https://www.opennet.ru/openforum/vsluhforumID1/95524.html Доброго времени суток!<br>Проблема с перенаправлением трафика в определенный интерфейс.<br>Есть 3 интерфейса + 2 VPN канала на один и тот же vpn-сервер через порты 1194 и 1195:<br><br>eth0 = LAN &#8212; ip 192.168.55.1<br>eth1 = WAN1 - 1.1.1.1(dhcp)<br>eth2 = WAN2 - 2.2.2.2(dhcp)<br>tun0 = VPN канал1 &#8212; ip(192.168.2.2 port 1194)<br>tun1 = VPN канал2 &#8212; ip(192.168.3.2 port 1195)<br><br>Надо<br><br>1. сделать так чтобы первый vpn тунель поднялся через eth1<br>1.1 сделать так чтобы все исходящие пакеты на порт 1194 шли через eth1<br>1.2 проверить на СЕРВЕРЕ что vpn подключился с клиентского ip eth1<br>2. сделать так чтобы второй vpn тунель поднялся через eth2<br>2.1 сделать так чтобы все исходящие пакеты на порт 1195 шли через eth2<br>2.2 проверить на СЕРВЕРЕ что vpn подключился с клиентского ip eth2<br><br>для этого Я делаю:<br>#сначала задаю таблицы в /etc/iproute2/rt_table <br>1194 vpn1194.out<br>1195 vpn1195.out<br><br>#добавляю роли<br><br>ip rule add fwmark 1194 table vpn1194.out<br>ip rule add fwmark 1195 table vpn1195.out<br><br>#Задаю маршрут<br><br>/sbi https://www.opennet.ru/openforum/vsluhforumID1/95524.html#11 Fri, 11 Apr 2014 13:15:44 GMT &gt;&gt;&gt; я так понимаю у вас openvpn и там вроде можно задать ip <br>&gt;&gt;&gt; с которого будет работать клиент, вот это я и предлагаю попробовать.<br>&gt;&gt; так-с вы имеете в виду задать ip для клиента через сервер <br>&gt;&gt; и на iptables указать этот ip?<br>&gt; Не через сервер, а через клиентский конфиг и если клиент это воспримет <br>&gt; и будет слать с правильного ip , то эти snat будут <br>&gt; не нужны.<br>&gt; При этом сервер будет отвечать на правильные ip <br><br>Решено, сделал 2 подключения обходным путем.<br> https://www.opennet.ru/openforum/vsluhforumID1/95524.html#10 Thu, 03 Apr 2014 13:47:01 GMT &gt;&gt; я так понимаю у вас openvpn и там вроде можно задать ip <br>&gt;&gt; с которого будет работать клиент, вот это я и предлагаю попробовать.<br>&gt; так-с вы имеете в виду задать ip для клиента через сервер <br>&gt; и на iptables указать этот ip?<br><br>Не через сервер, а через клиентский конфиг и если клиент это воспримет и будет слать с правильного ip , то эти snat будут не нужны.<br>При этом сервер будет отвечать на правильные ip <br> https://www.opennet.ru/openforum/vsluhforumID1/95524.html#9 Thu, 03 Apr 2014 13:39:41 GMT &gt; я так понимаю у вас openvpn и там вроде можно задать ip <br>&gt; с которого будет работать клиент, вот это я и предлагаю попробовать. <br><br> так-с вы имеете в виду задать ip для клиента через сервер и на iptables указать этот ip?