Как форварднуть трафик из eth0 в tun-интерфейс и обратно?

Question

[Дмитрий Белякин]

Имеется такая схема:
Application --- some adaptation layer --- tun-interface(15.0.0.1) --- eth0(192.168.0.1) <-------> WWW(111.222.5.6)
(IP-адреса написал от балды, просто для удобства и для правильного описания сути проблемы)
Дело в том, что Application не подозревает, что он за tun-интерфейсом. Он думает, что он 192.168.0.1 и шлет IP-пакеты с source address=192.168.0.1, destination=111.222.5.6. Adaptation layer пишет этот пакет в tun.
Задача: как-то форварднуть этот пакет из tun-интерфейса на eth0 средствами iptables.
И обратная задача: из сети приходит пакет source=111.222.5.6, dest=192.168.0.1, нужно чтобы пакет ушел в tun-интерфейс, а из tun-а через adaptation дошел до нашего Application с теми же source=111.222.5.6, dest=192.168.0.1 в IP-хедере.
Под tun-интерфейсом понимается виртуальный интерфейс ядра, под eth0 - реальный ethernet-интерфейс на реальной физической сетевой карточке.

Answer 1

[Softer]

Может сделать bridge (tun+eth) и назначить ему 192.168.0.1? Тогда у App реально будет 192.168.0.1...
Вот только получится ли сделать бридж tun и eth... :)

Или городить SNAT+DNAT...

Comments

[Дмитрий Белякин]

не получится, вроде бриджи только для ethernet-интерфейсов. если бы был tap, получилось бы. Кажется так.

Answer 2

[jcmvbkbc]

Дело в том, что Application не подозревает, что он за tun-интерфейсом. Он думает, что он 192.168.0.1 и шлет IP-пакеты с source address=192.168.0.1, destination=111.222.5.6.

Ну так надо application научить тому, что адрес его -- 15.0.0.1. Либо в some application layer выполнить трансляцию из 192.168.0.1 в 15.0.0.0 и обратно.

После этого включить на хосте маршрутизацию (echo 1 > /proc/sys/net/ipv4/ip_forward), а в iptables -- SNAT или маскарадинг в eth0 (iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE), и проверить, что форвардинг не запрещён на уровне iptables.

Хотя, мне кажется (а из описания не ясно), что 15.0.0.1 -- это адрес хостовой стороны tun-интерфейса, а адрес приложения с той стороны tun-интерфейса -- какой-то другой, вероятно из подсети 15.0.0.0. Расскажите подробнее о том, как ваше приложение использует tun.

Comments

[Дмитрий Белякин]

Application думает, что у него IPшник 192.168.0.1, собсвтенно с этого адреса и шлет свои пакеты, т.е. в заголовке IP пакета source адрес будет 192.168.0.1. Но только суть в том, что пакет идет не напрямую в eth0, а пишется в tun. И вот оттуда нужно форварднуть в eth0. Зачем мне такие извращения - объяснить, пожалуй, не смогу. Но нужно именно так :)

[jcmvbkbc]

> Зачем мне такие извращения - объяснить, пожалуй, не смогу.
Ок, выпрямите свою архитектуру и наслаждайтесь жизнью.

[Дмитрий Белякин]

jcmvbkbc: то, что я описал, нужно для тестирования. В оригинале все гораздо сложней и работает не так.
А вам попроще относиться к жизни не помешало бы.

[Дмитрий Белякин]

к тому же, я попросил помощи в конкретно поставленной задаче. Обсуждать архитектуру я не просил.

[jcmvbkbc]

> я попросил помощи в конкретно поставленной задаче
Очень часто правильное решение состоит не в том, чтобы решить данную задачу, а в том, чтобы избавиться от неё. Подумайте об этом.

Answer 3

[Azazel PW]

Если я правильно вашу схему понимаю, то примерно так.
iptables -t nat -A POSTROUTING -s 15.0.0.0/24 -d 111.222.5.6 -o eth0 --jump SNAT --to-source 192.168.0.1
Трафик пришедший с туннеля 15.0.0.0/24 и идущий по адресу 111.222.5.6 мы передаем через gw 192.168.0.1