對(duì)于一般企業(yè)要做Site to Site PNV 一般配置比較麻煩和有點(diǎn)復(fù)雜,
成都創(chuàng)新互聯(lián)堅(jiān)持“要么做到,要么別承諾”的工作理念,服務(wù)領(lǐng)域包括:網(wǎng)站設(shè)計(jì)制作、做網(wǎng)站、企業(yè)官網(wǎng)、英文網(wǎng)站、手機(jī)端網(wǎng)站、網(wǎng)站推廣等服務(wù),滿足客戶于互聯(lián)網(wǎng)時(shí)代的石家莊網(wǎng)站設(shè)計(jì)、移動(dòng)媒體設(shè)計(jì)的需求,幫助企業(yè)找到有效的互聯(lián)網(wǎng)解決方案。努力成為您成熟可靠的網(wǎng)絡(luò)建設(shè)合作伙伴!
但是 Veeam 為了方便備份到Azure 上,在2017年出了一下能夠打通企業(yè)內(nèi)網(wǎng)到Azure云 的通信,
推出了一個(gè)免費(fèi)的產(chǎn)品:Veeam PN
利用它可以方便的做 Site to Site /point to Site 的PNV
veeam PN 從2.0 開(kāi)始 可以在ubuntu 18.04上直接安裝,而不用下載他的OVA的虛擬機(jī)文件了。
接下來(lái),我就來(lái)在ubuntu 上直接安裝Veeam PN 來(lái)實(shí)現(xiàn) site to site PNV
以下是我測(cè)試的環(huán)境:
SiteA: 10.11.12.0/24
SiteB: 172.16.8.0/24
VeeamPN Hub 部署在 Site A (有公網(wǎng)IP)
VeeamPN Hub 內(nèi)網(wǎng)IP: 10.11.12.9
VeeamPN Gateway 部署在 Site B (無(wú)公網(wǎng)IP)
VeeamPN Gateway 內(nèi)網(wǎng)IP:172.16.8.8
?
VeeamPN System Requirements
1.在ubuntu 18.04 VeeamPN
登錄site A ubuntu 配置hostname : ni-pnv 配置靜態(tài)IP :10.11.12.9
vi /etc/hostname
vi /etc/netplay/01-necfg.yaml
netplan apply 應(yīng)用配置:
下載并添加Veeam Software Repository Key:
curl -k http://repository.veeam.com/keys/veeam.gpg | apt-key add -
出錯(cuò)了,原因是gnupng2 沒(méi)有安裝
apt install gnupg gnupg2 gnupg1
添加VeeamPN 的 APT source list 文件:
vi /etc/apt/sources.list.d/veeampn.list
或:
echo "deb [arch=amd64] http://repository.veeam.com/pn/public pn stable" > /etc/apt/sources.list.d/veeampn.list
然后運(yùn)行 apt update
添加 WireGuard apt Repository:
apt-add-repository ppa:wireguard/wireguard
apt install software-properties-common -y
安裝完后,重新運(yùn)行apt-add-repository ppa:wireguard/wireguard
接下來(lái)就可以正式安裝 VeeamPN:
apt? install veeam-pnv-ui veeam-pnv-svc
直到安裝完成:
在瀏覽中打開(kāi)Veeam PN web Portal:
更改root密碼:
正式開(kāi)始部署Veeam PN Hub:
將這個(gè)配置文件保存下來(lái),將在配置Site B 端的Veeam PN 時(shí)要用到的。
完成Site A 端的 Veeam PN的配置,
然后在Site A 端的防火墻上配置到Site B 端的默認(rèn)路由。
到這里,Site A 端就全部配置完畢。
?
接下來(lái)在Site B 端 的Ubuntu 上安裝Veeam PN
方法和Site A 完全一樣。這里省略….
?
安裝Veeam PN 完后,在 瀏覽器中打開(kāi) Veeam PN web portal:
找到在Site A 配置 Client 時(shí)下載的xml配置文件:
點(diǎn)擊 :finish 完成配置。
接下來(lái)看到 server Connected :
接下來(lái)我們看看,從site A 到 site B 是否能連通:
在Site A 的系統(tǒng)上運(yùn)行cmd
到這里為止,從Site A 到 Site B 是可以通信的。
最后我們要看一下從Site B 到 Site A是否能通信?
