OpenVPN Outgoing IP Address

2 инстанса сервера и скрипты через --client-connect добавляющие нужные правила для NAT-а в iptables

Или, как вариант попроще(т.к. процессов openvpn у нас два) - разные пулы ip-адресов для клиентов, а уже к ним привязать правила для NAT

Вам нужен policy routing и его частный случай source-based routing

Все это можно сделать с помощью shorewall. см multi-isp.

Давным давно с этим мучался и тогда выяснилось, что все гораздо проще. В конфиге openvpn есть опция мультихоум. Вписываешь ее и он прекрасно работает с любыми обращениями на любой свой адрес.

multihome

Спасибо за наводку. Попробовал так (10.8.0.4 - это IP который получает впн-клиент, 1.1.1.2 - IP с которого надо чтобы было исходящее соединение):

echo 100  table1 >> /etc/iproute2/rt_tables
ip rule add from 10.8.0.4 table table1
ip route add default via 1.1.1.2 table table1

Не работает.

Пробовал и tun, и tap, tcp, udp - результат отрицательный :(

multihome в конфиге есть, он помог для того, чтобы udp работал на разных IP. но исходящий траффик с впн-сервера все-равно с одного и того же (дефолтного) IP.

Два разных инстанса, у которых в listen прописаны разные IP? Разные пулы IP адресов для клиентов - понятно. Скажем, 10.8.1.0/24, 10.8.2.0/24. Дальше как правильно прописать правила для NAT?

iptables -t nat -A POSTROUTING -s 10.8.1.0/24 -o enp2s0 -j SNAT --to-source 1.1.1.2
iptables -t nat -A POSTROUTING -s 10.8.2.0/24 -o enp2s0 -j SNAT --to-source 1.1.1.3

Другие правила из POSTROUTING с SNAT или MASQUERADE - убрать

Спасибо большое! Заработало. Правда, я использую firewall-cmd, поэтому получилось так:

firewall-cmd --remove-masquerade
firewall-cmd --direct --add-rule ipv4 nat POSTROUTING 0 -s 10.8.0.6 -o enp2s0 -j SNAT --to-source 1.1.1.2
firewall-cmd --direct --add-rule ipv4 nat POSTROUTING 0 -s 10.8.0.7 -o enp2s0 -j SNAT --to-source 1.1.1.3

Затем в /etc/openvpn/server.conf прописал client-config-dir dir/ и в каталоге /etc/openvpn/dir/ создал конфиги для двух пользователей client1 и client2 с таким содержимым:

ifconfig-push 10.8.0.6 # for client2: 10.8.0.7

Теперь каждый пользователь, подключаясь к впн, получает свой внешний IP (1.1.1.2 или 1.1.1.3 соответственно).

в смысле, а что там за трафик помимо udp, если это openvpn сервер?

Есть траффик между впн сервером и клиентами (udp, но м.б. и tcp в зависимости от конфигурации впн-сервера), а есть между впн-сервером и, скажем, сервером гугла, на который клиент полез через впн. Вот затык был в том, чтоб вот этот второй исходящий траффик был не с дефолтного интерфейса (IP), а с того, который я хочу чтобы был.

А, ну это просто snat правила. shorewall удобно для этого использовать.