BandaAncha.eu

Comunidad de usuarios
de fibra, móvil y ADSL

Múltiples IP públicas bajo VPN

Senafi6604
0
red.webp

He contratado un VPS con múltiples direcciones IP públicas adicionales y necesito que las máquinas virtuales que tengo en mi casa tengan esas direcciones IP públicas.

La solución que se me ha ocurrido para lograr conseguir lo que quiero, es hacer una conexión de sitio a sitio usando IPSec o OpenVPN y luego de las direcciones IP públicas adicionales hacer un NAT 1:1 con las direcciones IP locales de las máquinas virtuales, pero no consigo que funcione.

Si a alguno me puede ayudar a solucionar el problema o se le ocurre alguna solución mejor que me diga, porque me estoy volviendo loco y ya no sé qué hacer.

vukits

tengo entendido de que lo que quieres hacer, se hace a base de VLANs.

así cada VLAN es como un cable ethernet por separado.

🗨️ 3
Senafi6604

Pero las VLANs seria para separar las conexiones entre la vm1 y la vm2, para que no se puedan ver.

🗨️ 2
vukits

en tu esquema , literalmente tienes dos cables: uno amarillo y otro verde.

estoy confundido. ¿no es lo que quieres?

🗨️ 1
Senafi6604

Serian como dos redes separadas con su dirección IP pública.

rbetancor
1

Tu idea es la correcta, pero seguramente la estás implementando mal.

Solo hay dos formas de solventar tu escenario:

1- SNAT + DNAT, Supongo que solo tienes configurado el DNAT y por eso no te funciona.

2- DNAT + Full-Route

🗨️ 2
Senafi6604

El DNAT ni siquiera me funciona cuando llega los paquetes al pfsense de mi casa no los envía a la vm1 porque para la prueba tengo en servicio de apache corriendo en la vm1 y al mirar los logs de acceso y no sale nuevos accesos desde otras direcciones IP públicas.

🗨️ 1
rbetancor

Porque en algún sitio te estás liando con la configuración.

Tu escenario no es nada complicado y como te he comentado, solo hay 2 formas de solucionarlo, para que luego no se te fastidien las estadísticas y los logs de las VM's … la mejor opción es la 2

mezcua

Buenas, tienes varias opciones para hacerlo, la mas limpia y que yo tengo implementada de manera parecida es levantar un tunel con wireguard entre los equipos de tu casa y el vps que tienes fuera, despues habilitas el ipforward en la maquina vps y con iptables o nftables haces NAT de origen de la IP del tunel de tu maquina virtual sobre la IP publica con la que la quieras sacar, y si necesitas entrada desde internet y que esa IP sea solo de un maquina virtual pues lo contrario, NAT de destino sobre la ippublica y se lo envias a la IP del tunel de wireguard, mira este es un ejemplo de un script que tengo para las iptables y como envio lo que me llega al vps a ciertos puertos de la interface publica, se lo mando a un equipo que tiene un transmission para descargas de torrent y un plex

NATS PARA TRANSMISSION en GEN8 POR TUNEL WG0

$iptables -t NAT -A PREROUTING -i ens3 -p tcp –dport 51414 -j DNAT –to-destination 10.0.5.7:51414

$iptables -t NAT -A PREROUTING -i ens3 -p udp –dport 51414 -j DNAT –to-destination 10.0.5.7:51414

$iptables -t NAT -A PREROUTING -i ens3 -p tcp –dport 32400 -j DNAT –to-destination 10.0.5.7:32400

$iptables -t NAT -A PREROUTING -i ens3 -p tcp –dport 80 -j DNAT –to-destination 10.0.5.7:32400

para sacarlo a internet con la IP publica, le plantas esto cambiando el interface ens3 por tu identificador de interface o tu IP publica, incluso podrias hacer balanceo de salida por las 3 direcciones que tienes,

iptables -t NAT -A POSTROUTING -o ens3 -j MASQUERADE

Lo puedes complicar todo lo que quieras, mirate iproute2 de un kernel moderno y veras que puedes implementar por ejemplo tuneles gre por dentro de los tuneles de wireguard y con un bridge llevarte la IP publica del vps directamente a tu entorno virtual en tu casa/oficina, pero esto ya es mucha mandanga para explicartelo por aquí, suerte.

Un saludo.

🗨️ 1
Senafi6604

Muchas gracias por la ayuda, lo que voy a hacer es instalarle al VPS por ejemplo Debian y le agregaré las direcciones IP adicionales a la interfaz WAN, luego instalarle WireGuard y crearé una conexión entre el VPS y la máquina que gestionara el tráfico dentro de mi casa, una vez que ya tenga eso creado voy a crear reglas de iptables DNAT y SNAT para que las máquinas virtuales tengan salida a internet con las direcciones IP públicas adicionales.

Espero tener suerte y que funcione …