Как подменить шлюз внутри сетевого моста?

Question

[Sinot]

Приветствую.

Имеем "головной офис" соединенный с "филиалом" L2-тоннелем по средством OpenVPN.

В филиале стоит компьютер (PC2) с двумя сетевыми портами: к одному (eth0) подключен кабель провайдера, к другому (eth1) локальная сеть филиала. На этом компьютере tap-интерфейс (tap0), созданный OpenVPN, добавлен в сетевой мост (br0) вместе с eth1. Аналогичная конфигурация на OpenVPN-сервере в головном офисе. Обе машины под управлением Debian 9.

По итогу локальная сеть филиала и головного офиса видят друг-друга, компьютеры филиала получают сетевые настройки от DHCP-сервера с головного офиса, но и интернет-трафик филиала тоже идет через головной офис.

Вопрос в том, как на PC2 перенаправлять интернет-трафик клиентов филиала через их же интернет?

Для экспериментов собрал тестовый стенд:
DebianClient - имитирует клиентов филиала, подключен к DebianServer изолированной от всего сетью, сетевые настройки получит по DHCP (IP: 192.168.0.0/22, Шлюз: 192.168.0.1)
DebianServer - имитирует пограничный компьютер филиала, на нем:
ens3 - сетевой интерфейс для кабеля провайдера (IP: 172.16.20.4/29, Шлюз: 172.16.20.1)
ens4 - интерфейс подключенный к изолированной сети (DebianClient)
tap0 - интерфейс созданный OpenVPN
br0 - Сетевой мост с портами ens4 и tap0, под DHCP получает те же настройки, что и DebianClient.

Спасибо.

Comments

[Дмитрий Шицков]

tap-интерфейс (tap0), созданный OpenVPN, добавлен в сетевой мост (br0) вместе с eth1

Зачем? Разберите мост и смаршрутизируйте только локальный трафик

получают сетевые настройки от DHCP-сервера с головного офиса

и это тоже создает описываемую проблему.

[Sinot]

Дмитрий Шицков, Не вариант. Нужен именно L2-тоннель.

[Павел Беляев]

Маску подсети VPN интерфейса копайте и дефолтную роуту

[Sinot]

Павел Беляев, А можно пример какой-нибудь? Пакеты моста на DebianServer не маршрутизируются же.

[Павел Беляев]

Sinot, а, ну я у вас не почитал внимательно, зачем тут мост, если пакеты и без того будут с ens4 на tap0 улетать через FORWARD, если они соответствуют маске сетевого интерфейса tap0. Вы внутренний интерфейс прокинули в впн сеть, он там в виртуальной сети.

[Sinot]

Павел Беляев, А как без моста будут проходить широковещательные пакеты? И DebianServer не является шлюзом для DebianClient.

[Павел Беляев]

Sinot, а какие вы хотите широковещательные пакеты рассылать? И работает ли это сейчас?
Если dhcp, то наверно заработает, если tap0 добавить в конфиг dhcp

[Sinot]

Павел Беляев, Все работает. Клиенты филиала и головного офиса как на одном коммутаторе. Широковещательные пакеты нужны для нескольких специфических программ.

Мне получать DHCP на DebianServer не принципиально, скорее приятный бонус, он вообще в сети 192.168.0.0/22 не особо нужен.

Answer 1

[Sinot]

Все оказалось не так сложно, минимальное решение:
1. На пограничном компьютере (DebianServer) раздаем интернет

iptables -t nat -A POSTROUTING -o ens3 -j MASQUERADE

2. Меняем адрес шлюза на DebianServer в пакетах внутри моста. Но только для тех, у которых адрес назначения отличается от локальной сети

ebtables -t broute -A BROUTING -i ens4 -d yy:yy:yy:yy:yy:yy -p IPv4 --ip-dst ! 192.168.0.0/22 -j dnat --to-destination xx:xx:xx:xx:xx:xx

, где xx:xx:xx:xx:xx:xx - MAC-адрес моста на DebianServer,
yy:yy:yy:yy:yy:yy - MAC-адрес исходного шлюза.

Это минимальная конфигурация с которой у меня решился вопрос.

Comments

[Valentin Barbolin]

ebtables

Класс. Мы сами создаем себе проблемы, а потом ищем решение. Разделение сетей на сегменты всегда было хорошей практикой. И решает многие проблемы. А для специфических программ лучше использовать соответствующее решение (broadcast proxy).

[Sinot]

Andrey Barbolin, За 4 месяца существования вопросы так никто ваш вариант и не предложил. Так что решил как решил. За наводку спасибо, будем посмотреть.

[Valentin Barbolin]

Я тут почесал репу.

Можно было использовать 2 DHCP сервера для каждого офиса свой. Естественно настроить iptables чтобы офисы получали адреса из своей зоны.
1 DHCP раздавал бы адреса из 192.168.0.1-125.
2 DHCP 192.168.0.130-254
В каждой зоне указать разные GW. Если не хватает адресов, можно увеличить зону 192.168.0.0.23.
Тогда
1 DHCP раздавал бы адреса из 192.168.0.1-254.
2 DHCP 192.168.1.1-254

В таком случае проще становится правило для маскарада трафика, нет необходимости использовать ebtables и остается ваш бродкаст.

Answer 2

[Vadim Spriggan]

Возможно маршрутизация на PC2 настроена на ip 0.0.0.0 в туннель, так что весь трафик улетает в него.
А нужно прописать только адреса тех сетей, которые находятся по ту сторону тунеля: 192.168.0.0/24
Так всё, кроме локальных адресов полетит в провайдера минуя туннель.

И я бы на вашем месте разделил хосты по обе стороны на подсети:
192.168.0.0/24 -- 192.168.1.0/24 -- 192.168.3.0/24

Answer 3

[Михаил]

Задача, конечно, не лёгкая!
Предлагаю следующие решения:
1. Простой.
Настроить для каждого офиса свою область на DHCP со своими настройками маршрутизации. На маршрутизаторах прописать соответствующие правила.
2. Посложнее.
Настроить в DHCP политики для головного и удалённого офисов с собственными правилами маршрутизации.

Comments

[bevice]

3. Правильный: убрать мост и использовать маршрутизацию между сетями

[Михаил]

bevice, он же 1-й.
Разница между 1-м и 2-м лишь в количестве DHCP серверов.

[bevice]

Михаил, не он же. Ваш первый вариант может быть уложен в бродкаст домен, чего делать не стоит обычно.

[Михаил]

bevice, прошу прощения, каким образом разные сети через маршрутизатор, с предполагаемым VPN каналом, смогут передавать широковещательные запросы?
Хотя если исполнить вариант Ethernet over IP, то можно и широковещание реализовать.
Да и вообще вариантов "как сделать" - масса.
В своё время мы специально "заворачивали" весь трафик на ЦО, с целью исполнения 152 ФЗ и минимизации затрат.

[bevice]

Михаил, у топикстартера сетевой мост. Знаете как оно работает, ведь правда? Вы предложили разделить зоны DHCP и назначать разные шлюзы, так можно сделать и мост останется, бродкасты так же останутся.
Ключевое - убрать мост, что я и предлагаю за правильный вариант. Остальное - костыли и подпорки. Если вы имели ввиду то же самое - так выражайтесь яснее. Ключевое тут не разные зоны DHCP, а убирать мост и переходить на маршрутизацию пакетов