Как настроить маршрутизацию между двумя tun интерфейсами?

Question

[Bega]

На vds настроен openvpn, в качестве сервера и в качестве клиента к зарубежному серверу, моя задача клиентов сети openvpn tun0 192.168.10.0/24
маскарадить на tun1 openvpn клиент. Сделал таблицу ip rule add from 192.168.10.0/24 table open.out и сделал маршрутом по умолчанию ip route add default dev tun1 table open.out и сделал правило в iptables

iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o tun1 -j MASQUERADE

но есть одна проблема, маршрутизации внутри сети 192.168.10.0/24 нет, хосты друг друга не видят, т.к на сервере все запросы сразу улетают в tun1, соответственно не работает dns слушающий 192.168.10.1, как можно решить данную проблему?

Answer 1

[Bega]

Напишу свой рецепт
ip rule add from 192.168.10.0/24 lookup open.out

ip route add default dev tun0 table open.out

ip rule add from 192.168.10.0/24 to 192.168.10.0/24 lookup main

iptables -t nat -A POSTROUTING -s 192.168.10.0/24 ! -d 192.168.10.0/24 -o tun0 -j MASQUERADE

Хосты сети 192.168.10.0/24 друг друга видят, весь остальной исходящий трафик ходит внаружу на tun0

Если надо какие-то адреса не в tun0, а на шлюз по умолчанию, то

ip rule add from 192.168.10.0/24 to 1.1.1.1 lookup main

Answer 2

[Дмитрий]

Можно в ваш маскарад дописать -d !192.168.10.0/24

Comments

[Bega]

Спасибо, но пока не получается довести до ума
ip route add default dev tun1 table open.out все заворачивает в tun и опять таки хосты не видят друг друга, в частности 192.168.10.1

[Дмитрий]

Т.к. жто сервер, клиенты хоть и в одной сети по маске, все же вынуждены ходить через сервер. А ваше правило заворачивает во второй туннель все, что приходит через первый. Вам надо отделить локальный трафик впн-клиентов от идущего в интернеты. Возможно в правиле создания таблицы table open.out можно вписать такой же -d как я предложил в маскараде

[Bega]

Дмитрий, Пока сделал такое решение, ничего лучше не придумал пока что

ip rule add from 192.168.10.0/24 to 0.0.0.0/1 table open.out

[Дмитрий]

Bega, попробуйте

ip rule add from 192.168.10.0/24 to 192.168.10.0/24 dev tun0

Answer 3

[ValdikSS]

Вы забыли добавить маршрут до самой сети в таблицу.

ip route add 192.168.10.0/24 dev tun0 table open.out

Comments

[Bega]

Спасибо, гляну, может сюда забыл написать добавлял или нет, у меня специфичная хотелка, с этой сети в open.out сделать по умолчанию, но ещё добавить другие маршруты, чтобы условно на хост 1.1.1.1 ходило через ens3
ip route add 1.1.1.1/32 dev ens3 table open.out эффекта не даёт, все равно идёт через tun