networking - Ubuntu 16.04 ホストで kvm (libvirt) ルーティング ネットワークを構成する

Question

Debian ベースのファイアウォールの背後に Ubuntu 16.04 KVM ハイパーバイザーがあり、できればそのマシンのコレクションに使用しているサブネットと一致するように、ゲスト VM を IP で到達可能にしようとしています。

ファイアウォールは 10.4.0.0/16 ネットワークをホストしており、適切なトラフィックを正常に NAT 処理して受け入れています。

ハイパーバイザーは10.4.20.250にあり、virsh ネットワーク構成は以下に示されています。注目すべきは、ホストからクライアントを分離するためにネットマスクを拡張したことです。

<network>
  <name>default</name>
  <uuid>02b5de1a-cde4-45dd-b8f5-a9fdfa1c6809</uuid>
  <forward mode='route'/>
  <bridge name='virbr0' stp='on' delay='0'/>
  <mac address='52:54:00:a3:f0:e9'/>
  <ip address='10.4.20.20' netmask='255.255.255.128'>
  </ip>
</network>

ハイパーバイザー (10.4.20.250) には次のものもあります。

# ip r
default via 10.4.0.1 dev enp0s25 onlink 
10.4.0.0/16 dev enp0s25  proto kernel  scope link  src 10.4.20.250 
10.4.20.0/25 dev virbr0  proto kernel  scope link  src 10.4.20.20 
169.254.0.0/16 dev enp0s25  scope link  metric 1000 

# brctl show
bridge name bridge id       STP enabled interfaces
virbr0      8000.fe54009e64d0   yes     vnet0

# ip link show virbr0
3: virbr0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP mode DEFAULT group default qlen 1000
    link/ether fe:54:00:9e:64:d0 brd ff:ff:ff:ff:ff:ff

# virsh domiflist myguest
Interface  Type       Source     Model       MAC
-------------------------------------------------------
vnet0      bridge     virbr0     virtio      52:54:00:9e:64:d0

10.4.20.25のゲスト(「myguest」) は、インターネット全体にアクセスできます。次のように構成されています。

ip r
default via 10.4.20.20 dev eth0 
10.4.0.0/17 dev eth0  proto kernel  scope link  src 10.4.20.25

ハイパーバイザー (10.4.20.250) に接続されたターミナル セッションから、自分自身、10.4.20.20 のブリッジ、10.4.20.25 のゲスト、10.4.0.1 のファイアウォール、およびインターネット全体に ping を実行できます。

ファイアウォール (10.4.0.1) からハイパーバイザー (10.4.20.250) とブリッジ (10.4.20.20) に ping を実行できますが、クライアント (10.4.20.25) への ping は失われます。同様に、10.4 ネットワーク上の別のマシンから、ファイアウォール、ハイパーバイザー、およびブリッジに ping を送信できますが、クライアントには送信できません。次のルールを設定しています。

ip r
default via 10.4.0.1 dev enp4s0 onlink 
10.4.0.0/16 dev enp4s0 proto kernel scope link src 10.4.2.1 
10.4.20.0/25 via 10.4.20.20 dev enp4s0 
192.168.15.0/24 dev enp1s0 proto kernel scope link src 192.168.15.242 

リモート デバイスからクライアントに到達できるようにするために、どのような構成が欠けている可能性がありますか?

注、転送モードを「オープン」に設定しようとしましたが、virsh net-edit で次のエラーが表示されます: エラー: サポートされていない構成: 不明な転送タイプ「オープン」