Ubuntu 如何通过VPN将传入请求转发到IP
我正在做一个项目,需要通过VPN连接到我们客户的网络(我们发送HTTP请求并连接到他们本地服务器上的数据库) 我试图实现的是: 我在AWS上有一组实例,但我不想在每个实例上都设置VPN连接,事实上,如果可能的话,我宁愿不更改它们。(我们称这些应用程序为实例。) 所以我想我应该做的是为每个客户端设置其他具有VPN连接的实例。(让我们称这些vpn实例为虚拟专用网。) 其思想是,应用程序实例将具有vpn实例(例如:myclient.vpn.myservice)的DNS,并将其用于通过vpn的所有流量 示例:应用程序实例#1向发送HTTP请求,vpn实例接收该请求,将其转发到1.2.3.4:1234(在客户端的本地网络上),并将响应返回给应用程序实例#1,因此从应用程序实例的角度来看,这就像向myclient.vpn.myservice发送常规HTTP请求一样(旁注:这也适用于常规tcp和udp连接) 我尝试的是在vpn实例上启用ip转发和设置iptables规则,如下所示:Ubuntu 如何通过VPN将传入请求转发到IP,ubuntu,networking,vpn,iptables,forwarding,Ubuntu,Networking,Vpn,Iptables,Forwarding,我正在做一个项目,需要通过VPN连接到我们客户的网络(我们发送HTTP请求并连接到他们本地服务器上的数据库) 我试图实现的是: 我在AWS上有一组实例,但我不想在每个实例上都设置VPN连接,事实上,如果可能的话,我宁愿不更改它们。(我们称这些应用程序为实例。) 所以我想我应该做的是为每个客户端设置其他具有VPN连接的实例。(让我们称这些vpn实例为虚拟专用网。) 其思想是,应用程序实例将具有vpn实例(例如:myclient.vpn.myservice)的DNS,并将其用于通过vpn的所有流量
echo 1 > /proc/sys/net/ipv4/ip_forward
我不确定这个想法是否完全错了,我对Ubuntu没有特别丰富的经验,所以我愿意接受建议,唯一重要的是我真的不想更改应用程序实例。在AWS上设置VPN有一个最简单的方法 您可以(您还需要客户网关和虚拟专用网关)并更改现有路由表,以将连接从客户VPN CIDR范围路由到AWS VPN资源
有了这个,您的实例的连接将不需要VPN实例就可以连接到VPN。好的,所以我找到了答案。首先,我上面写的所有步骤都是有效的,不是从VPN实例本身,而是从应用程序实例它确实有效,但是这些iptables规则太过宽松,它们弄乱了系统的内部主机解析和sudo命令在应用它们后变得非常缓慢 下面是我的结论(继续回答问题中的示例): 在vpn实例上:
echo 1>/proc/sys/net/ipv4/ip\u转发
iptables-t nat-A预路由-i eth0-p tcp-dport 1234-j DNAT-到目的地1.2.3.4:1234
iptables-t nat-A预路由-i eth0-p udp-dport 1234-j DNAT-到目的地1.2.3.4:1234
iptables-tnat-A输出-o lo-ptcp-dport1234-jdnat-到目的地1.2.3.4:1234
iptables-t nat-A输出-o lo-p udp--dport 1234-j DNAT--to destination 1.2.3.4:1234
iptables-t nat-A后路由-o tun0-j伪装
根据这些规则,我可以
curlhttp://myclient.vpn.myservice:1234iptables -t nat -A PREROUTING -p tcp --dport 1234 -j DNAT --to-destination 1.2.3.4:1234
iptables -t nat -A PREROUTING -p udp --dport 1234 -j DNAT --to-destination 1.2.3.4:1234
iptables -t nat -A POSTROUTING -j MASQUERADE