如何配置无公网IP地址的云主机访问Internet

上传者：刘卫军
|
上传时间：2016-09-08
|
密次下载

如何配置无公网IP地址的云主机访问Internet

抛开云主机环境来说，通常一个办公网络内所有的主机都没有公网IP地址，但他们都能通过具有IP地址的路由器（网关）设备访问Internet，此设备只需要具备NAT和转发功能即可。具有这样功能的设备当然可以用某台计算机代替。

下面是一个最简单的模型：

主机A（服务端）：

网卡1：内网IP地址1

网卡2：公网IP地址3或者能访问Internet的某个IP地址3

主机B（客户端）：

网卡1：内网IP地址2

主机B想通过主机A访问Internet，只需要主机B指定主机A为网关，主机A能够将来自主机B的包伪装成主机A上的网卡2上的IP即可（sNAT）。

因此云主机环境也是一样，只要保证两个云主机间内网是连通的，另一台云主机能访问Internet即可。如果某两个云主机内网不通，但可以通过vpn连通，也可以实现。

（一）下面是两个主机间通过内网IP直接连接模拟访问Internet的例子。

主机A（服务端）：

网卡1:10.20.0.128（eth0，无Internet访问）

网卡2:192.168.1.52（eth1，Internet访问）

主机B（客户端）：

网卡1:10.20.0.129（eth0，无Internet访问）

主机A操作：

开启iptables转发功能：

sysctl -w net.ipv4.conf.default.accept_source_route=1

sysctl -w net.ipv4.conf.default.rp_filter=0

sysctl -w net.ipv4.ip_forward=1

配置iptables NAT规则：

1 2	modprobe iptable_nat iptables -t nat -A POSTROUTING -s 10.20.0.0/24 -o eth1 -j MASQUERADE

删除iptables拒绝转发规则：

1	iptables -D FORWARD -j REJECT --reject-with icmp-host-prohibited

主机B操作：

将默认网关配置成主机A的网卡1地址：

1 2	route add -host 10.20.0.128/32 dev eth0 route add default gw 10.20.0.128 dev eth0

（二）下面是两个主机间通过OpenVPN连接模拟访问Internet的例子。

主机A（服务端，CentOS6.x）：

网卡1:10.20.0.128（eth0，无Internet访问）

网卡2:192.168.1.52（eth1，Internet访问）

主机B（客户端，CentOS6.x）：

网卡1:10.20.0.129（eth0，无Internet访问）

主机A操作：

安装OpenVPN（安装OpenVPN也可以参考《CentOS6.7安装OpenVPN服务端》）：

yum -y install http://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm

yum -y install openssl openvpn

cd /etc/openvpn

git clone https://github.com/OpenVPN/easy-rsa.git

cd /etc/openvpn/easy-rsa/

git checkout -b v2.2.1

cp -r easy-rsa/2.0 /etc/openvpn/easy-rsa/

cd /etc/openvpn/easy-rsa/2.0/

vim im vars

export EASY_RSA="`pwd`"

export OPENSSL="openssl"

export PKCS11TOOL="pkcs11-tool"

export GREP="grep"

export KEY_CONFIG=`$EASY_RSA/whichopensslcnf $EASY_RSA`

export KEY_DIR="$EASY_RSA/keys"

echo NOTE: If you run ./clean-all, I will be doing a rm -rf on $KEY_DIR

export PKCS11_MODULE_PATH="dummy"

export PKCS11_PIN="dummy"

export KEY_SIZE=2048

export CA_EXPIRE=3650

export KEY_EXPIRE=3650

export KEY_COUNTRY="CN"

export KEY_PROVINCE="Shandong"

export KEY_CITY="QingDao"

export KEY_ORG="51devops"

export KEY_EMAIL="uberurey_ups@163.com"

export KEY_OU="Ops"

export KEY_NAME="51devops"

生成OpenVPN 证书以及key：

source vars

./clean-all

./pkitool --initca

./pkitool --server node1.51devops.com

./build-dh

# ./build-key node1.51devops.com

./build-key node2.51devops.com

chmod 400 /etc/openvpn/easy-rsa/2.0/keys/node1.51devops.com.key

编写一个OpenVPN Server端的配置文件：

vim /etc/openvpn/server.conf

port 1194

proto tcp

dev tun

ca /etc/openvpn/easy-rsa/2.0/keys/ca.crt

cert /etc/openvpn/easy-rsa/2.0/keys/node1.51devops.com.crt

key /etc/openvpn/easy-rsa/2.0/keys/node1.51devops.com.key

dh /etc/openvpn/easy-rsa/2.0/keys/dh2048.pem

server 10.8.0.0 255.255.255.0

ifconfig-pool-persist clientiplist.txt

client-to-client

duplicate-cn

keepalive 10 120

comp-lzo

persist-key

persist-tun

status /var/log/openvpn-status.log

log /var/log/openvpn.log

log-append /var/log/openvpn.log

verb 3

启动OpenVPN并配置iptables：

service openvpn start

service openvpn status

ifconfig tun0

cat /var/log/openvpn.log

cat /var/log/openvpn-status.log

iptables -I INPUT -p tcp -m state --state NEW -m tcp --dport 1194 -j ACCEPT

# iptables -I INPUT -m state --state NEW -m udp -p udp --dport 1194 -j ACCEPT

iptables-save || service iptables status

service iptables save

编辑内核参数，启用转发功能：

vim /etc/sysctl.conf

net.ipv4.conf.default.accept_source_route = 1

net.ipv4.conf.default.rp_filter = 0

net.ipv4.ip_forward = 1

或者：

sysctl -w net.ipv4.conf.default.accept_source_route=1

sysctl -w net.ipv4.conf.default.rp_filter=0

sysctl -w net.ipv4.ip_forward=1

配置iptables，配置sNAT和FORWARD规则：

modprobe iptable_nat

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth1 -j MASQUERADE

iptables -D FORWARD -j REJECT --reject-with icmp-host-prohibited

service iptables save || iptables-save > /etc/sysconfig/iptables

tips：也可以清空iptables所有配置，再添加允许规则，这样可以避开一些reject规则。

可以通过iptables -t nat -nL -v命令查看nat表状态。

1	iptables -t nat -A POSTROUTING -s 10.20.0.0/24 -o eth1 -j MASQUERADE

配置主机B（客户端）

安装OpenVPN客户端：

1 2	yum -y install http://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm yum -y install openssl openvpn

编辑OpenVPN Client配置文件：

vim /etc/openvpn/client.conf

client

dev tun

port 1194

proto tcp

remote 10.20.0.128 1194

resolv-retry infinite

nobind

persist-tun

ca /etc/openvpn/ca.crt

cert /etc/openvpn/node2.51devops.com.crt

key /etc/openvpn/node2.51devops.com.key

remote-cert-tls server

script-security 3

ns-cert-type server

comp-lzo adaptive

verb 3

mute 20

缩小证书文件的权限，只允许当前用户访问，不允许组内其他用户和其他组访问

1 2	chmod 400 /etc/openvpn/node2.51devops.com.key service openvpn restart

配置路由：

1 2	route add -host 10.8.0.1/32 dev tun0 route add default gw 10.8.0.1 dev tun0

测试连接：

1 2	ping -c4 10.8.0.1 ping -c4 114.114.114.114

在OpenVPN连接前需要注意证书一定配置正确，时间同步，软件版本最好保持一致、OpenSSL软件包升级到最新版本。

tag:Linux网络,OpenVPN配置,iptables sNAT

本文出自 “通信，我的最爱” 博客，http://dgd2010.blog.51cto.com/1539422/1812745

下载文档

网友关注

【现货黄金投资】美国1月ADP持稳20万上方，黄金震荡1270

信达证券-房地产行业：万科A、保利地产和招商地产

信达证券-军工机械行业：潍柴动力、中航光电

银河证券-通信行业周报：推开电视院线新蓝海，联通和广电网络价值重估

信达证券-建筑建材行业：中国海诚、东方雨虹

民生证券-农业行业周报：板块多点开花，继续重推北大荒＋隆平＋大北农

【现货黄金投资】周线三连阴跌至1175，股市走强和止损卖单所致

中信证券-2015年二季度宏观经济展望：环球不同步，历史不往复

【现货黄金投资】黄金本周迎四大风险点，1230美元争夺未完待续

节能环保行业周报-2013-7-2——《环境保护法修正案（草案）》将进行二次审议

法国艺术学校图片

【环球外汇网】：黄金破局恐加速下行美联储决议或再探底线

【现货黄金投资】黄金暂时守住1220，走势仍需“且走且看”

《爱心与教育》心得

（最新）新浪微博经典语句

银河证券-国际经济周报第201期：美国房地产量价齐升

申万宏源-有色金属行业一周回顾：稀土等出口关税5月起取消，碳酸锂补涨

高华证券-煤炭行业：中国神华和中煤能源一季度业绩；2015年开局疲弱

2011-2012年中国个人网上银行用户行为研究报告简版

齐鲁证券-宏观周度报告(2015年第16周)：江头仍是风波恶

第一创业-对中国货币政策的影响展望：美国面临非典型加息周期

中国古代文学

民族证券-农林牧渔行业月度策略：猪周期的关键窗口期，继续看好并购重组转型

2009年合肥丰联房地产有限公司绿城雅苑项目可行性研究报告

开源证券-煤炭行业：周报2015年第17周（4月20~4月24）

海通证券-宏观周报：股债双牛去杠杆，宽货币再添新招

全球外贸的附加值

安信证券-新能源汽车行业第16周周报：板块再次迎来投资拐点

环保行业：“水十条”面世，亮点颇多－《水污染防治行动计划》出台点评

中金公司-中国宏观周报：民间基建投资起步、加速

网友关注视频

二次函数求实际问题中的最值_第一课时(特等奖)(冀教版九年级下册)_T144339

精品·同步课程历史八年级上册第15集近代科学技术与思想文化

外研版八年级英语下学期 Module3

沪教版八年级下册数学练习册20.4（2）一次函数的应用2P8

七年级英语下册上海牛津版 Unit9

三年级英语单词记忆下册（沪教版）第一二单元复习

七年级英语下册上海牛津版 Unit5

二年级下册数学第三课搭一搭⚖⚖

冀教版小学数学二年级下册第二单元《余数和除数的关系》

【获奖】科粤版初三九年级化学下册第七章7.3浓稀的表示

沪教版八年级下册数学练习册21.3（2）分式方程P15

冀教版小学数学二年级下册第二周第2课时《我们的测量》宝丰街小学庞志荣

七年级英语下册上海牛津版 Unit3

3.2 数学二年级下册第二单元表内除法（一）整理和复习李菲菲

人教版二年级下册数学

8.练习八_第一课时(特等奖)(苏教版三年级上册)_T142692

8 随形想象_第一课时(二等奖)(沪教版二年级上册)_T3786594

冀教版小学数学二年级下册第二单元《租船问题》

沪教版牛津小学英语（深圳用）四年级下册 Unit 8

冀教版英语三年级下册第二课

化学九年级下册全册同步人教版第18集常见的酸和碱（二）

8.对剪花样_第一课时(二等奖)(冀美版二年级上册)_T515402

3月2日小学二年级数学下册（数一数）

【部编】人教版语文七年级下册《过松源晨炊漆公店（其五）》优质课教学视频+PPT课件+教案，辽宁省

外研版英语三起6年级下册（14版）Module3 Unit1

沪教版牛津小学英语（深圳用）五年级下册 Unit 7

【部编】人教版语文七年级下册《老山界》优质课教学视频+PPT课件+教案，安徽省

第12章圆锥曲线_12.7 抛物线的标准方程_第一课时(特等奖)(沪教版高二下册)_T274713

第五单元民族艺术的瑰宝_16. 形形色色的民族乐器_第一课时(岭南版六年级上册)_T1406126

精品推荐

营造良好的企业文化

分类导航

生物学

刘卫军

此文档贡献者

2016-09-08
贡献时间
密
下载次数

教育资源为主的文档平台

文档分类