<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/95524.html#8 Thu, 03 Apr 2014 13:27:37 GMT &gt;[оверквотинг удален]<br>&gt;&gt; Попробуйте указать в конфигах клиентов с каких ip работать <br>&gt;&gt;&gt; 16:31:26.106524 IP 192.168.1.33.40451 &gt; xxx.xxx.xxx.xxx.1195: UDP, length 61 <br>&gt;&gt;&gt; 16:31:40.084715 IP 192.168.1.33.40444 &gt; xxx.xxx.xxx.xxx.1194: UDP, length 61 <br>&gt;&gt;&gt; 16:31:50.199419 IP xxx.xxx.xxx.xxx.1194 &gt; 192.168.1.33.40444: UDP, length 61 <br>&gt;&gt;&gt; 16:31:52.104762 IP xxx.xxx.xxx.xxx.1195 &gt; 192.168.1.33.40451: UDP, length 61 <br>&gt;&gt;&gt; 16:31:56.302011 IP 192.168.1.33.40451 &gt; xxx.xxx.xxx.xxx.1195: UDP, length 61 <br>&gt; да, сервер мой, на TCP не могу проверить потому что канал проходит <br>&gt; только через UDP. а если вы имеете в виду на другой <br>&gt; порт, то это нам не обязательно. мне надо только порты 1194 <br>&gt; и 1195 уходили по разным интерфейсам.<br><br>Apr 1 16:28:09 gwital kernel: [ 3010.330899] udp 1195 CONNMARK 2IN= OUT=eth2 SRC=192.168.1.33 DST=xxx.xxx.xxx.xxx LEN=70 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=57522 DPT=1195 LEN=50 MARK=0x4ab<br><br>изначально пакет идет с 192.168.1.33<br><br>далее<br>iptables -t nat -A POSTROUTING -p u https://www.opennet.ru/openforum/vsluhforumID1/95524.html#7 Thu, 03 Apr 2014 12:34:03 GMT &gt;[оверквотинг удален]<br>&gt; при этом ответ на 192.168.1.33, значит запрос ушел с 192.168.1.33, snat не <br>&gt; отработал.<br>&gt; сервер ваш?<br>&gt; Попробуйте использовать TCP.<br>&gt; Попробуйте указать в конфигах клиентов с каких ip работать <br>&gt;&gt; 16:31:26.106524 IP 192.168.1.33.40451 &gt; xxx.xxx.xxx.xxx.1195: UDP, length 61 <br>&gt;&gt; 16:31:40.084715 IP 192.168.1.33.40444 &gt; xxx.xxx.xxx.xxx.1194: UDP, length 61 <br>&gt;&gt; 16:31:50.199419 IP xxx.xxx.xxx.xxx.1194 &gt; 192.168.1.33.40444: UDP, length 61 <br>&gt;&gt; 16:31:52.104762 IP xxx.xxx.xxx.xxx.1195 &gt; 192.168.1.33.40451: UDP, length 61 <br>&gt;&gt; 16:31:56.302011 IP 192.168.1.33.40451 &gt; xxx.xxx.xxx.xxx.1195: UDP, length 61 <br><br>да, сервер мой, на TCP не могу проверить потому что канал проходит только через UDP. а если вы имеете в виду на другой порт, то это нам не обязательно. мне надо только порты 1194 и 1195 уходили по разным интерфейсам.<br> https://www.opennet.ru/openforum/vsluhforumID1/95524.html#6 Thu, 03 Apr 2014 09:23:39 GMT &gt;[оверквотинг удален]<br>&gt; по дефолту стоит eth2 <br>&gt;&gt; ip -4 route list table main <br>&gt; тут все есть плюс <br>&gt; default via ip-провайдера1 dev eth1 <br>&gt; default via ip-провайдера2 dev eth2 <br>&gt;&gt; ip -4 route list table all <br>&gt; показывает что есть маршруты для таблиц моих <br>&gt;&gt; так же посмотрите <br>&gt;&gt; ip -4 -s route list table cache <br>&gt; tcpdump -n -i eth1 host xxx.xxx.xxx.xxx <br><br>это самое начало поднятия vpn?<br>&gt; tcpdump -n -i eth1 host xxx.xxx.xxx.xxx <br>&gt; tcpdump: verbose output suppressed, use -v or -vv for full protocol decode <br>&gt; listening on eth2, link-type EN10MB (Ethernet), capture size 65535 bytes <br>&gt; 16:31:10.258122 IP 192.168.1.33.40444 &gt; xxx.xxx.xxx.xxx.1194: UDP, length 61 <br>&gt; 16:31:20.746341 IP xxx.xxx.xxx.xxx.1194 &gt; 192.168.1.33.40444: UDP, length 61 <br>&gt; 16:31:21.990280 IP xxx.xxx.xxx.xxx.1195 &gt; 192.168.1.33.40451: UDP, length 61 <br><br>это ответ, а как ушел запрос?