Разный внешний IP в зависимости на какой внутренний IP шлюза пришел запрос - маршрутизация

ip-шлюза на который пришел запрос на маршрутизацию это бред. Нет никакого запроса на маршрутизацию, просто приходит пакет. В этом пакете нигде нет адреса шлюза, да и клиенту он не особо нужен, особенно на p2p линках.

Я не понял, что у вас за tap0:0 и tap0:1, если это просто алиасы, созданые через ifconfig, то это фикция, а не интерфейс и по ним не отследить клиента.

В пакетах указывается MAC-адрес шлюза(случаи с туннельными интерфейсами пока опустим для простоты), а не IP. IP шлюза на оконечных устройствах придуман исключительно для удобства - чтобы вычислять MAC-адрес(и в некоторых случаях - имя интерфейса через который отправлять пакет).

Так что в общем случае тебе нужны несколько интерфейсов с разными MAC-адресами, чтобы такая схема заработала - простыми IP-алиасами на Ethernet-интерфейсе ты это не разрулишь. Тут напрашивается мост и netns, но это попахивает тем еще извратом.

ТС пишет про openvpn, и если я правильно понял, он хочет чтобы клиент мог определять через какой адрес его будут НАТить.

И тогда, получается, что ему нужно делать tap интерфейс, как-то делать несколько mac-адресов у сервера на этом tap и дальше уже на этом строить маршрутизацию/NAT.

честно говоря вообще не понял, зачем такое может понадобится, что мешает мне думать над тем, как это реализовать.

Мне кажется что можно, как было сказано выше, поднять несколько отдельных интерфейсов (не алиасов) и уже на них натить.

zgen да, я понимаю вас, поэтому и обратился к разбирающимся людям т.к. задача не тривиальная, тривиальные все сделаны.

Как верно упомянул mky это нужно для того чтобы клиент мог определять через какой адрес его будут НАТить.

Сейчас это решено тем, что на клиенте поднимается несколько VPN соединений на один сервер, ему выдаются несколько адресов, а на сервер настроено для каждого из них:

iptables -t nat -A POSTROUTING -s 10.9.0.10/32 -o virbr0 -j SNAT --to-source XXX.1.1.2

А я хочу не несколько, а поднять один тунель на клиенте и меняя на нем IP шлюза менять внешний IP. Возможно есть другой способ делать это через 1 тунель, я пока его не осознал...

Pinkbyte могли бы вы привести примеры как с учетом MAC интерфейса шлюза назначить разные правила NAT?

Вы или «глухой или немой» вам предложили вариант несколько отдельных интерфейсов, а не алиасов на одном.

А вы где-нибудь видели подобное — несколько интерфейсов в одном openvpn тунеле?

1. Там tap
2. Ничего не мешает указать в таблице роутинга любой адрес gw из полученной подсети

Вернусь к вопросу т.к. не решил задачу.. mky, anc

Вопрос: Хочу добиться сменой IP шлюза на на vpn-клиенте (или маршрута) изменения IP адреса NATa на выходе с сервера VPN.

1. OpenVPN сервер поднимается на tap0 интерфейсе, назначаю ему IP:

/sbin/ifconfig tap0 inet 10.9.0.1 netmask 255.255.255.0

2. Клиент конектится 10.9.0.2/24

3. Поднимаю второй tap1:

ip tuntap add tap1 mode tap
ifconfig tap1 10.9.0.99/24

4. На сервере прописаны правила для маркировки пакетов, если они придут на второй tap интефейс:

iptables -t mangle -A PREROUTING -m connmark --mark 0 -i tap5 -j CONNMARK --set-mark 10

5. Далее правила NATа на сервере, в зависимости от того на какой IP шлюза клиент присылает пакеты:

iptables -t nat -A POSTROUTING -s 10.9.0.2/32 -o virbr0 -m connmark --mark 10 -j SNAT --to-source WAN_IP_1
iptables -t nat -A POSTROUTING -s 10.9.0.2/32 -o virbr0 -m connmark --mark 0 -j SNAT --to-source WAN_IP_2

C клиента пингуются 10.9.0.1 и 10.9.0.99, но если я меняю основной маршрут на клиенте на 10.9.0.99 маршрутизация не идет. У меня есть подозрения что на клиенте нельзя указать шлюзом IP отличный от IP который назначен tap интерфейсу на котором поднять OpenVPN сервер..

Буду рад любому совету или предложению попробовать другие варианты..

Наискосок:
tap0 tap1 и «внезапно» tap5.
rpfilter
ip r s
ip rule s
arp -an
смотреть tcpdump