一、前言：

        公司生产环境迁移到阿里云，为了便于访问操作阿里云服务器，连通云VPC与公司内网，选定open***建立两个区域网段的联通隧道。

二、环境介绍

      系统均为CentOS7

      172.16.55.26Open***_server阿里云VPC（实际上有绑定公网IP地址）

      192.168.1.245Open***_client公司内网

网络状况：

       阿里云有多个网段：172.16.55.0/24 、172.16.60.0/24 、172.16.65.0/24 、172.16.51.0/24

       公司内网有两个网段需要能访问云上主机：192.168.1.0/24   、192.168.10.0/24

实现要求：

公司内网的两个网段能访问云主机，云主机不能访问公司内网

三、操作记录

     open***安装和证书创建均略过，主要记录配置及iptables转发规则。

    1、云server端配置，配置文件server.conf内容如下：

local 172.16.55.14

         port 59999

         proto tcp

         dev tun

         ca /etc/open***/keys/server/ca.crt

         cert /etc/open***/keys/server/***server.crt

         key /etc/open***/keys/server/***server.key  

         dh /etc/open***/keys/server/dh.pem

         server 10.200.0.0 255.255.255.0

         ifconfig-pool-persist ipp.txt

         push "route 172.16.60.0 255.255.255.0"

         push "route 172.16.55.0 255.255.255.0"

         push "route 172.16.51.0 255.255.255.0"

         push "route 172.16.65.0 255.255.255.0"

         client-to-client

         keepalive 10 120

         comp-lzo

         max-clients 20

         user nobody

         group nobody

         persist-key

         persist-tun

         status /data/open***data/log/open***-status.log

         log-append  /data/open***data/log/open***.log

         verb 3

     2、内网client端配置，配置文件client.conf内容如下：

 client

         dev tun

         proto tcp

         remote 172.16.55.14 59999   (此处应是公网IP地址)

         resolv-retry infinite

         nobind

         user nobody

         group nobody

         persist-key

         persist-tun

         ca /etc/open***/client/ca.crt

         cert /etc/open***/client/client.crt

         key /etc/open***/client/client.key

         comp-lzo

         verb 3

     运行server和client后，此时云端网络相关网段的路由已被推送到客户端，客户端主机192.168.1.245是能访问阿里云上的主机的， 但客户端网段的其他主机无法访问。

四、要求实现

       要求：公司内网的两个网段能访问云主机，云主机不能访问公司内网

 1、需要加上iptables nat转发规则

 在server端：

     iptables -t nat -A POSTROUTING -s 10.200.0.0/24 -j MASQUERADE  (允许来自虚拟协商网段IP的信息被转发)

 在client端：

     iptables -t nat -A POSTROUTING -s 10.200.0.0/24 -j MASQUERADE  (允许来自虚拟协商网段IP的信息被转发)

     iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE （允许来自公司内网的相关网段IP的信息被转发)

     iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j MASQUERADE

 2、然后在内网路由器（或三层交换机）上加一条静态路由

ip route 172.16.0.0 255.255.0.0 192.168.1.245

    至此，配置完成，通过ping命令测试，192.168.1.0/24和192.168.10.0/24两个网段的主机都能连通云端所有发布网段的服务器