Здравствуйте.Не могу понять как управлять трафиком внутри vpn тоннеля, голову сломал не знаю с чего начать.
Есть три интерфеса:
eth0 - лок.сеть
tun0 - сетевой интерфейс openvpn
eth1 - интернет интерфейсКогда пакет отправяется из локальной сети в удаленную он проходит по пути:
-> eth0 -> tun0 -> OpenVPN (при этом не является исходящим пакетом для tun0 - интерфейса)
Затем процесс OpenVPN создает новый пакет, который содержит шифрованное содержимое исходного, и отправляет его на удаленный сервер:OpenVPN - tun0 -> eth1 -> интернет. -тут я уже ничего не могу делать т.к. пакет шифрован.
Получается я должен ловить пакеты предназначенные для тоннеля на интерфейсе eth0? т.е. для него они будут исходящими (а для корректным будет iptables -t filter -А FORWARD)?
Правильно ли я понимаю все понимаю в ближайшем приближении?
> Когда пакет отправяется из локальной сети в удаленную он проходит по пути:
> -> eth0 -> tun0 -> OpenVPNверно
>(при этом не является исходящим пакетом для tun0 - интерфейса)
не верно.
> Затем процесс OpenVPN создает новый пакет, который содержит шифрованное содержимое исходного, и отправляет его на удаленный сервер:да, но не так, как описано ниже.
> OpenVPN - tun0 -> eth1 -> интернет.
OpenVPN -> eth1 (или куда там смотрит маршрут к удаленному серверу)
> -тут я уже ничего не могу делать т.к. пакет шифрован.
можно делать очень многое, а не "ничего", но содержимое пакета шифровано, да.
> Получается я должен ловить пакеты предназначенные для тоннеля на интерфейсе eth0?
Слово "должен" слабо употребимо. Зависит от потребностей и целей реализации.
> т.е. для него они будут исходящими
с какого бы %; если они через этот интерфейс (eth0) ВОШЛИ ?
(а для корректным будет iptables -t filter -А FORWARD)?
ась ?
> Правильно ли я понимаю все понимаю в ближайшем приближении?
видимо, нет.
PavelR, cпасибо за внятный ответ.>> Когда пакет отправяется из локальной сети в удаленную он проходит по пути:
>> -> eth0 -> tun0 -> OpenVPN
> верно
>>(при этом не является исходящим пакетом для tun0 - интерфейса)
> не верно.Я воспользовался tcpdump'ом -
tcpdump -i tun0 -n -s 0 port 5060 -vvv -w /root/capturefilename
Он видит пакеты
source 192.168.2.201 destination 192.168.254.1
source 192.168.254.1 destination 192.168.2.201Вроде бы этот трафик "транзитный" для tun0 т.к. tun0 в имеет ip 10.8.0.6
Посему не понятно на какой из этих пакетов будет влиять комманда почему (пример комманды взят от сюда http://www.opennet.me/docs/RUS/LARTC/x852.html, параграф 9.2.2.2.):
tc qdisc add dev tun0 root tbf rate 220kbit latency 50ms burst 1540Пожалуйста, разьясните.
>[оверквотинг удален]
>>> Когда пакет отправяется из локальной сети в удаленную он проходит по пути:
>>> -> eth0 -> tun0 -> OpenVPN
>> верно
>>>(при этом не является исходящим пакетом для tun0 - интерфейса)
>> не верно.
> Я воспользовался tcpdump'ом -
> tcpdump -i tun0 -n -s 0 port 5060 -vvv -w /root/capturefilename
> Он видит пакеты
> source 192.168.2.201 destination 192.168.254.1
> source 192.168.254.1 destination 192.168.2.201Я тоже с 50% вероятностью не угадаю, где какие сети - на каком конце 254-я, на каком - 2-я. Но я думаю, вы знаете топологию сети и где какая сеть.
> Вроде бы этот трафик "транзитный" для tun0 т.к. tun0 в имеет ip
> 10.8.0.6
> Посему не понятно на какой из этих пакетов будет влиять комманда почему
> (пример комманды взят от сюда http://www.opennet.me/docs/RUS/LARTC/x852.html, параграф
> 9.2.2.2.):
> tc qdisc add dev tun0 root tbf rate 220kbit latency 50ms burst
> 1540Команда будет влиять на трафик, исходящий В устройство tun0.
> Пожалуйста, разьясните.
>[оверквотинг удален]
>>>>(при этом не является исходящим пакетом для tun0 - интерфейса)
>>> не верно.
>> Я воспользовался tcpdump'ом -
>> tcpdump -i tun0 -n -s 0 port 5060 -vvv -w /root/capturefilename
>> Он видит пакеты
>> source 192.168.2.201 destination 192.168.254.1
>> source 192.168.254.1 destination 192.168.2.201
> Я тоже с 50% вероятностью не угадаю, где какие сети - на
> каком конце 254-я, на каком - 2-я. Но я думаю, вы
> знаете топологию сети и где какая сеть.Простите, ступил. Кажеться я составил программу экспориментов.
Спасибо. Думаю больше нет смысла отвечать на мои глупые вопросы)> Команда будет влиять на трафик, исходящий В устройство tun0.
>> Пожалуйста, разьясните.