Как настроить направление трафика в зависимости от того поднят VPN или нет?

Question

[sbh]

Задача направлять трафик одни образом если VPN поднят и другим если VPN отключен.
Кто-нибудь имеет опыт настройки подобного в iptables?
Возможно с помощью модуля owner?

Comments

[dgfjhgjkhkfdjh]

напишите задачу целиком
зачем вообще что то направлять

Answer 1

[Moris Haos]

Привет,
Критерий owner работает только в OUTPUT, а для организации VPN обычно нужен FORWARD. В целом задача очень размыта, то ли вам надо разделить трафик, то ли вам надо отслеживать поднятие VPN и потом чего-то там как-то форвардить... Поконкретнее надо бы...

Comments

[sbh]

Мне нужно отслеживать поднятие VPN и когда он поднят направлять весь трафик через него.

Answer 2

[krosh]

У вас маршрутизатор или рабочая станция/рядовой сервер? Примем ситуацию с хостом-клиентом.

Меняйте маршрут по умолчанию после того, как будет поднят впн-туннель. В некоторых клиентах можно сразу в конфиг это прописать, или напишите отдельный скрипт с ip route add, который будет запускаться при старте впн-туннеля. Можно или default gw менять, либо первой строчкой ставить доступ в сеть 0.0.0.0/0 через интерфейс впн-туннеля.

Comments

[sbh]

Локальный компьютер. Можно правилами iptables отследить подключение VPN и направить автоматом весь трафик через него? При отключении VPN соответственно направить трафик через роутер.

[krosh]

sbh, iptables - инструмент фильтрации трафика, он не занимается его маршрутизацией. Самое лучшее, что вы можете сделать - заблокировать трафик на все интерфейсы кроме впн. Нет таких правил, чтобы мониторить сеть. iptables статичный - значит какой-то внешний скрипт должен добавлять или удалять правила.

Есть условия -LOG которые могут скидывать аллерты в лог, а уже лог парсит скрипт, который переключает маршруты при появлении этих аллертов. Только вам нужно сделать так, чтобы после подъема туннеля, там был трафик, пинг например. Но это не тот вариант, которым нужно пользоваться.

Вам нужен инструмент маршрутизации - пакет iproute2. Пишите скрипт, который будет мониторить интерфейсы и менять маршрут при его появлении, раз нет других возможностей.

Когда вы запускаете впн-туннель, разве маршрут не меняется? Таблица маршрутизации как-то меняется? Посмотрите ip ro sh до и после подключения.