LINUX.ORG.RU
ФорумAdmin

Как отправить трафик с iface-alias?


0

1

Есть два сервера, к примеру внешний ip первого serv1 1.1.1.1 и внешний ip второго serv2 2.2.2.2 Далее,

serv1:

eth0 -1.1.1.1

tap1 - 192.168.1.1/24

tap1:1 - 192.168.1.101/24

tun0 10.1.0.1

serv2:

eth0 - 2.2.2.2

tap1 192.168.1.2/24

serv1 и serv2 подключены между собой через впн по tap интерфесу. друг друга пингуют по адресам на tap* Задача в том, чтобы когда пользователь опенвпн получает адрес 10.0.10.2, его через iproute2 перебрасываю на serv2 через адрес 192.168.1.2, и на serv2 вижу трафик от адреса 192.168.1.1 (то есть от serv1, адрес пользователя опенвпн 10.1.0.2 не передается на serv2) задача в том чтобы пользователей опенвпн из сети 10.1.0.0/16 направлять на tap1 tap1:1 сервера serv1, чтобы их можно было идентифицировать на serv2, такое возможно?


Puppet: установка пакетов с предварительной загрузкой
Сильно отстает время NTP+Webmin(Debian)
Ответ на: комментарий от blind_oracle

так вот чето и не получается... по

Man source based routing / policy based routing

ipo
() автор топика
Ответ на: комментарий от ipo

У тебя на tun0 и tap1 два разных openvpn? Инструкция выше для интерфейса tun0 (10-я подсеть). Однако, если у тебя на tap1 тоже openvpn и хочется чтобы и обратно трафик лился как положено, то там тоже надо править и добавлять push "route 192.168.1.0 255.255.255.0".

Вобщем настраиваешь пока для tun0, смотришь идут ли пакеты в сеть tap1 на втором сервере. Далее, смотришь идут ли пакеты со второго сервера на 10.1.0.0/xx на первом сервере. Если нет, то правишь конфиг для tap1, как я сказал выше.

Плюс, надо удалить все правила на SNAT/iproute2 (что ты в них написал я не понял).

gh0stwizard ★★★★★
()
Последнее исправление: gh0stwizard (всего исправлений: 3)
Ответ на: комментарий от gh0stwizard

Так у тебя пинги на 192.168.1.2 (serv2) приходят якобы от 192.168.1.1 (serv1), не?

да, я когда пингую от клиента 10.1.0.2 (сети 10.1.0.0/16 это serv1) 192.168.1.2 (serv2), то на serv2 видно что пинги идут от serv1 192.168.1.1

ipo
() автор топика
Ответ на: комментарий от ipo

Скажи чем ты сделал NAT с 10.1.0.0/xx сети на адрес 192.168.1.1? Через iptables или через iproute? Тебе этот NAT для решения твоей задачи не нужен, убери эти правила. Все что нужно, чтобы openvpn сам прописал нужные маршруты у себя (он очень чувствителен к самодеятельности извне), а в правилах шлюза надо разрешить лишь forwarding пакетов в нужных направлениях (в инструкции там есть примеры).

Больше ничего нигде прописывать не нужно.

gh0stwizard ★★★★★
()
Ответ на: комментарий от gh0stwizard

Скажи чем ты сделал NAT с 10.1.0.0/xx сети на адрес 192.168.1.1? Через iptables или через iproute?

сделал iptables -t nat -A POSTROUTING -j MASQUERADE ip ro и ip ru по дефолту, все «самодеятельное» удалил )

ipo
() автор топика
Ответ на: комментарий от gh0stwizard

но клиент (10.1.0.2) не пингуются ни с serv1, ни с serv2

ipo
() автор топика
Ответ на: комментарий от gh0stwizard

да, после настроек, на serv2 (192.168.1.2) видно пакеты от клиента 10.1.0.2 (клиента опенвпн serv2) но как мне теперь для клиента 10.1.0.2 прописать дефолт роут 192.168.1.2, чтобы 10.1.0.2(serv1 -192.168.1.1) ходил в мир через serv2 (192.168.1.2)?

ipo
() автор топика
Ответ на: комментарий от ipo

ip rule add from 10.1.0.2 table 10

ip route add default via 192.168.1.2 dev tap1 table 10

mky ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Puppet: установка пакетов с предварительной загрузкой
Admin
Сильно отстает время NTP+Webmin(Debian)