URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 93403
[ Назад ]

Исходное сообщение
"QoS в нутри OpenVPN тоннеля"

Отправлено stopa85 , 23-Май-12 10:48 
Здравствуйте.

Не могу понять как управлять трафиком внутри vpn тоннеля, голову сломал не знаю с чего начать.

Есть три интерфеса:
eth0 - лок.сеть
tun0 - сетевой интерфейс openvpn
eth1 - интернет интерфейс

Когда пакет отправяется из локальной сети в удаленную он проходит по пути:
-> eth0 -> tun0 -> OpenVPN (при этом не является исходящим пакетом для tun0 - интерфейса)
Затем процесс OpenVPN создает новый пакет, который содержит шифрованное содержимое исходного, и отправляет его на удаленный сервер:

OpenVPN - tun0 -> eth1 -> интернет. -тут я уже ничего не могу делать т.к. пакет шифрован.

Получается я должен ловить пакеты предназначенные для тоннеля на интерфейсе eth0? т.е. для него они будут исходящими (а для корректным будет iptables -t filter -А FORWARD)?

Правильно ли я понимаю все понимаю в ближайшем приближении?


Содержание

Сообщения в этом обсуждении
"QoS в нутри OpenVPN тоннеля"
Отправлено PavelR , 23-Май-12 11:33 
> Когда пакет отправяется из локальной сети в удаленную он проходит по пути:
> -> eth0 -> tun0 -> OpenVPN

верно

>(при этом не является исходящим пакетом для tun0 - интерфейса)

не верно.


> Затем процесс OpenVPN создает новый пакет, который содержит шифрованное содержимое исходного, и отправляет его на удаленный сервер:

да, но не так, как описано ниже.

> OpenVPN - tun0 -> eth1 -> интернет.

OpenVPN -> eth1 (или куда там смотрит маршрут к удаленному серверу)

> -тут я уже ничего не могу делать т.к. пакет шифрован.

можно делать очень многое, а не "ничего", но содержимое пакета шифровано, да.

> Получается я должен ловить пакеты предназначенные для тоннеля на интерфейсе eth0?

Слово "должен" слабо употребимо. Зависит от потребностей и целей реализации.

> т.е. для него они будут исходящими

с какого бы %; если они через этот интерфейс (eth0) ВОШЛИ ?

(а для корректным будет iptables -t filter -А FORWARD)?

ась ?

> Правильно ли я понимаю все понимаю в ближайшем приближении?

видимо, нет.


"QoS в нутри OpenVPN тоннеля"
Отправлено stopa85 , 23-Май-12 13:34 
PavelR, cпасибо за внятный ответ.

>> Когда пакет отправяется из локальной сети в удаленную он проходит по пути:
>> -> eth0 -> tun0 -> OpenVPN
> верно
>>(при этом не является исходящим пакетом для tun0 - интерфейса)
> не верно.

Я воспользовался tcpdump'ом -

tcpdump -i tun0 -n -s 0 port 5060 -vvv -w /root/capturefilename

Он видит пакеты
source 192.168.2.201 destination 192.168.254.1
source 192.168.254.1 destination 192.168.2.201

Вроде бы этот трафик "транзитный" для tun0 т.к. tun0 в имеет ip 10.8.0.6

Посему не понятно на какой из этих пакетов будет влиять комманда почему (пример комманды взят от сюда http://www.opennet.me/docs/RUS/LARTC/x852.html, параграф 9.2.2.2.):
tc qdisc add dev tun0 root tbf rate 220kbit latency 50ms burst 1540  

Пожалуйста, разьясните.


"QoS в нутри OpenVPN тоннеля"
Отправлено PavelR , 23-Май-12 14:00 
>[оверквотинг удален]
>>> Когда пакет отправяется из локальной сети в удаленную он проходит по пути:
>>> -> eth0 -> tun0 -> OpenVPN
>> верно
>>>(при этом не является исходящим пакетом для tun0 - интерфейса)
>> не верно.
> Я воспользовался tcpdump'ом -
> tcpdump -i tun0 -n -s 0 port 5060 -vvv -w /root/capturefilename
> Он видит пакеты
> source 192.168.2.201 destination 192.168.254.1
> source 192.168.254.1 destination 192.168.2.201

Я тоже с 50% вероятностью не угадаю, где какие сети - на каком конце 254-я, на каком - 2-я. Но я думаю, вы знаете топологию сети и где какая сеть.

> Вроде бы этот трафик "транзитный" для tun0 т.к. tun0 в имеет ip
> 10.8.0.6
> Посему не понятно на какой из этих пакетов будет влиять комманда почему
> (пример комманды взят от сюда http://www.opennet.me/docs/RUS/LARTC/x852.html, параграф
> 9.2.2.2.):
> tc qdisc add dev tun0 root tbf rate 220kbit latency 50ms burst
> 1540

Команда будет влиять на трафик, исходящий В устройство tun0.

> Пожалуйста, разьясните.


"QoS в нутри OpenVPN тоннеля"
Отправлено stopa85 , 23-Май-12 14:23 
>[оверквотинг удален]
>>>>(при этом не является исходящим пакетом для tun0 - интерфейса)
>>> не верно.
>> Я воспользовался tcpdump'ом -
>> tcpdump -i tun0 -n -s 0 port 5060 -vvv -w /root/capturefilename
>> Он видит пакеты
>> source 192.168.2.201 destination 192.168.254.1
>> source 192.168.254.1 destination 192.168.2.201
> Я тоже с 50% вероятностью не угадаю, где какие сети - на
> каком конце 254-я, на каком - 2-я. Но я думаю, вы
> знаете топологию сети и где какая сеть.

Простите, ступил. Кажеться я составил программу экспориментов.
Спасибо. Думаю больше нет смысла отвечать на мои глупые вопросы)

> Команда будет влиять на трафик, исходящий В устройство tun0.
>> Пожалуйста, разьясните.