Port forwarding и два шлюза в одной подсети на одном интерфейсе — куда копать?

Question

[Евгений]

Здравствуйте!

Дано:
1) Шлюз на Ubuntu
2) Интерфейс p4p1 (192.168.0.5/24) - внешний, p9p1 (192.168.1.1/24) - внутренний
3) На интерфейсе p4p1 висят два роутера от разных провайдеров (через свитч) находящиеся в одной подсети:
a) 192.168.0.1/24 - основной
b) 192.168.0.4/24 - резервный
4) В качестве шлюза по умолчанию указан 192.168.0.1

Задача:
Обеспечить проброс портов во внутреннюю сеть с обоих провайдеров.

Эту https://habrahabr.ru/post/117620/ статью видел, но она для шлюза с отдельным интерфейсом для каждого провайдера.
Пожалуйста, подскажите куда копать или как адаптировать вышеприведенное решение под данную задачу.

P.S.
Кривизну архитектуры сети осознаю.
Нахожусь в процессе отказа от провайдера "b", но на его белый IP завязано очень много мобильных блоков GPS/ГЛОНАСС навигации. Пока их все перепрошьешь...
Хотелось бы организовать временную работу через обоих провайдеров без добавления сетевого интерфейса для шлюза.

P.P.S.
Разбивать подсеть 192.168.0.0/24 на внешнем интерфейсе на две не очень хотелось бы, т.к. провайдер "a", это WiFi мост с оборудованием на крыше 9-ти этажного дома в 2-х километрах, а настраивать сеть через сеть чревато прогулкой на ту самую крышу в случае ошибки.

Comments

[Karmashkin]

если есть шанс сломать уже имеющуюся конфигурацию, без понимания как оно работает. Думаю лучше сетапнуть еще один роутер-маршрутизатор и экспериментировать на нем.

Answer 1

[Владимир Дубровин]

Можно без разбиения сети, но с разбиением подинтерфейсов - сделать два интерфейса с разными IP адресами в сеть 192.168.0.0/24 (например 192.168.0.5 и 192.168.0.6), с одного интерфейса роутить на одного провайдера, с другого на другого. Соответственно порт на каждом из маршрутизаторов пробросить на соответствующий интерфейс.
Можно с одним интерфейсом с двумя адресами, или даже с одним адресом, но с разными портами - но тогда придется настраивать policy routing.

Comments

[Евгений]

Спасибо!
Пока сделал с разными портами и policy routing:

# ip rule add fwmark 0x1/0x3 lookup 201
# ip rule add fwmark 0x2/0x3 lookup 202

# ip route add default via 192.168.0.1 table 201
# ip route add default via 192.168.0.4 table 202
# ip route add default via 192.168.0.1 metric 1000
# ip route add default via 192.168.0.4 metric 2000

# iptables -t mangle -N out-marking
# iptables -t mangle -A PREROUTING -m connmark ! --mark 0x0/0x3 -j out-marking
# iptables -t mangle -A out-marking -i br0 -j CONNMARK --restore-mark --mask 0x3
# iptables -t mangle -A out-marking -i p9p1 -j CONNMARK --restore-mark --mask 0x3

# iptables -t mangle -N in-marking
# iptables -t mangle -A PREROUTING -m conntrack --ctstate NEW -j in-marking
# iptables -t mangle -A in-marking -i p4p1 -p tcp -m tcp --dport 1101 -j CONNMARK --set-xmark 0x1/0x3
# iptables -t mangle -A in-marking -i p4p1 -p tcp -m tcp --dport 1102 -j CONNMARK --set-xmark 0x2/0x3

Однако хотелось бы универсальности. Есть ли способ средствами iptables определить с какого шлюза пришел пакет при новом соединении? Да бы не разбрасывать порты вручную.

[Владимир Дубровин]

MaksimovEvgeny: должно получиться через --mac-source

[Евгений]

Владимир Дубровин: да, похоже это единственное решение. Костыль еще тот, но и задача не лучше :)