Задать вопрос
@McHack

Как выкинуть VPN-сеть гостевой ОС наружу?

Основная ОС: Fedora 40
Гостевая ОС: Windows 7
Виртуализация: Qemu/KVM
Граф. интерфейс: virt-manager
VPN: Checkpoint VPN

Нужно подключиться через Checkpoint VPN в гостевой ОС и выкинуть эту сеть в основную ОС. Судя по гуглежу нужны манипуляции с iptables, а я в этом ничего не понимаю.

Что хочется увидеть в ответе? Инструкцию по типу "сделай вот так, вот так" с нужными командами и манипуляциями.

Локальный IP: 192.168.0.25
VPN IP внутри гостевой ос: 10.250.200.130 (конец может быть разный при каждом подключении)
IP из VPN, который нужен снаружи: 10.2.250.1 и 10.2.250.51

Мой вывод по команде ip addr:
ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host noprefixroute 
       valid_lft forever preferred_lft forever
2: enp2s0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc fq_codel state DOWN group default qlen 1000
    link/ether 90:6f:18:03:7d:68 brd ff:ff:ff:ff:ff:ff
3: wlp0s20f0u2: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether ba:95:ce:30:3b:8b brd ff:ff:ff:ff:ff:ff permaddr 40:ed:00:0c:6b:b2
    inet 192.168.0.25/24 brd 192.168.0.255 scope global dynamic noprefixroute wlp0s20f0u2
       valid_lft 69907sec preferred_lft 69907sec
    inet6 fe80::be93:17be:5a38:3045/64 scope link noprefixroute 
       valid_lft forever preferred_lft forever
4: docker0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN group default 
    link/ether 02:42:23:82:0a:53 brd ff:ff:ff:ff:ff:ff
    inet 172.17.0.1/16 brd 172.17.255.255 scope global docker0
       valid_lft forever preferred_lft forever
5: br-cf75e795bd04: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN group default 
    link/ether 02:42:20:74:cb:38 brd ff:ff:ff:ff:ff:ff
    inet 172.18.0.1/16 brd 172.18.255.255 scope global br-cf75e795bd04
       valid_lft forever preferred_lft forever
54: virbr1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 52:54:00:fd:76:e3 brd ff:ff:ff:ff:ff:ff
    inet 192.168.100.1/24 brd 192.168.100.255 scope global virbr1
       valid_lft forever preferred_lft forever
55: vnet43: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master virbr1 state UNKNOWN group default qlen 1000
    link/ether fe:54:00:8c:61:8c brd ff:ff:ff:ff:ff:ff
    inet6 fe80::fc54:ff:fe8c:618c/64 scope link proto kernel_ll 
       valid_lft forever preferred_lft forever


Если нужно, что-то еще - пишите, я предоставлю.
  • Вопрос задан
  • 284 просмотра
Подписаться 1 Простой 1 комментарий
Решения вопроса 1
@wkon
Сетевик, Системщик
Вопрос типа "выкинуть сеть" не совсем однозначный.

Предполагаю, Вам надо чтобы адреса 10.2.250.1 и 10.2.250.51 были доступны из хоста.

Тогда на нем задаём маршрут на виртуалку:
ip route add 10.2.250.0/24 via [VM_IP].

На виртуалке надо включить IP forwarding и сделать трансляцию NAT в адрес VPN интерфейса. Тут гугл в помощь.

Если повезёт и все это не будет конфликтовать с клиентом Checkpoint VPN, то должно заработать.
Ответ написан
Пригласить эксперта
Ответы на вопрос 2
akelsey
@akelsey
Нужно уточнение на нижеизложенное:
Если Checkpoint VPN это корпоративный VPN, и настроен согласно политикам безопасности (с заворачиванием всего траффика внутрь VPN), то скорее всего это невозможно в принципе, т.е. задачу роутингом решить не получится.
PS
Правда справедливо это для Cisco VPN, опыта с Checkpoint VPN нет, но что-то подсказывает мне, что это справедливо и для него.
Ответ написан
ValdikSS
@ValdikSS
  1. Сделайте внутреннюю сеть в виртуальной машине, для связи между хостом и ВМ
  2. Сделайте еще один сетевой интерфейс в виртуальной машине: bridge с физическим сетевым интерфейсом, через который у вас работает интернет
  3. Настройте ВМ маршрутизатором (маршрутизация трафика между интерфейсом хост-ВМ и VPN)
  4. На хосте впишите IP-адрес ВМ через интерфейс хост-ВМ в качестве шлюза, а физический интерфейс с интернетом отключите
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы