2010/11/17 Marc Olive <[email protected]>: > > Hola gente, veo que está animada la lista, bien, bien. > > A ver si me podeis echar un cable: tengo un par de máquinas, una de ellas con > dos NICs haciendo de firewall, SNAT y redirigiendo puertos hacia servicios > internos. > La otra máquina tiene varios contenedores VZ, entre ellos uno con OpenVPN para > poder acceder a la red remotamente sin problemas (dice la teoria). > > Sin firewall no se puede acceder a la VPN, pero creo que el mismo firewall > bloquea el acceso a los contenedores con VETH. > Conectado por VPN puedo acceder a los equipos de la red sin mas, y tambien > puedo acceder a los contendores que usan VENET, pero no a los que tienen una > VETH. > > Las reglas iptables estan a http://pastebin.ca/1994330 > Hay una regla comentada que dice: > $IPTABLES -A FORWARD -i eth1 -o eth1 -j ACCEPT > Sin esta regla no puedo hacer pings a los contenedores VENETH, con ella puedo > hacer pings, pero entonces las respuestas parecen venir de la IP del firewall > y > no del contenedor y da problemas: > > ~$ host vpn > ;; reply from unexpected source: 10.81.53.2#53, expected 10.81.53.5#53 > ;; reply from unexpected source: 10.81.53.2#53, expected 10.81.53.5#53 > > 10.81.53.2 es el firewall y 10.81.53.5 el DNS. > > Alguna idea de por que no puedo acceder a los contenedores VENETH via VPN? > He mirado los arp_filter y forwarding y la ruta hacia la VPN está puesta (o no > podria acceder a los VENET). > > Gracias!
Buenas Marc, No se si estas dos cosas te van a servir, te lo comento porque es lo que siempre me ha funcionado para solucionar problemas con venet y su extraño comportamiento. 1)Para que un container con venet y varias ips responda con la que toca (al menos des del punto de vista de su HN) prueba con ejecutar esto dentro del container: ip r add 10.0.0.0/24 dev venet0 src 10.0.0.21 ip r add 77.xxx.xxx.0/24 dev venet0 src 77.xxx.xxx.81 2)Y para controlar que ip van a tener esos paquetes fura del HN creo que puedes configurarlo con VE_ROUTE_SRC_DEV en /etc/vz/vz.conf -- Marc -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected] Archive: http://lists.debian.org/[email protected]
