+7 (495) 320-70-49
- Назад
- Телефоны
- +7 (495) 320-70-49
- Заказать звонок
info@proxmox.su
Москва, Бакунинская улица, 69с1
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

ssh за SDN VLAN возможно?, Proxmox Виртуальная Среда

vesuvienne

Guest

22.06.2024 14:19:00

Привет, команда! С Linux VLAN я могу подключаться по SSH к своей виртуальной машине с помощью проброса портов: /etc/network/interfaces:
Код:
post-up iptables -t nat -A PREROUTING -i vmbr0 -p tcp --dport 3248 -j DNAT --to 192.168.22.2:22
post-down iptables -t nat -D PREROUTING -i vmbr0 -p tcp --dport 3248 -j DNAT --to 192.168.22.2:22

Но вот с SDN VLAN решения не нашёл, это вообще возможно?

juasiepo Guest	#2 0 22.10.2024 15:44:00 Привет, @vesuvienne! Ты смогла решить эту проблему? У меня такая же ситуация. Спасибо за твое время.

shanreich

Guest

22.10.2024 15:56:00

Вам нужно назначить IP из подсети VLAN, а затем добавить правило DNAT:
Код:
iface <vnet_name> inet static
address <ip_address>/<netmask>
post-up iptables -t nat -A PREROUTING -i vmbr0 -p tcp --dport 3248 -j DNAT --to <vm_ip>:22
post-down iptables -t nat -D PREROUTING -i vmbr0 -p tcp --dport 3248 -j DNAT --to <vm_ip>:22

Я почти уверен, что это тоже должно работать, если просто добавить маршрут на интерфейс VLAN на хосте, если не хотите, чтобы у хоста был IP в VLAN, но мне бы пришлось проверить.

juasiepo

Guest

22.10.2024 16:14:00

Спасибо за уделённое время, @shanreich. Я использую просто зону, не VLAN, но думаю, что это должно быть то же самое. У моего PVE установлен IP 172.21.95.80, файл /etc/network/interfaces.d/sdn выглядит так:

auto int0
iface int0
address 10.0.0.1/24
post-up iptables -t nat -A POSTROUTING -s '10.0.0.0/24' -o vmbr0 -j SNAT --to-source 172.21.95.80
post-down iptables -t nat -D POSTROUTING -s '10.0.0.0/24' -o vmbr0 -j SNAT --to-source 172.21.95.80
post-up iptables -t raw -I PREROUTING -i fwbr+ -j CT --zone 1
post-down iptables -t raw -D PREROUTING -i fwbr+ -j CT --zone 1
bridge_ports none
bridge_stp off
bridge_fd 0
ip-forward on

NAT работает отлично, но переадресация порта на внутренний IP 10.0.0.2 — нет. С PVE 172.21.95.80 я могу сделать ssh на внутреннюю ВМ по адресу 10.0.0.2:22. Я пробовал вручную твой вариант, но безуспешно:

iptables -t nat -A PREROUTING -i vmbr0 -p tcp --dport 8022 -j DNAT --to 10.0.0.2:22

Этого должно быть достаточно, чтобы ssh -p 8022 user@172.21.95.80 перенаправлялся на 10.0.0.2:22.
В журнале journalctl -f я ничего не вижу.
Пробовал отключать вообще все фаерволы — без результата.

shanreich Guest	#5 0 22.10.2024 16:16:00 Какой результат команды: iptables -t nat -L

juasiepo

Guest

22.10.2024 16:25:00

Код: iptables -L -t nat -n
Цепочка PREROUTING (политика ACCEPT)
target prot opt source destination
DNAT 6 -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:8022 to:10.0.0.2:22

Цепочка INPUT (политика ACCEPT)
target prot opt source destination

Цепочка OUTPUT (политика ACCEPT)
target prot opt source destination

Цепочка POSTROUTING (политика ACCEPT)
target prot opt source destination
SNAT 0 -- 10.0.0.0/24 0.0.0.0/0 to:172.21.95.80

juasiepo Guest	#7 0 23.10.2024 08:26:00 Спасибо за уделённое время, @shanreich. Нужно ли создавать зону SDN VLAN вместо простой, которую я сейчас использую? Ты используешь VLAN в своих системах?

shanreich Guest	#8 0 23.10.2024 10:50:00 SSH работает с вашего хоста на 10.0.0.2:22? Если вы не используете VLAN, то создавать VLAN-зону не обязательно.

juasiepo

Guest

23.10.2024 10:59:00

Да, всё работает прекрасно. Моя PVE настроена как сетевая карта в сети 10.0.0.X.
14: int0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
link/ether b6:b8:2a:14:42:a5 brd ff:ff:ff:ff:ff:ff
inet 10.0.0.1/24 scope global int0 valid_lft forever preferred_lft forever
inet6 fe80::a4e3:fdff:fe3a:fb85/64 scope link valid_lft forever preferred_lft forever

shanreich Guest	#10 0 23.10.2024 11:24:00 Странно, у меня точно такая же настройка с обычной зоной работает. Какой вывод команды ssh -v -p 8022 user@172.21.95.80 при подключении снаружи? Что показывает tcpdump на tap-интерфейсе виртуальной машины? tcpdump -envi <tap_if> tcp

juasiepo Guest	#11 0 23.10.2024 13:29:00 Дорогой @shanreich, ошибка была найдена между клавиатурой и сиденьем. Я тестировал правило переадресации с того же компьютера, а не с другого. Всё работает идеально, как и ожидалось. На будущее: пожалуйста, проверяйте правила переадресации портов с другого сервера, а не с того, который выполняет переадресацию. Спасибо за ваше время.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры