Как заставить ходить траффик по впн узлам?

Question

[miruss]

Есть три сервера (впнсерв№1 + его впнклиент№2 + так же впнклиент№3 - все видят друг дуга в режиме site-to-site)
на каждом №1, №2 и№3 установлены впнсерверы (которые ждут подключения)
если юзер подключился к впнсерв№3 как сделать чтобы траффик пошел через №1 потом вышел в мир через №2?
и еще
если клиент подключился к впнсерверу№2 как сделать чтобы траффик пошел через №3 и вышел в мир через №1?
Есть какие то решения для это? В какую сторону смотреть?

Answer 1

[Сергей Петриков]

Из простого можно теоретически попробовать разрулить статической маршрутизацией, но тогда все 3 сервера по VPN должны выдавать клиенту IP из разных подсетей и между серверами для всех этих клиентских сетей должен быть отключен нат. То-есть как-то так:
Юзер попадает на сервер 3, получает IP из диапазона 192.168.3.0/24, на сервере стоит статическая запись заворачивать всю эту сетку не в шлюз по умолчанию, а в ВПН1, там для этой же сети также стоит роутинг не в дефолт, а в ВПН2 и только в впн2 для этой сети нет отдельного роутинга и уже есть нат, для других вариантов по аналогии.

Comments

[miruss]

а если маркироват трафик через фаервол? или метка не будет передаваться на второй серв?

[miruss]

млм с помщью динамической маршрутизации?

[Gem]

@miruss метки существуют в пределах хоста

[miruss]

@Gem не знаю как организовать каскад впн...

[Сергей Петриков]

@miruss Динамическая маршрутизация тут не поможет ибо пойдет трафик по самому короткому пути, а вам надо по длинному, обрисуйте зачем это нужно, может будет красивое решение.