在site B 端的防火墻上添加一條 到site A 的靜態(tài)路由:
然后看看,在site B 的系統(tǒng)上ping Site A 是否能通:
這樣看來(lái),site B 到 Site A 是無(wú)法通信的。
通過(guò)對(duì)比 site A 和 B 的 Veeam PN上的路由表,我們發(fā)現(xiàn)在 Site B 的 Veeam PN 上沒(méi)有到 Site A的路由:
Site A 的路由表:
?
Site B 的路由表:
現(xiàn)在試著在Site B 上手工添加一條到 site B 的路由是不是可以呢:
結(jié)果是:
之前是請(qǐng)求超時(shí),加了路由后是 無(wú)法訪問(wèn)目標(biāo)該機(jī)
跟蹤路由發(fā)現(xiàn)應(yīng)該是site B 端的 veeam pn? 無(wú)法轉(zhuǎn)發(fā) 到 site A 的通信。
此問(wèn)題暫時(shí)無(wú)解,后續(xù)再看看應(yīng)該是wireguard 的配置問(wèn)題。
這個(gè)問(wèn)題在官方的文檔里都沒(méi)有體現(xiàn),Veeam 在這上面有點(diǎn)過(guò)分,
記得 veeam PN 1.0 出現(xiàn)同樣的問(wèn)題,手工添一條路由就可以相互通信的。
現(xiàn)在Veeam PN 2.0 同樣的問(wèn)題還是沒(méi)有在官方的文檔上提到,
https://helpcenter.veeam.com/docs/veeampn/userguide/how_to_local_sites.html?ver=20
官方論壇里有人提到:https://forums.veeam.com/veeam-tools-for-microsoft-azure-f36/veeampn-working-but-only-in-one-direction-t62278.html
?
附:
解決方法:
通過(guò)對(duì)比Site A 和 Site B 上的 Wireguard的配置發(fā)現(xiàn):
site A :
Site B:
發(fā)現(xiàn)在site B 配置中的allowed ips 中并示包括 site A 的地址段:10.11.12.0/24
所以我們要在site B 的WireGuard 的allowed ips配置中添加 10.11.12.0/24 這段地址:
wg set wg.veeampn peer? ************? allowed-ips 10.11.12.0/24,10.211.0.0/16,10.210.0.0/16
?
現(xiàn)在來(lái)看看 site B 到 Site A是否能正常通信:
這樣現(xiàn)在是可以正常通信的。
所以,從這件事可以看出有時(shí)候完全按官方文檔來(lái)操作也是會(huì)出問(wèn)題,
而且像veeam PN 這樣的在連續(xù)幾個(gè)版本的更新都存在同樣問(wèn)題視而不見(jiàn),
直不知寫(xiě)那個(gè)官方文檔的人是否真正做過(guò)測(cè)試,還是想當(dāng)然的憑空來(lái)寫(xiě)的文檔。
?
通過(guò)測(cè)試發(fā)現(xiàn)手動(dòng)添加的路由和修改,系統(tǒng)重啟后會(huì)消失的。
可以考慮讓這幾條命令在系統(tǒng)啟動(dòng)時(shí)自動(dòng)加載
由于Ubuntu 18.04 默認(rèn)不啟用rc.local,因些先得啟用:
ubuntu18.04不再使用 inited 管理系統(tǒng),改用 systemd,
systemd 默認(rèn)會(huì)讀取 /etc/systemd/system 下的配置文件,該目錄下的文件會(huì)鏈接 /lib/systemd/system/ 下的文件。一般系統(tǒng)安裝完 /lib/systemd/system/ 下會(huì)有 rc-local.service 文件,將 /lib/systemd/system/rc-local.service 鏈接到 /etc/systemd/system/ 目錄下面來(lái):
ln -fs /lib/systemd/system/rc-local.service /etc/systemd/system/rc-local.service
vim /etc/systemd/system/rc-local.service
在文件末尾增加:
[Install]
WantedBy=multi-user.target
Alias=rc-local.service
編輯/etc/rc.local
vim /etc/rc.local
內(nèi)容為:
#!/bin/bash
sleep 90
wg set wg.veeampn peer ************ allowed-ips 10.11.12.0/24,10.211.0.0/16
route add -net 10.11.12.0/24 dev wg.veeampn
exit 0
這樣就實(shí)現(xiàn)真正的site to site 之間的相互通信了。