Whonixに似ていますが、汎用VPN用のVMゲートウェイを設定する方法

Whonixに似ていますが、汎用VPN用のVMゲートウェイを設定する方法

私は3つのインターフェースを備えたLinux仮想マシンを作成しました。インターネットアクセス用のNATインターフェイス(eth0、IP範囲192.168.84.0/24)、他の仮想マシンと通信するためのホスト専用インターフェイス(eth1、IPは192.168.10.10)、VPNインターフェイス(VPNサーバーに接続するとton0が起動する) (IP範囲は10.182.0.0/16で、接続するたびに変更される可能性があります)

私の目標は、eth1からの着信および発信インターネットトラフィックをtun0を介してのみルーティングし、必要に応じてゲートウェイの他のアプリケーションへのインターネットアクセスを維持する方法について必要なすべてのガイドラインを設定することです。 Whonixゲートウェイ(外部接続されたVMワークステーションの接続がTORを介してルーティングされている)に似たものを作成したいのですが、TORを使用する代わりにOpenVPNまたはWireguardを介してアクセスできる一般的なVPNサービスを使用したいと思います。

だから私はいくつかのステップを考えました。

  1. /etc/sysctl.confファイルを編集して設定して、Linux仮想マシンでIP転送を有効にします。net.ipv4.ip_forward = 1

  2. 次のコマンドを使用してVPNインターフェイスを介してすべてのトラフィックをルーティングするには、ホスト専用インターフェイスへの新しいルートを追加します。

sudo route add -net 192.168.10.0 netmask 255.255.255.0 gw 10.182.4.2 dev tun0

ここでは、tun0のIPが変更された場合にどのように管理するのかわかりません。これが正しい場合。

  1. ゲートウェイ自体のトラフィックを除き、eth1 インターフェイスから VPN インターフェイスに入出力するすべてのトラフィックをリダイレクトする iptables ルールを設定するには、次のコマンドを使用します.
sudo iptables -A FORWARD -i eth1 -o tun0 -j ACCEPT
sudo iptables -A FORWARD -i tun0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o tun0 -j MASQUERADE
sudo iptables -t nat -A POSTROUTING -s 192.168.84.131 -o eth0 -j MASQUERADE
  1. iptables ルールを永続化するには、次のコマンドを実行して iptables-persistent パッケージをインストールします。
sudo apt-get install iptables-persistent
sudo iptables-save > /etc/iptables/rules.v4
  1. Linux仮想マシンをデフォルトゲートウェイおよびDNSサーバーとして使用するようにホスト専用ネットワークに接続されている別の仮想マシンを構成します。したがって、IPアドレスをLinux仮想マシンのホスト専用ネットワークインターフェイスと同じサブネットの一意のアドレスに設定し、デフォルトゲートウェイをLinux仮想マシンのホスト専用ネットワークインターフェイスのIPアドレスに設定し、最後にDNSを設定します。サーバーをLinux仮想マシンとしてホストネットワークインターフェイスのIPアドレスのみ。

ただし、何かが機能せず、ホスト専用のネットワークを介してゲートウェイに接続されている他のVMからインターネットに接続できません(VPNがGWに接続されている場合)。

私は専門家ではなく、私が間違っていることを知っています。 VPNゲートウェイを介してインターネットに接続されたLinux VMを作成し、この手順を共有する方法について、この手順を簡素化して適用(ガイドラインを削除または追加)するのに誰かを助けることができますか? 2を介してのみ同じクライアントで作業します。仮想マシンのプライベートネットワークに接続されている他の仮想マシンがこの接続を確立します。したがって、VPNがオフの場合、ゲートウェイに接続されている他の仮想マシンはインターネットに接続されません。 )。

これがすべて理解できれば^_^本当にありがとう

関連情報