маршрутизация с алиасов

Для чего будут использоватся эти два тоннеля?

> тоесть никакого Алиаса eth0:0 нету в таблице вот такая вот запарка.

к сожалению, алиасы в линухе не являеются полноценными сетевухами, поэтому надо задавать srcaddr и dstadr в таблице маршрутизации, iptables итп.

iptables -A PREROUTING -s y.y.y.1 -t mangle -j MARK --set-mark 1 ip rule add fwmark 1 table T1 ip route add y.y.y.1/32 via x.x.x.17 dev eth0 table T1

iptables -A PREROUTING -s z.z.z.1 -t mangle -j MARK --set-mark 2 ip rule add fwmark 2 table T2 ip route add z.z.z.1/32 via x.x.x.17 dev eth0:1 table T2

пробовал такую схему тоже пашет криво . может что не так сделал ?

Выкиньте алиасы подальше и используйте ip из iproute2

так алиасы я так понимаю то все равно нужны для того что бы второй IP навесить . Или я не прав

Если два VPN соединения к одному серверу, то можно попробовать так:
каждое соединение поднимать от конкретного пользователя и добавить два правила:
iptables -t nat -A POSTROUTING -m owner --uid-owner user1 -o eth0 -j SNAT --to x.x.x.1
iptables -t nat -A POSTROUTING -m owner --uid-owner user2 -o eth0 -j SNAT --to x.x.x.2

туннель вобщем то IPIP без протоколов типа GRE . без аутентификации по пользователю и паролю . но как вариант если ничего не поможет этот вариант попробуем.

мне покаоя не дает то что все таки через раз но схема моя которую описал вначае работает. лучше бы она вообще не работала или работала стабильно. так как вся эта нестабильность дает какие то надежды на то что можно чтото подкрутить что бы добиться результата.

У меня когда-то тоже было два VPN соединения к одному серванту, второй интерфейс поднимался, но не работал! Что я только не пробовал, заставить работать второй канал я так и не смог. Провайдер дал мне айпишку второго VPN сервера, и я поднимал два соединения через одну физическую линию но к разним сервантам.

> так алиасы я так понимаю то все равно нужны для того что бы второй IP навесить . Или я не прав

можно алиасы и без псевдоинтерфейсов поднять через ip addr add ...

>пробовал такую схему тоже пашет криво . может что не так сделал ?

Неверно выбрали тип форматирования сообщения :)

А так "-j MARK" здесь лишнее, тут проще:

ip rule add src y.y.y.1 table T1
ip rule add src z.z.z.1 table T2

Ну и алиасы, как уже сказали, выкинуть, и писать нормальные маршруты, типа:

ip route add default via x.x.x.17 dev eth0 table T1

хотя если y.y.y.1 это адрес тунеля, то почему вы пытаетесь отправить такие пакеты через Ethernet?

Какой командой поднимается тунель? Какие ip-адреса назначены тунелю? И какие адреса назначены интерфейсам? В общем дайте вывод команд "ip addr" и "ip route". Забудьте про команды "ifconfig" и "route". А по поводу ненадежность, пока только одно предположение --- кеш маршрутов. Можете попробовать сравнить выводы команд "ip route show cache" в случаях, когда второй тунель поднимается, и когда нет.

Пользуй туннельный протокол на основе udp-протокола. openvpn это умеет, если не ошибаюсь. У протокола gre нет портов, из-за этого сложности.