Centos7 Open×××连通云与内网
一、前言:公司生产环境迁移到阿里云,为了便于访问操作阿里云服务器,连通云VPC与公司内网,选定open***建立两个区域网段的联通隧道。
二、环境介绍
系统均为CentOS7
172.16.55.26Open***_server阿里云VPC(实际上有绑定公网IP地址)
192.168.1.245Open***_client公司内网
网络状况:
阿里云有多个网段:172.16.55.0/24 、172.16.60.0/24 、172.16.65.0/24 、172.16.51.0/24
公司内网有两个网段需要能访问云上主机:192.168.1.0/24 、192.168.10.0/24
实现要求:
公司内网的两个网段能访问云主机,云主机不能访问公司内网
三、操作记录
open***安装和证书创建均略过,主要记录配置及iptables转发规则。
1、云server端配置,配置文件server.conf内容如下:
local 172.16.55.14
port 59999
proto tcp
dev tun
ca /etc/open***/keys/server/ca.crt
cert /etc/open***/keys/server/***server.crt
key /etc/open***/keys/server/***server.key
dh /etc/open***/keys/server/dh.pem
server 10.200.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 172.16.60.0 255.255.255.0"
push "route 172.16.55.0 255.255.255.0"
push "route 172.16.51.0 255.255.255.0"
push "route 172.16.65.0 255.255.255.0"
client-to-client
keepalive 10 120
comp-lzo
max-clients 20
user nobody
group nobody
persist-key
persist-tun
status /data/open***data/log/open***-status.log
log-append/data/open***data/log/open***.log
verb 3
2、内网client端配置,配置文件client.conf内容如下:
client
dev tun
proto tcp
remote 172.16.55.14 59999 (此处应是公网IP地址)
resolv-retry infinite
nobind
user nobody
group nobody
persist-key
persist-tun
ca /etc/open***/client/ca.crt
cert /etc/open***/client/client.crt
key /etc/open***/client/client.key
comp-lzo
verb 3
运行server和client后,此时云端网络相关网段的路由已被推送到客户端,客户端主机192.168.1.245是能访问阿里云上的主机的, 但客户端网段的其他主机无法访问。
四、要求实现
要求:公司内网的两个网段能访问云主机,云主机不能访问公司内网
1、需要加上iptables nat转发规则
在server端:
iptables -t nat -A POSTROUTING -s 10.200.0.0/24 -j MASQUERADE(允许来自虚拟协商网段IP的信息被转发)
在client端:
iptables -t nat -A POSTROUTING -s 10.200.0.0/24 -j MASQUERADE(允许来自虚拟协商网段IP的信息被转发)
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE (允许来自公司内网的相关网段IP的信息被转发)
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j MASQUERADE
2、然后在内网路由器(或三层交换机)上加一条静态路由
ip route 172.16.0.0 255.255.0.0 192.168.1.245
至此,配置完成,通过ping命令测试,192.168.1.0/24和192.168.10.0/24两个网段的主机都能连通云端所有发布网段的服务器
页:
[1]