Как распределить трафик?

Question

[My_Second_Nickname]

Здравствуйте. Столкнулся с проблемой одной. Есть два шлюза расположенные в разных городах, оба на Debian. Между собой связаны туннелем. В каждом шлюзе по 3 сетевых интерфейса - 2 для интернета, 1 для локалки. Не получается заставить тот шлюз, который является клиентом OpenVPN использовать маршрут не по умолчанию. В маршрутизации клиента выставлено 94.XXX.XXX.XX. * 255.255.255.255 UH 0 0 0 eth2
Где 94.XXX.XXX.XX. - это адрес ВПН-сервера. Но при просмотре например в том же jnettop я вижу что трафик до локалки за сервером всё равно идёт через eth1. Как можно ещё это побороть?

Comments

[Алексей Черемисин]

Обрисуйте поточнее конфигурацию и адресацию ваших интерфейсов. В openvpn можно принудительно пробрасывать нужные роуты клиенту командой в конфиге сервера
push "route 192.168.117.0 255.255.255.0"
Тогда весь трафик для 192.168.117.XXX будет завернут в туннель например.

[My_Second_Nickname]

Алексей Черемисин, дело не в том что нужно трафик в туннель завернуть. Нужно сам туннель завернуть на интерфейс. На сервере это проще, мы просто клиентом к тому или иному адресу подключаемся и всё. А вот на клиенте как заставить его использовать второй интерфейс?

[Алексей Черемисин]

My_Second_Nickname, что значит "заставить использовать"? Трафик идёт туда, куда есть маршрут. Ну и в линукса можно ещё принудительно интерфейс указать...

[My_Second_Nickname]

Алексей Черемисин, маршрут указан, в вопросе написал, как. Но по jnettop видно что идёт не через указанный интерфейс. Либо jnettop врёт

[shurshur]

My_Second_Nickname, надо маршрут написать не в интерфейс, а через шлюз второго интернета:

ip route add IP_OF_VPN_ENDPOINT via IP_OF_GATEWAY_TO_SECOND_INTERNET

[My_Second_Nickname]

shurshur, ip route add 94.xx.xx.xx via 94.zz.zz.zz

Первое - адрес ВПН-сервера, второе - шлюз нужного канала интернета? Верно?

[shurshur]

My_Second_Nickname, да.

Тестирование:

ip route get 94.xx.xx.xx # показывает как будет роутиться пакет до этого адреса по таблице маршрутизации
tracepath 94.xx.xx.xx # трейс трафика до этого адреса

[My_Second_Nickname]

shurshur, Хм. ip route get показал что роутится так как надо, по второму каналу.
-bash: tracepath: команда не найдена
traceroute по этому же адресу не показывает первый прыжок.
Но при этом открываю jnettop по первому интерфейсу, и вижу там трафик, который должен быть в туннеле.
192.168.0.230 <-> 192.168.1.173
подсеть 0.255 это за сервером, 1.255 - за клиентом. Пуш в конфиге OpenVPN есть, иначе коннекта вообще не было бы:
push "route 192.168.0.0 255.255.255.0"
Ничего не понимаю

[shurshur]

My_Second_Nickname, я бы смотрел трафик лучше tcpdump. Вообще если трафик с внутренними адресами идёт мимо туннеля, то он и достингуть точки назначения не сможет.