Есть ли готовые решения для multihoming в linux?

Question

[edo1h]

Сначала о задаче, которую решаем:
Есть несколько линков, у каждого свой адрес (или несколько адресов).
Например, у нас есть eth0 с адресами 1.1.1.1 и 1.1.1.2, и eth1 с адресом 2.2.2.2

Необходимо, чтобы независимо от того, какой сейчас default gateway, ответ на запрос уходил именно с того интерфейса и с того адреса, на который пришёл запрос.

То есть пусть ip ro показывает
default via 2.2.2.1 dev eth1 onlink
И на внешнем хосте мы запускаем ping 1.1.1.2
Ответы на ICMP-запросы должны уходить интерфейса eth0 с адреса 1.1.1.2

Задача знакомая, решается с помощью iptables/nftables и iproute2.
Но решение каждый раз напоминает «закат солнца вручную».

Вопрос: есть ли что-то готовое для решения этой задачи? Чтобы правила nftables для маркировки пакетов/записей в conntrack, ip rule и связанные с ними таблицы маршрутизации поддерживались в актуальном состоянии автомагически (отслеживалось добавление/удаление сетевых интерфейсов и адресов на них).

Comments

[shurshur]

Для задачи в такой постановке iptables вообще-то не нужно совсем. Достаточно правила в ip rule и маршрута в отдельной таблице.

Answer 1

[ValdikSS]

NetworkManager поддерживает, но требует ручной настройки.
Что-то вроде:

# nmcli c modify 'eth0' ipv4.route-table 1234
# nmcli c modify 'eth0' ipv4.routing-rules "from 1.2.3.4 table 1234 priority 1000"

Потребуется хоть какой-то маршрут в основной таблице маршрутизации, хоть
# ip route add default dev lo

Также netplan поддерживает policy routing, но его не тестировал.

Вообще, то, что вам требуется, можно реализовать bash-скриптом в виде dispatcher для NetworkManager.

Comments

[edo1h]

на хуках к ifupdown тоже можно реализовать.
правда, с ifupdown есть проблема, что не все интерфейсы через него конфигурируются, например xl2tp или openvpn в обычной настрйоке не используют ifupdown.

но всё-таки это всё не «автомагически» )

Answer 2

[Александр Карабанов]

Multihome IPv4 в Linux
Только не забудь коннктед маршруты вписать, а то локальный трафик будет через роутер ходить, хотя должен напрямую от машин к машине.

Comments

[Валентин]

Мне кажется, в постановке вопроса автора вообще достаточно vrf. Или с NAT/mangle пошаманить для входящих запросов.

[Александр Карабанов]

Валентин, куда проще создать пару таблиц маршрутизации и пару правил.

[edo1h]

Александр Карабанов, вы, похоже, невнимательно прочитали вопрос. речь шла не о том "что надо сделать чтобы linux в multihome конфиге работал как ожидается", а "как бы сделать чтобы ничего не надо было делать".

примерно так, как в статье, я и делаю (ну плюс ещё маркирую коннекты + создаю ip rule по fwmark), именно это я и назвал "закат солнца вручную", слишком много телодвижений.

в статье, на которую вы указали, есть о проблемах этого подхода:

Неприятная новость: если при обновлении аренды вам выдадут другой адрес, то он перестанет работать. Это можно исправить либо сделав правило с маской (from 241.241.241.0/24), либо прибив адрес гвоздями в конфиге dhcp-сервера (вообще, серверам не принято выдавать динамические адреса по DHCP...)

и оттуда же из комментов:

Кто-нибудь подскажет вообще хоть что-нибудь, чем можно управлять source routing? Для OpenWRT есть mwan3, а под обычный линукс вообще нет ни софта, ни скриптов. Есть только bird, но он не совсем для этого. Очень давно ищу, ничего найти не могу.

[edo1h]

Валентин, мне кажется, что vrf не поможет для приложений, биндящихся к INADDR_ANY. ну и настройка vrf, как правильно заметил Александр, не меньше действий, а больше, чем policy routing.
как именно вы предлагаете решить с помощью nat я не понял.

[Валентин]

edo1h, SNAT на входящие пакеты, маршрутизация к сначенному адресу через нужный интерфейс.

[edo1h]

Валентин, и видеть в логах ssh (например) один адрес на всех? не, это извращение какое-то )