LINUX.ORG.RU
ФорумAdmin

OpenVPN, два провайдера - маркировать ли пакеты?

 ,


0

1

Шлюз у меня на два провайдера, интерфейсы:

eth0 - локалка 192.168.0.0

eth1 - первый провайдер, маска 1

eth2 - второй провайдер, маска 2

Настрены две таблицы маршрутизации

При помощи iptables выпускаю пользователя по нужному каналу 

$ip -t mangle -A PREROUTING -i eth0 -s 192.168.0.100 -j MARK --set-mark 1

Теперь только через второго провайдера надо пустить OpenVPN - tun0 

$ip -A INPUT -i eth2 -m state --state NEW -p udp --dport 1194 -j ACCEPT
$ip -A FORWARD -p all -i tun0 -j ACCEPT
$ip -A INPUT -p all -i tun0 -j ACCEPT
$ip -A OUTPUT -p all -o tun0 -j ACCEPT
$ip -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth2 -j MASQUERADE

Надо ли при таком раскладе маркировать пакеты и как лучше это сделать?



Последнее исправление: tyrpyr (всего исправлений: 1)

Ответ на: комментарий от tyrpyr

используешь только как клиент openvpn.

лучше маркировать пакеты для openvpn, затем через ip rule прикреплять помеченные пакеты в нужную тебе таблицу маршрутизации. в центос это делается стандартными утилитами.

Nurmukh ★★★
()

Если выбор канала только на основе IP клиента, то можно не маркировать и использовать «ip ru», но это медленно и крайне неудобно с точки зрения изменения.

А с маркировкой значительно гибче и проще на счет изменений 

iptables -t mangle -A PREROUTING -i eth0 -j SET --map-mark --map-set select src
одной строкой всех.

Если нет опции --map-set, то тупо сделать по набору для каждого канала.

vel ★★★★★
()

Настрены две таблицы маршрутизации

Если уже настроены ( т.е. ip1 и ip2 каждый ходят через своего провайдера) и планируется на этой же машине поднять сервер то ничего не нужно.

anc ★★★★★
()

Всем спасибо, сначала попробую на провайдере по умолчанию... Нашел цепочку прохождения пакетов: eth0 -> tun0 -> OpenVPN[шифрование] -> eth2

tyrpyr
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin