パブリックIPをリモートマシンにトンネリングする

5つのパブリックIPアドレスのブロックを持つLinuxサーバーAがあります8.8.8.122/29。現在、8.8.8.122に割り当てられてeth0おり、8.8.8.123に割り当てられていeth0:1ます。

NATの背後にある別のLinuxマシンBがリモートの場所にあります。BがIPアドレス8.8.8.123をプライマリIPアドレスとして使用できるように、2つの間にトンネルを設定したいと思います。

おそらくOpenVPNが答えですが、セットアップ方法がわかりません（topology subnetまたはtopology p2p適切な場合があります。イーサネットブリッジを使用する必要がありますか？）。この時点ではセキュリティと暗号化は大きな問題ではないため、GREも問題ありません。マシンBは既知のIPアドレスから取得され、それに基づいて認証できます。

これどうやってするの？この状況で機能するOpenVPN構成またはその他のアプローチを誰かが提案できますか？理想的には、これらのクライアントに資格のないIPを使用させずに、複数のクライアントを処理することもできます（たとえば、4つのスペアIPをすべて他のマシンと共有する）。

結局、イーサネットブリッジを使用することになりました。オンラインを通り抜けるための非常に冗長な例がたくさんありますが、それは非常に簡単であることがわかります：

まず、Aで次のよう/etc/network/interfacesに変更されました：

auto eth0
iface eth0 inet static
    address 8.8.8.122
    netmask 255.255.255.248
    gateway 8.8.8.121

に：

auto br0
iface br0 inet static
    address 8.8.8.122
    netmask 255.255.255.248
    gateway 8.8.8.121
    pre-up openvpn --mktun --dev tap0
    bridge_ports eth0 tap0
    bridge_fd 3

ブート時に（eth0実際のWANインターフェイス）とtap0（新しいトンネルインターフェイス）をブリッジするため。

次に、Aでopenvpnサーバーを実行します。

openvpn --dev tap0

B、とそれに接続します。

openvpn --remote 8.8.8.122 --dev tap0 --route-gateway 8.8.8.121 \
        --redirect-gateway def1 --ifconfig 8.8.8.123 255.255.255.248

これは私が探していた非常にシンプルな構成であり、機能します。Bは8.8.8.123でパブリックにアクセスでき、発信接続は同じアドレスから発信されます。

（セキュリティを追加し--secret、--tls-server必要に応じてもちろん、など）。

あなたは私が思うに苦労するでしょう。VPNの両側が同じサブネット内にある場合、ほとんどのファイアウォールはOpenVPNトラフィックのルーティングが困難になります。

パブリックアクセスにルーティングする場合は、両方のサーバーをパブリックアドレスから別のサブネットに移動し、仮想IP（1から1 Nat）を使用してそれらを接続します。2つのサイトを接続するには、OpenVPNまたはIP-Secトンネルが機能します。

仮想IP：http : //doc.pfsense.org/index.php/What_are_Virtual_IP_Addresses%3F

サイト間：http : //doc.pfsense.org/index.php/VPN_Capability_IPsec

コメントに基づいて編集：

私は個人的にAボックスにpfSenseをインストールし、WANに必要なポートを割り当てます。次に、ローカルサブネット上にOpenVPNサーバーをセットアップし（これはすべてpfSense Webインターフェイスに進む準備ができています）、ローカルのOpenVPN IPを指す仮想IPで他のマシンをセットアップします。これにより、後で拡張する余地があります（仮想IPを備えたマシンをさらに追加し、特定のポートを別のサーバーに論理的に転送し、仮想アクセス用のOpenVPNを備えた本格的なLAN / WAN / DMZ設定を実際に持っています。言うまでもなく、本格的なルーターなので、より安全です。