настройка openvpn

проблема в следующем. приходит пакет с впн сервера. проходит шлюз он жде клиент впн. шлюз проходит по цепочки tun0->eth3 и далее до адресата. с адресата идет пакет уже другим маршрутом eth3->eth2. eth3 локальная сеть eth2 интернет. уже пересмотрел, не могу понять почему обратно пакет идет не в тунель, а на внешний интерфейс шлюза

причем, когда на vpn сервере включил опцию redirect-gateway то пакет пошел на интерфейс тунеля. но следом и весь трафик пошел через впн сервер.

На «шлюз он жде клиент впн» прописан маршрут к подсети в офисе, где «впн сервер» через tun0?

да. прописан. а теперь. соберусь с мыслями, и постараюсь внятно описать что требуется сделать. есть два офиса. в каждом офисе стоит роутер на линуксе. есть впн сервер. роутеры являются клиентами впн сервера. необходимо. что бы к нескольким терминальным серверам люди имели доступ через впн сервер. на впн сервере прокинуты порты до терминальных серверов (точнее прокинуты до роутеров, а на роутерах порты еще раз прокидываются до терминальных серверов). проблема в следующем. когда люди пытаются подключиться до терминального сервера по рдп (ip vpn server) то трафик с сервера проходит до шлюзов, шлюзы успешно тоставляют терминальным серверам. а вот потом пакеты уходят в интернет, а не обратно на впн сервер ( движение трафика следующее tun0->eth3 и далее до адресата. с адресата идет пакет уже другим маршрутом eth3->eth2. eth3 локальная сеть eth2 интернет.) пробовал настроить iproute2 на шлюзах. но трафик всё равно уходит не на те интерфейсы. причем пробовал настроить впн сервер на использование устройств и tun и tap

Не знаю, наколько у вас там уже всё навёрнуто, может вы уже до команды ″ip rule″ добрались и делали маршрутизацию по src-адресу или метки в iptables, но пакеты всегда идут по маршрутам (по кешу маршрутов).

Другое дело, что если у вас там DNAT/SNAT, то в момент определения маршрута пакета у него могут быть другие адреса, чем у пакета на интерфейсе (видимом через tcpdump).

DNAT/SNAT присутствует. но ведь я когда добавляю правла ip rule я делаю ip route flush cachе. так что кеши тут вроде как очищены.

Когда я писал про ip rule, я хотел сказать, что если сделано много правил ip rule и много таблиц маршрутизации, то не так просто понять по какой таблице/маршруту пойдёт пакет. Но ничего больше нет, если пакет отправляется в tun0, то он там и будет или не будет (если openvpn его уничтожит), НО ни openvpn, ни iptables не могут переместить отправленный по маршруту в tun0 пакет в eth3.

Смотрите ip rule, может там есть какие неожиданные правила, если в таблице маршрутов всё просто.

.ip rule показывает 3 стандартных таблице и 2 моих. ничего интересного и нового я не увидел. что и где еще можно посмотреть.

ради интереса прокинул я с впн сервера порт ссх на шлюз. зашел нормально. и в нешнего адреса тоже зашел без проблем. из чего делаю вывод что маршрутизация от источника работает. вот только почему когда я подключаюсь к серверу терминалов трафик обратно идет не через нужный интерфейс

пришел к выводу, что iproute2 не работает с openvpn. т.к. на шлюзе с двумя провайдерами все работает без проблем. кто что может подсказать или посоветовать

бьюсь третий день, так и не могу понять почему пакеты приходят на один интерфейс, а уходят через другой. может есть у кого какие мысли? вроде iproute2 настроил