Двойной VPN

>как заставить «сервер1» раздавать интернет от «сервера2» по шифрованному каналу?
Как обычно

Можно ли заставить работать OpenVPN в двух ипостасях одновременно

openvpn автоматически загружает файлы /etc/openvpn/*.conf

т.е. достаточно дать первому серверу 2 конфига?: - обычный серверный - клиентский от 2-го сервера с другой подсетью

Да. В маршрутах не запутайся, параноик :)

А вы уже попробовали это реализовать?
Вещь тривиальная, просто сделайте и всё.

А вот это очень верное добавление. Маршрутизация тут будет хитрее)

главное, не пытайтесь это сделать на основе freebsd :) на линуксе сабжевая задача делается на раз-два

>не пытайтесь это сделать на основе freebsd

А что там? (Просто интересно)

Кстати про openvpn для соединения сервер-сервер клиент-серверный режим необязателен, должно вполне хватить p2p. А с маршрутами никаких проблем, если man openvpn почитать.

единственная проблема, как уже сказали будет в маршрутизации. Потому что в openvpn она реализуется через попу (например в vpnc = Linux-клиенте для cisco-vpn всё гораздо лучше). После первого соединения у тебя в маршрутах старый дефолтный маршрут не убъется а появятся два новых с масками 128.0.0.0. Придётся руками убить старый дефолтный маршрут, поставить по дефолту то что сейчас на маске 128.0.0.0 висит и только после этого запускать второй openvpn.

Не рассказывайте сказки.
Надо просто правильно настроить серверную часть и с маршрутизацией будет проще на клиенте.
Интересней будет с маршрутами на первом сервере, поскольку дефолтный маршрут будет один, однако vpn клиент будет коннектиться по другому маршруту.

>А что там? (Просто интересно)

А там очень интересно работающий nat via pf+ng :) Хотя это более актуально в случае, когда невозможно обойтись простым роутингом. Если кратко, то фряха (по крайней мере <=7.2) не умеет натить один виртуальный интерфейс в другой (tun0->tun1).

на openvpn сервере-1

echo '150 vpn.out' >> /etc/iproute2/rt_tables

ip rule add fwmark 1 table vpn.out

iptables -t mangle -A PREROUTING -s 10.8.0.0/24 -i tun1 -j MARK --set-mark 1

iptables -t nat -A POSTROUTING -m mark --mark 1 -s 10.8.0.0/24 -o tun2 -j MASQUERADE

ip route add default dev tun2 table vpn.out

на втором сервере простой маскарад

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

ну и ip_forward не забудь включить

да, на 1 сервере висит 2 openvpn демона - 1 как сервер на tun1, второй как клиент (на tun2) ко второму серверу

ну думаю из моего примера все понятно

> Не рассказывайте сказки.

Надо просто правильно настроить серверную часть и с маршрутизацией будет проще на клиенте.

да? тогда расскажи нам что надо настраивать в openvpn чтобы он начал нормально работать поверх ppp http://www.linux.org.ru/forum/admin/4856236 где в маршрутизация идёт не по адресу а напрямую по устройству

А что, ситуация отличается от обычного, когда мы меняем default route?

[code]push «redirect-gateway def1»
push «route-gateway 192.168.100.1»[/code]
Не сработает?

> А что, ситуация отличается от обычного, когда мы меняем default route?

push "redirect-gateway def1"
push "route-gateway 192.168.100.1"

проблема в том что поверх ppp у default gw нет IP-адреса, и openvpn его не находит. И ставишь ты def1 или не ставишь уже не играет никакой роли. А по поводу def1: в принципе ничего страшного если так настраивать. Проблема в том что после этого он даже сам не может разобраться в маршрутах и второй openvpn если предыдущий был с def1 уже не запустишь. Сам-то он должен разбираться в каше которую сам же и устраивает в маршрутах? И для поиска пути до openvpn-сервера не стило бы брать его как предыдущий default gw, а надо бы вычислять его явно («ip r g»).

Так второй openvpn будет не на клиенте запускаться, а на первом сервере.
Смысл гонять дважды шифрованный трафик?

> Так второй openvpn будет не на клиенте запускаться, а на первом сервере.

Я сначала прочитал что у него два вложенных клиента будут запускаться. Но факт того то что маршрутизация в openvpn сделана через попу это не отменяет, и все проблемы от этого.

Действительно в режиме tun на openvpn будут танцы с бубном с маршрутизацией, но отца русской демократии спасут интерфейсы tap, нужно только закрыть глаза на оверхед.