如何配置无公网IP地址的云主机访问Internet

上传者：刘卫军
|
上传时间：2016-09-08
|
密次下载

如何配置无公网IP地址的云主机访问Internet

抛开云主机环境来说，通常一个办公网络内所有的主机都没有公网IP地址，但他们都能通过具有IP地址的路由器（网关）设备访问Internet，此设备只需要具备NAT和转发功能即可。具有这样功能的设备当然可以用某台计算机代替。

下面是一个最简单的模型：

主机A（服务端）：

网卡1：内网IP地址1

网卡2：公网IP地址3或者能访问Internet的某个IP地址3

主机B（客户端）：

网卡1：内网IP地址2

主机B想通过主机A访问Internet，只需要主机B指定主机A为网关，主机A能够将来自主机B的包伪装成主机A上的网卡2上的IP即可（sNAT）。

因此云主机环境也是一样，只要保证两个云主机间内网是连通的，另一台云主机能访问Internet即可。如果某两个云主机内网不通，但可以通过vpn连通，也可以实现。

（一）下面是两个主机间通过内网IP直接连接模拟访问Internet的例子。

主机A（服务端）：

网卡1:10.20.0.128（eth0，无Internet访问）

网卡2:192.168.1.52（eth1，Internet访问）

主机B（客户端）：

网卡1:10.20.0.129（eth0，无Internet访问）

主机A操作：

开启iptables转发功能：

sysctl -w net.ipv4.conf.default.accept_source_route=1

sysctl -w net.ipv4.conf.default.rp_filter=0

sysctl -w net.ipv4.ip_forward=1

配置iptables NAT规则：

1 2	modprobe iptable_nat iptables -t nat -A POSTROUTING -s 10.20.0.0/24 -o eth1 -j MASQUERADE

删除iptables拒绝转发规则：

1	iptables -D FORWARD -j REJECT --reject-with icmp-host-prohibited

主机B操作：

将默认网关配置成主机A的网卡1地址：

1 2	route add -host 10.20.0.128/32 dev eth0 route add default gw 10.20.0.128 dev eth0

（二）下面是两个主机间通过OpenVPN连接模拟访问Internet的例子。

主机A（服务端，CentOS6.x）：

网卡1:10.20.0.128（eth0，无Internet访问）

网卡2:192.168.1.52（eth1，Internet访问）

主机B（客户端，CentOS6.x）：

网卡1:10.20.0.129（eth0，无Internet访问）

主机A操作：

安装OpenVPN（安装OpenVPN也可以参考《CentOS6.7安装OpenVPN服务端》）：

yum -y install http://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm

yum -y install openssl openvpn

cd /etc/openvpn

git clone https://github.com/OpenVPN/easy-rsa.git

cd /etc/openvpn/easy-rsa/

git checkout -b v2.2.1

cp -r easy-rsa/2.0 /etc/openvpn/easy-rsa/

cd /etc/openvpn/easy-rsa/2.0/

vim im vars

export EASY_RSA="`pwd`"

export OPENSSL="openssl"

export PKCS11TOOL="pkcs11-tool"

export GREP="grep"

export KEY_CONFIG=`$EASY_RSA/whichopensslcnf $EASY_RSA`

export KEY_DIR="$EASY_RSA/keys"

echo NOTE: If you run ./clean-all, I will be doing a rm -rf on $KEY_DIR

export PKCS11_MODULE_PATH="dummy"

export PKCS11_PIN="dummy"

export KEY_SIZE=2048

export CA_EXPIRE=3650

export KEY_EXPIRE=3650

export KEY_COUNTRY="CN"

export KEY_PROVINCE="Shandong"

export KEY_CITY="QingDao"

export KEY_ORG="51devops"

export KEY_EMAIL="uberurey_ups@163.com"

export KEY_OU="Ops"

export KEY_NAME="51devops"

