Вопрос по работе fwmark и маршрутизации.

Для начала выкинь CONNMARK если не понимаешь как он работает. Подсказываю - вижу правила с --save-mark, не вижу ни одного с --restore-mark

Далее: нарисуй всю схему сети. Шлюз, VPN-сервер, клиент. И все пути прохождения трафика в данном случае. Многие вопросы отпадут сразу

Если я правильно понял, CONNMARK маркирует все соединение исходя из маркированного пакета с помощью MARK. Делаю это для того чтоб все соединение ушло в нужную таблицу.

Интернет через впн: inet----vpn-----router-----client01

Интернет другого клиента: inet----router-----client02

client02 в инете всегда. client01 попадает в инет и все работает, если в таблицу vpn добавлен статическое правило что пакеты от этого клиента уходят в шлюз через vpn. Если статическое правило убираю и ставлю правило на основе mark то ответы на пинг не проходят по router со стороны vpn на сторону client (на входном интерфейсе есть на выходном в локалку уже нет).

Что еще описать подробнее?

(на входном интерфейсе есть на выходном в локалку уже нет)

Так ты маркируешь и исходящие и входящие.

ip rule add from all fwmark 0x3 lookup vpn

Что такое lookup не знаю.

ip rule add fwmark 3 table vpn

Спасибо за помощь!

Маркировать стал и входящие, когда понял что именно они не проходят. Не помогло, не проходят по прежнему, хотя есть правило что со шлюза (который на vpn) все входящие в таблицу vpn попадают.

Синтаксис table правильный, это я стормозил и с вывода скопипастил. :)

Вообщем эфект как будто запрещен форвард из сети vpn---router в сеть router---client0X. Но форвард разрешен, так как если я убираю правило по fwmark и ставлю правило по исходящему ip client01, все работает...

Можно попробовать еще

ip route add 192.168.0.0/24 dev eth0(или что у тебя в локалку смотрит) table vpn

И в другую таблицу то же.

в данной ситуации хорошо бы скопировать все прямые маршруты из main в vpn.

Добавил, не помогло.

ip route add 192.168.0.0/24 dev eth1 table vpn

:(

Создал в таблице vpn маршруты других интерфейсов, не помогло...

Все начинает работать только после изменения правила:

ip rule del fwmark 0x3 table vpn ip rule add from 192.168.0.95 table vpn

значит марки не ставятся. Смотри на счетчики правил --set-mark

А еще нехватает маркировки обратных пакетов. Маркировку conntrack ты сделал, но она не может быть использована в «ip ru».

Так что в начале mangle/PREROUTING нужно что-то типа «iptables -t mangle -I PREROUTING -j CONNMARK --restore-mark»

И еще желательно отключить rp_filter.

Спасибо за помощь!

Вначале включил в 0 rp_filter (был в 1). Разница в том что пакеты стали ходить не смотря на наличие правила: ip rule add fwmark 0x3 table vpn раньше при появлении этого правила ходить переставали. А теперь независимо от наличия пакеты нормально ходят по правилу: ip rule add from 192.168.0.95 table vpn.

Если же я убираю правило по адресу, все тоже самое, пакет ответов на пинг не проходят между интерфейсом vpn и lan.

в iptables по результату: iptables --table mangle --append PREROUTING --jump CONNMARK --restore-mark

iptables --table mangle --append PREROUTING --source 192.168.0.95 --jump MARK --set-mark 3

iptables --table mangle --append PREROUTING --source 192.168.0.95 --jump CONNMARK --save-mark

В таблице vpn есть маршрут к сети 192.168.0.95? Раз уж вы запихивате туда и исходящие в инте и ответные пакеты, в ней нужные все маршруты, а не только default.