Как менять маршруты клиентам сети?

Question

[NO_GLITCH]

Есть сервер с раздающий интернет по LAN
Сеть 172.24.1.0/24
Также этот сервер является клиентом другого сервера openvpn
(10.8.1.0/24) , который опять является клиентом двух других openvpn серверов(10.8.2.0/24 и 10.8.3.0/24)
В итоге на этом сервере openvpn 3 tun интерфейса с адреcами 10.8.1.1, 10.8.2.6, 10.8.3.6.

Сети 10.8.2.0/24 и 10.8.3.0/24 доступны из сети 10.8.1.0/24.
Сейчас клиенты LAN получают публичный IP первого сервера openvpn.
Как сделать так, чтобы определенному клиенту LAN пустить маршрут через сеть 10.8.2.0/24 и тем самым присвоить публичный IP этого openvpn сервера?

Answer 1

[Максим Гришин]

Если 172.24.1.0 натится на своем роутере, то никак - 10.8.1.1 уже не знает о сети 172.24.1.0. Если роутится, то используйте policy-based routing, чтобы пакеты с данного хоста маршрутизировались по другой таблице, в которой маршрут по умолчанию будет отличаться от общего.

Comments

[NO_GLITCH]

172.24.1.0/24 по дхцп раздается c сервера который имеет также интерфейс tun с адресом 10.8.1.6

[Максим Гришин]

NO_GLITCH, посмотрите, какие настройки NAT на 10.8.1.6 для сети 172.24.1.0. Если там SNAT или MASQUERADE, то ничего не выйдет, только менять топологию сети.

[NO_GLITCH]

видимо ничего не выйдет
-A POSTROUTING -o eth+ -j MASQUERADE
Но из сети 172.24.1.0 например пингуется 10.8.2.1, можно к нему подключаться по ssh и тд

traceroute to 10.8.2.1 (10.8.2.1), 64 hops max, 52 byte packets
 1  172.24.1.1 (172.24.1.1)  7.710 ms  1.282 ms  1.136 ms
 2  10.8.1.1 (10.8.1.1)  63.546 ms  64.785 ms  67.397 ms
 3  10.8.2.1 (10.8.2.1)  111.502 ms  109.486 ms  109.415 ms

[Максим Гришин]

> Но из сети 172.24.1.0 например пингуется 10.8.2.1, можно к нему подключаться по ssh и тд
Это нормально, на это как раз и нужен исходящий нат, чтобы можно было видеть сеть за пределами локальной сети.

А вот то, что у вас нат на eth+, это и нормально, и на доступ в 10.8 не влияет - она же за tun-интерфейсом. Вот есть ли у вас нат на tun? Если нет, смотрите tcpdump'ом на 10.8.1.1, видны ли айпишники из 172.24.1.0, если да, рисуйте роутинг.

[NO_GLITCH]

Да, есть там тоже нат.
Это пинг из сети 172.24.1.0

11:25:47.079600 ip: 10.8.1.1 > 10.8.1.6: ICMP echo reply, id 61569, seq 7, length 64
11:25:48.043028 ip: 10.8.1.6 > 10.8.1.1: ICMP echo request, id 61569, seq 8, length 64
11:25:48.043074 ip: 10.8.1.1 > 10.8.1.6: ICMP echo reply, id 61569, seq 8, length 64
11:25:49.046612 ip: 10.8.1.6 > 10.8.1.1: ICMP echo request, id 61569, seq 9, length 64
11:25:49.046652 ip: 10.8.1.1 > 10.8.1.6: ICMP echo reply, id 61569, seq 9, length 64
11:25:50.050447 ip: 10.8.1.6 > 10.8.1.1: ICMP echo request, id 61569, seq 10, length 64

Видимо надо все переделывать