生成OpenVPN 证书以及key：

source vars

./clean-all

./pkitool --initca

./pkitool --server node1.51devops.com

./build-dh

# ./build-key node1.51devops.com

./build-key node2.51devops.com

chmod 400 /etc/openvpn/easy-rsa/2.0/keys/node1.51devops.com.key

编写一个OpenVPN Server端的配置文件：

vim /etc/openvpn/server.conf

port 1194

proto tcp

dev tun

ca /etc/openvpn/easy-rsa/2.0/keys/ca.crt

cert /etc/openvpn/easy-rsa/2.0/keys/node1.51devops.com.crt

key /etc/openvpn/easy-rsa/2.0/keys/node1.51devops.com.key

dh /etc/openvpn/easy-rsa/2.0/keys/dh2048.pem

server 10.8.0.0 255.255.255.0

ifconfig-pool-persist clientiplist.txt

client-to-client

duplicate-cn

keepalive 10 120

comp-lzo

persist-key

persist-tun

status /var/log/openvpn-status.log

log /var/log/openvpn.log

log-append /var/log/openvpn.log

verb 3

启动OpenVPN并配置iptables：

service openvpn start

service openvpn status

ifconfig tun0

cat /var/log/openvpn.log

cat /var/log/openvpn-status.log

iptables -I INPUT -p tcp -m state --state NEW -m tcp --dport 1194 -j ACCEPT

# iptables -I INPUT -m state --state NEW -m udp -p udp --dport 1194 -j ACCEPT

iptables-save || service iptables status

service iptables save

编辑内核参数，启用转发功能：

vim /etc/sysctl.conf

net.ipv4.conf.default.accept_source_route = 1

net.ipv4.conf.default.rp_filter = 0

net.ipv4.ip_forward = 1

或者：

sysctl -w net.ipv4.conf.default.accept_source_route=1

sysctl -w net.ipv4.conf.default.rp_filter=0

sysctl -w net.ipv4.ip_forward=1

配置iptables，配置sNAT和FORWARD规则：

modprobe iptable_nat

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth1 -j MASQUERADE

iptables -D FORWARD -j REJECT --reject-with icmp-host-prohibited

service iptables save || iptables-save > /etc/sysconfig/iptables

tips：也可以清空iptables所有配置，再添加允许规则，这样可以避开一些reject规则。

可以通过iptables -t nat -nL -v命令查看nat表状态。

1	iptables -t nat -A POSTROUTING -s 10.20.0.0/24 -o eth1 -j MASQUERADE

配置主机B（客户端）

安装OpenVPN客户端：

1 2	yum -y install http://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm yum -y install openssl openvpn

