Как настроить два сетевых интерфейсов на VPS (с ролью шлюза)?

Question

[Евгений Воробьев]

Имеется VPS с двумя сетевыми интерфейсами eth0: 10.129.0.11 и eth1: 10.129.0.12 (внешний адреса в интернете у них другие с которыми они связаны через NAT One-to-One). Представим, что это адреса 11.1.1.1 и 22.2.2.2.

Эта VPS связана с другой VPS через GRE туннель с адресами 172.30.0.1 (шлюз) и 172.30.0.2 (дальняя) на концах.

На "дальней vps" работает сервис с открытым портом 11336, а на первой VPS (шлюз) проброшен такой же порт 11336 на ту неё через связующий их GRE туннель:

iptables -A FORWARD -p tcp -m multiport --dport 11336   -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -m multiport --dport 11336  -j DNAT --to-destination 172.30.0.2

На самом шлюзе в маршрутах (появляются автоматом):

default via 10.129.0.1 dev eth0
default via 10.129.0.1 dev eth1 metric 200
10.129.0.0/24 dev eth0 proto kernel scope link src 10.129.0.11
10.129.0.0/24 dev eth1 proto kernel scope link src 10.129.0.12
172.30.0.0/30 dev gre_vps2 proto kernel scope link src 172.30.0.1

/etc/iproute2/rt_tables

#
# reserved values
#
255     local
254     main
253     default
0       unspec

101     isp1
102     isp2

Дополнительные правила iptables

ip route add 10.129.0.0/24 dev eth0 src 10.129.0.11 table isp1
ip route add 10.129.0.0/24 dev eth1 src 10.129.0.12 table isp2
ip route add default via 10.129.0.1 dev eth0 table isp1
ip route add default via 10.129.0.1 dev eth1 table isp2
ip rule add from 192.168.0.11 table isp1
ip rule add from 192.168.0.12 table isp2
iptables -t mangle -A PREROUTING -i eth0 -j CONNMARK --set-mark 101
iptables -t mangle -A PREROUTING -i eth1 -j CONNMARK --set-mark 102
ip rule add fwmark 101 lookup isp1
ip rule add fwmark 102 lookup isp2
iptables -t mangle -A FORWARD -j CONNMARK --save-mark
iptables -t mangle -I OUTPUT -j CONNMARK --restore-mar

ip route show table 101

default via 10.129.0.1 dev eth0
10.129.0.0/24 dev eth0 scope link src 10.129.0.11

ip route show table 102

default via 10.129.0.1 dev eth1
10.129.0.0/24 dev eth1 scope link src 10.129.0.12

Проблема в том, что если стучаться на 11.1.1.1:11336, то запросы корректно идут до сервиса через GRE туннель и возвращаются адресату, но если стучаться 22.2.2.2:11336 (то есть через второй интерфейс), то они до сервиса доходят, он ответ присылает... но из шлюза обратно они уходят через первый интерфейс. Я так понимаю, это как то связано с маршрутами, но не понимаю где именно ошибка.

Answer 1

[Евгений Воробьев]

Разобрался сам.

Готовый скрипт

OUTTUN_NET=$(ip route show dev gre0 | awk '{ print $1 }')
OUTTUN_IP=$(ip route show dev gre0 | grep -v "default" | awk '{ print $7 }')

iptables -t nat -A POSTROUTING -o gre0 -j SNAT --to $OUTTUN_IP

for ((i=0; i<$(ls /sys/class/net/ | grep "^eth" | wc -l); i++)); do
ETH_IP=$(ip route show dev eth${i} | grep -v "default" | awk '{ print $7 }')
ETH_NET=$(ip route show dev eth${i} | grep -v "default" | awk '{ print $1 }')
ETH_GW=$(ip route show dev eth${i} | grep "default" | awk '{ print $3 }')
ip route add $ETH_NET dev eth${i} src $ETH_IP table gate${i}
ip route add default via $ETH_GW dev eth${i} table gate${i}
ip route add 172.30.0.0/30 dev gre0 src 172.30.0.1 table gate${i}
ip rule add from $ETH_IP lookup gate${i}
ip rule add fwmark 10${i} lookup gate${i}
iptables -t mangle -A FORWARD -i eth${i} -j CONNMARK --set-mark 10${i}
iptables -t nat -A POSTROUTING -o eth${i} -j SNAT --to $ETH_IP
done

iptables -t mangle -A PREROUTING -j CONNMARK --restore-mark
ip route flush cache

Основные косяки:
1) Надо было в каждую "особую таблицу маршрутизации" добавить маршрут до сети gre туннеля 172.30.0.0
2) Надо было маркировать соединения в таблице FORWARD
3) Надо было в PREROUTING добавить --restore-mark (чтобы при возвращении из туннеля метка вешалась обратно)

Answer 2

[Drno]

отмени правило masquerade в iptables

и настрой SNAT - чтоб уходило через то тже интерфейс, на который пришло

Comments

[Евгений Воробьев]

Там и так SNAT для обоих внешних интерфейсов. Натравленны на 10.129.0.11 и 10.129.0.12 соответственно

[Alexey Dmitriev]

Все работает, как и должно. Маршрут один, полагаю, что default gateway, и он отрабатывает конечно раньше, чем любые правила iptables. Вероятно в задаче архитектурная проблема.