<br>при этом ответ на 192.168.1.33, значит запрос ушел с 192.168.1.33, snat не отработал.<br><br>сервер ваш? <br>Попробуйте использовать TCP. <br>Попробуйте https://www.opennet.ru/openforum/vsluhforumID1/95524.html#5 Thu, 03 Apr 2014 06:23:00 GMT &gt; ip -4 rule <br><br>0: from all lookup local<br>32764: from all fwmark 0x4ab lookup vpn1195.out<br>32765: from all fwmark 0x4aa lookup vpn1194.out<br>32766: from all lookup main<br>32767: from all lookup default<br><br>&gt; ip -4 route list table vpn1194.out <br><br> по дефолту стоит eth1<br>&gt; ip -4 route list table vpn1195.out <br><br> по дефолту стоит eth2<br>&gt; ip -4 route list table main<br><br>тут все есть плюс<br>default via ip-провайдера1 dev eth1<br>default via ip-провайдера2 dev eth2<br> <br>&gt; ip -4 route list table all <br><br>показывает что есть маршруты для таблиц моих<br><br>&gt; так же посмотрите <br>&gt; ip -4 -s route list table cache <br><br>tcpdump -n -i eth1 host xxx.xxx.xxx.xxx<br><br>tcpdump -n -i eth1 host xxx.xxx.xxx.xxx<br>tcpdump: verbose output suppressed, use -v or -vv for full protocol decode<br>listening on eth2, link-type EN10MB (Ethernet), capture size 65535 bytes<br>16:31:10.258122 IP 192.168.1.33.40444 &gt; xxx.xxx.xxx.xxx.1194: UDP, length 61<br>16:31:20.746341 IP xxx.xxx.xxx.xxx.1194 &gt; 192.168.1.33.40444: UDP, length 61<br>16:31:21.990280 IP xxx.xxx. https://www.opennet.ru/openforum/vsluhforumID1/95524.html#4 Wed, 02 Apr 2014 11:44:49 GMT &gt;&gt;&gt; /sbin/ip route add default dev eth1 table vpn1194.out <br>&gt;&gt;&gt; /sbin/ip route add default dev eth2 table vpn1195.out <br>&gt;&gt; в таком виде не совсеми видами соединений будет работать, добавте ip шлюза <br>&gt;&gt; провайдера <br>&gt;&gt; tcpdump -n -i eth1 host xxx.xxx.xxx.xxx <br>&gt;&gt; tcpdump -n -i eth2 host 109.195.86.203 если ip не меняли и не <br>&gt;&gt; меняется <br>&gt;&gt; tcpdump -n -i any host 109.195.86.203 <br>&gt; Я добавил ip шлюза <br>&gt; и теперь через tcpdump показывает что пакеты идут только по первому интерфейсу. <br><br>и самый первый пакет при поднятии vpn? Будите проверять cache не забудьте очистить<br> <br>ip -4 rule<br>ip -4 route list table vpn1194.out<br>ip -4 route list table vpn1195.out<br>ip -4 route list table main<br>ip -4 route list table all<br><br>так же посмотрите <br>ip -4 -s route list table cache<br> https://www.opennet.ru/openforum/vsluhforumID1/95524.html#3 Wed, 02 Apr 2014 10:50:22 GMT <br>&gt;&gt; /sbin/ip route add default dev eth1 table vpn1194.out <br>&gt;&gt; /sbin/ip route add default dev eth2 table vpn1195.out <br>&gt; в таком виде не совсеми видами соединений будет работать, добавте ip шлюза <br>&gt; провайдера <br>&gt; tcpdump -n -i eth1 host xxx.xxx.xxx.xxx <br>&gt; tcpdump -n -i eth2 host 109.195.86.203 если ip не меняли и не <br>&gt; меняется <br>&gt; tcpdump -n -i any host 109.195.86.203 <br><br>Я добавил ip шлюза<br><br>и теперь через tcpdump показывает что пакеты идут только по первому интерфейсу.<br><br>