编辑OpenVPN Client配置文件：

vim /etc/openvpn/client.conf

client

dev tun

port 1194

proto tcp

remote 10.20.0.128 1194

resolv-retry infinite

nobind

persist-tun

ca /etc/openvpn/ca.crt

cert /etc/openvpn/node2.51devops.com.crt

key /etc/openvpn/node2.51devops.com.key

remote-cert-tls server

script-security 3

ns-cert-type server

comp-lzo adaptive

verb 3

mute 20

缩小证书文件的权限，只允许当前用户访问，不允许组内其他用户和其他组访问

1 2	chmod 400 /etc/openvpn/node2.51devops.com.key service openvpn restart

配置路由：

1 2	route add -host 10.8.0.1/32 dev tun0 route add default gw 10.8.0.1 dev tun0

测试连接：

1 2	ping -c4 10.8.0.1 ping -c4 114.114.114.114

在OpenVPN连接前需要注意证书一定配置正确，时间同步，软件版本最好保持一致、OpenSSL软件包升级到最新版本。

tag:Linux网络,OpenVPN配置,iptables sNAT

本文出自 “通信，我的最爱” 博客，http://dgd2010.blog.51cto.com/1539422/1812745

下载文档

网友关注

2018宁夏区考申论每周一练：农民工“劝学留言”事件

2018宁夏区考面试题库：面试每日一练结构化面试模拟题答案9.6

2018宁夏区考行测题库：行测每日一练资料分析练习题答案09.07

2018宁夏区考面试题库：面试每日一练结构化面试模拟题9.7

2018宁夏区考行测题库：行测每日一练资料分析练习题09.21

2018宁夏区考面试题库：面试每日一练结构化面试模拟题9.8

2018宁夏区考行测题库：行测每日一练数量关系练习题09.15

2018宁夏区考行测题库：行测每日一练言语理解与表达练习题09.18

2018宁夏区考行测题库：行测每日一练判断推理练习题09.20

2018宁夏区考申论每周一练答案：尊重医生建设良好医疗环境

2018宁夏区考行测题库：行测每日一练常识判断练习题答案09.12

2018宁夏区考面试题库：面试每日一练结构化面试模拟题答案9.7

2018宁夏区考行测题库：行测每日一练言语理解与表达练习题09.11

2018宁夏区考面试题库：面试每日一练结构化面试模拟题答案9.12

2018宁夏区考行测题库：行测每日一练资料分析练习题09.14

2018宁夏区考面试题库：面试每日一练结构化面试模拟题9.14

2018宁夏区考行测题库：行测每日一练判断推理练习题答案09.20

2018宁夏区考行测题库：行测每日一练数量关系练习题09.08

2018宁夏区考面试题库：面试每日一练结构化面试模拟题9.20

2018宁夏区考面试题库：面试每日一练结构化面试模拟题9.15

2018宁夏区考行测题库：行测每日一练资料分析练习题09.07

2018宁夏区考行测题库：行测每日一练数量关系练习题答案09.08

2018宁夏区考行测题库：行测每日一练言语理解与表达练习题答案09.11

2018宁夏区考行测题库：行测每日一练常识判断练习题09.12

2018宁夏区考面试题库：面试每日一练结构化面试模拟题答案9.15

2018宁夏区考面试题库：面试每日一练结构化面试模拟题答案9.8

2018宁夏区考行测题库：行测每日一练资料分析练习题答案09.14

2018宁夏区考面试题库：面试每日一练结构化面试模拟题9.5

2018宁夏区考面试题库：面试每日一练结构化面试模拟题9.19

2018宁夏区考行测题库：行测每日一练判断推理练习题答案09.06

网友关注视频

外研版八年级英语下学期 Module3

【部编】人教版语文七年级下册《泊秦淮》优质课教学视频+PPT课件+教案，天津市

七年级英语下册上海牛津版 Unit3

冀教版小学数学二年级下册第二单元《有余数除法的竖式计算》

沪教版八年级下册数学练习册21.3（3）分式方程P17

第19课我喜欢的鸟_第一课时(二等奖)(人美杨永善版二年级下册)_T644386

沪教版牛津小学英语（深圳用）五年级下册 Unit 12

苏科版数学八年级下册9.2《中心对称和中心对称图形》

【获奖】科粤版初三九年级化学下册第七章7.3浓稀的表示

沪教版八年级下次数学练习册21.4（2）无理方程P19

沪教版八年级下册数学练习册21.3（2）分式方程P15

精品·同步课程历史八年级上册第15集近代科学技术与思想文化

冀教版英语五年级下册第二课课程解读

3月2日小学二年级数学下册（数一数）

沪教版牛津小学英语（深圳用）五年级下册 Unit 10

【部编】人教版语文七年级下册《逢入京使》优质课教学视频+PPT课件+教案，安徽省

《小学数学二年级下册》第二单元测试题讲解

30.3 由不共线三点的坐标确定二次函数_第一课时(市一等奖)(冀教版九年级下册)_T144342

北师大版数学四年级下册第三单元第二节小数点搬家

三年级英语单词记忆下册（沪教版）第一二单元复习

河南省名校课堂七年级下册英语第一课（2020年2月10日）

苏科版数学八年级下册第八章第二节可能性的大小

冀教版小学数学二年级下册第二单元《有余数除法的整理与复习》

二年级下册数学第三课搭一搭⚖⚖

冀教版小学英语四年级下册Lesson2授课视频

二年级下册数学第一课

沪教版牛津小学英语（深圳用）四年级下册 Unit 7

外研版英语三起6年级下册（14版）Module3 Unit2

苏科版数学七年级下册7.2《探索平行线的性质》

外研版英语七年级下册module1unit3名词性物主代词讲解

精品推荐

营造良好的企业文化

分类导航

生物学

刘卫军

此文档贡献者

2016-09-08
贡献时间
密
下载次数

教育资源为主的文档平台

文档分类