внимание, что обычная лицензия windows не позволяет использовать ОС в виртуальной машине.