Как выкинуть VPN-сеть гостевой ОС наружу?

Question

[McHack]

Основная ОС: Fedora 40
Гостевая ОС: Windows 7
Виртуализация: Qemu/KVM
Граф. интерфейс: virt-manager
VPN: Checkpoint VPN

Нужно подключиться через Checkpoint VPN в гостевой ОС и выкинуть эту сеть в основную ОС. Судя по гуглежу нужны манипуляции с iptables, а я в этом ничего не понимаю.

Что хочется увидеть в ответе? Инструкцию по типу "сделай вот так, вот так" с нужными командами и манипуляциями.

Локальный IP: 192.168.0.25
VPN IP внутри гостевой ос: 10.250.200.130 (конец может быть разный при каждом подключении)
IP из VPN, который нужен снаружи: 10.2.250.1 и 10.2.250.51

Мой вывод по команде ip addr:

ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host noprefixroute 
       valid_lft forever preferred_lft forever
2: enp2s0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc fq_codel state DOWN group default qlen 1000
    link/ether 90:6f:18:03:7d:68 brd ff:ff:ff:ff:ff:ff
3: wlp0s20f0u2: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether ba:95:ce:30:3b:8b brd ff:ff:ff:ff:ff:ff permaddr 40:ed:00:0c:6b:b2
    inet 192.168.0.25/24 brd 192.168.0.255 scope global dynamic noprefixroute wlp0s20f0u2
       valid_lft 69907sec preferred_lft 69907sec
    inet6 fe80::be93:17be:5a38:3045/64 scope link noprefixroute 
       valid_lft forever preferred_lft forever
4: docker0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN group default 
    link/ether 02:42:23:82:0a:53 brd ff:ff:ff:ff:ff:ff
    inet 172.17.0.1/16 brd 172.17.255.255 scope global docker0
       valid_lft forever preferred_lft forever
5: br-cf75e795bd04: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN group default 
    link/ether 02:42:20:74:cb:38 brd ff:ff:ff:ff:ff:ff
    inet 172.18.0.1/16 brd 172.18.255.255 scope global br-cf75e795bd04
       valid_lft forever preferred_lft forever
54: virbr1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 52:54:00:fd:76:e3 brd ff:ff:ff:ff:ff:ff
    inet 192.168.100.1/24 brd 192.168.100.255 scope global virbr1
       valid_lft forever preferred_lft forever
55: vnet43: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master virbr1 state UNKNOWN group default qlen 1000
    link/ether fe:54:00:8c:61:8c brd ff:ff:ff:ff:ff:ff
    inet6 fe80::fc54:ff:fe8c:618c/64 scope link proto kernel_ll 
       valid_lft forever preferred_lft forever

Если нужно, что-то еще - пишите, я предоставлю.

Comments

[Alexey Dmitriev]

Требование Инструкции "сделай вот так" подходят под нарушение п.5.12 правил ресурса.

Answer 1

[Вениамин Коноплев]

Вопрос типа "выкинуть сеть" не совсем однозначный.

Предполагаю, Вам надо чтобы адреса 10.2.250.1 и 10.2.250.51 были доступны из хоста.

Тогда на нем задаём маршрут на виртуалку:
ip route add 10.2.250.0/24 via [VM_IP].

На виртуалке надо включить IP forwarding и сделать трансляцию NAT в адрес VPN интерфейса. Тут гугл в помощь.

Если повезёт и все это не будет конфликтовать с клиентом Checkpoint VPN, то должно заработать.

Comments

[McHack]

Разобрался со всем на днях, как раз это и нужно было сделать. Вот более конкретная инструкция, по ней все и сделал:
https://superuser.com/questions/1804609/qemu-how-t...

Исходя из инструкции в конце нужно добавить роут:
sudo ip route add 10.2.250.0/24 via 192.168.56.2

Answer 2

[akelsey]

Нужно уточнение на нижеизложенное:
Если Checkpoint VPN это корпоративный VPN, и настроен согласно политикам безопасности (с заворачиванием всего траффика внутрь VPN), то скорее всего это невозможно в принципе, т.е. задачу роутингом решить не получится.
PS
Правда справедливо это для Cisco VPN, опыта с Checkpoint VPN нет, но что-то подсказывает мне, что это справедливо и для него.

Comments

[McHack]

конкретно у нас, не весь трафик заворачивается внутрь VPN, он лишь дает доступ внутрь корпоративной сети, на внешние сайты мы ходим по стандарту (даже IP родной), но на внутренние через Чекпоинт.

Подключаемся мы через Mobile Access (разновидность подключения в Чекпоинте).

[akelsey]

McHack, если нюансов и ограничений со стороны впн нет, тогда дело подъемноё, настроить роутинг.
Верхнеуровнево:
- Дать гостевой машине статический айпи
- Создать маршрут на хостовой машине 10.2.250.0/24 (тут подробностей нет, маску указать нужную) через шлюз гостевой машины
- На гостевой машине настроить NAT пакеты приходящие с 192.168.0.0/24 на 10.2.250.0/24 - делать Masquerade/SrcNAT.

Проблема в Win7 она по умолчанию не умеет НАТить произвольные подсети, правда был какой то хак реестра, но это уже гуглить и гуглить и гуглить...

[McHack]

akelsey, а 10 или 11 винда умеют НАТить произвольные подсети? 7 я выбрал потому что она жрет меньше всех ОЗУ

Могу даже Windows Server воткнуть - не проблема. Чекпоинт и с ним работать умеет

[akelsey]

McHack, обычно это за серверными ОС, вин7 = винсервер2008, там штатно нужно поднимать службу RRAS насколько я помню. Серверные ОС умеют да.

Answer 3

[ValdikSS]

1. Сделайте внутреннюю сеть в виртуальной машине, для связи между хостом и ВМ
   
2. Сделайте еще один сетевой интерфейс в виртуальной машине: bridge с физическим сетевым интерфейсом, через который у вас работает интернет
   
3. Настройте ВМ маршрутизатором (маршрутизация трафика между интерфейсом хост-ВМ и VPN)
   
4. На хосте впишите IP-адрес ВМ через интерфейс хост-ВМ в качестве шлюза, а физический интерфейс с интернетом отключите