[Евгений Воробьев]

Alexey Dmitriev, там таблица маршрутизации отдельная есть для меток соединений. Я понимаю, что есть проблема.. и поэтому сюда написал

[Drno]

Alexey Dmitriev, кстати да... чёт я под вечер писал, написал не вникнув...

[Zerg89]

Евгений Воробьев, мое предположение что изза gre(он же через eth0 строится?) коннект метится еще раз с перезаписью
Ps

iptables -t mangle -I OUTPUT -j CONNMARK --restore-mar

опечатка только здесь или в конфиге также?

[Евгений Воробьев]

Zerg89, опечатка только тут) скопировал без буквы последней.
Про gre да, вы правы. Он через eth0 идёт, потому что через eth1 он не пашет. Ответные пакеты тоже через eth0 пытаются уйти. Как быть?

[Zerg89]

Евгений Воробьев, пробовать исключить маркировку по месту назначения
Типа такого

iptables -t mangle -A PREROUTING -i eth0 -d ! 172.30.0.2 -j CONNMARK --set-mark 101

[Евгений Воробьев]

Zerg89, не помогло

Еще заметил, что при схеме выше всей - не маркируются соединения на eth1

conntrack -L | grep 11336 | grep mark

udp 17 119 src=xx.xx.72.185 dst=10.129.0.12 sport=13231 dport=11336 src=172.30.0.2 dst=172.30.0.1 sport=11336 dport=13231 [ASSURED] mark=0 use=1

Хотя тот же icmp на второй интерфейс - уже маркируется

conntrack -L -m 102

icmp 1 26 src=xx.xx.72.185 dst=10.129.0.12 type=8 code=0 id=1 src=10.129.0.12 dst=xx.xx.72.185 type=0 code=0 id=1 mark=102 use=1

UPD. Обноружил, что не маркируются вообще любые соединения, которые пробрасываются через DNAT, вроде того порта 11336, независимо на какой интерфейс по нему стучатся. Метка всегда 0, просто в случае с первым интерфейсов, ответ просто идет по стандартному default маршруту

[Евгений Воробьев]

Уже ближе подошел. Разобрался с маркировкой и теперь вижу вот что при установке соединения

conntrack -L -m 102

udp 17 115 src=xx.xx.72.185 dst=10.129.0.12 sport=13231 dport=11336 src=172.30.0.2 dst=172.30.0.1 sport=11336 dport=13231 [ASSURED] mark=102 use=1

tcpdump dst port 13231 -i any

22:37:52.945931 vps2 In IP 172.30.0.2.11336 > 172.30.0.1.13231: UDP, length 92
22:37:52.946000 eth0 Out IP 10.129.0.12.11336 > xx.xx.72.185.13231: UDP, length 92

... то есть выходной интерфейс eth0 (первый), но с IP 10.129.0.12 (второго)

[Zerg89]

Евгений Воробьев, ip route get dst-addres mark что выдает?

ip rule show покажет всю таблицу маршрутизации (так как ее собирает служба из нескольких частей будет понятней что за чем идет), исполнение правил сверху вниз, если правила написаны после таблицы main то они и уйдут по маршруту main таблицы без прыжка в нужную(я так понимаю меток по этому и небыло, хотя по packetflow mangle должен срабатывать до dstnat но он туда уже не попадал)

[Zerg89]

Евгений Воробьев,ip rule add fwmark 101 lookup isp1 priority xxx возможно нужно задать приоритет для прыжка в нужную таблицу

[Евгений Воробьев]

Zerg89,

ip route get 8.8.8.8 mark 101

8.8.8.8 via 10.129.0.1 dev eth0 table isp1 src 10.129.0.11 mark 0x65 uid 0
cache

ip route get 8.8.8.8 mark 102

8.8.8.8 via 10.129.0.1 dev eth1 table isp2 src 10.129.0.12 mark 0x66 uid 0
cache

ip rule show

0: from all lookup local
216: from all fwmark 0x66 lookup isp2
217: from 10.129.0.12 lookup isp2
218: from all fwmark 0x65 lookup isp1
219: from 10.129.0.11 lookup isp1
220: from all lookup 220
32766: from all lookup main
32767: from all lookup default

[Zerg89]

Евгений Воробьев, а не может ли быть прикола как описан здесь
Просто моя логика в этом моменте сломалась
22:37:52.946000 eth0 Out IP 10.129.0.12.11336 > xx.xx.72.185.13231: UDP, length 92