Доброго всем времени суток!

Пришел на новое место, где имеется приличное количество нерешенных задач. Понятное дело, что разбираться в чужом сложнее, чем настраивать с нуля. Но в этом вопросе я оказался бессилен в обоих случаях, потому как с OpenSource-системами начал работать совсем недавно. За основу взял те системы, на которых пытался выполнить задачу мой предшественник. Перечитал множество статей, пока не решился попросить помощи :) Имеется ESXi 5.1, на нем с нуля поднял 2 виртуалки: первая - с ClearOS (которая планируется использоваться в качестве шлюза), вторая - с Debian (на которой поднят OpenVPN). Все ничего, но на шлюзе - 12 различных провайдеров(!!!). Задача в том, чтобы каждый удаленный пользователь подключался к OpenVPN, а дальше весь его траффик заворачивался на определенный интерфейс шлюза.

Использование OpenVPN обязательно.
Возможно ли это физически, если да - то что нужно добавить в конфиг (и что может быть неверно)? И если есть решение проще, то подскажите, пожалуйста - какое? Мозг уже закипает...

Конфиг сервера:
port 1194
proto udp
dev tun
dh /etc/openvpn/keys/dh2048.pem
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/OpenVPN.crt
key /etc/openvpn/keys/OpenVPN.key
server 172.10.10.0 255.255.255.0
status /etc/openvpn/openvpn-status.log
log /etc/openvpn/openvpn.log
verb 2
mute 20
max-clients 15
keepalive 10 180
#client-to-client
comp-lzo
persist-key
persist-tun
ifconfig-pool-persist ipp.txt
push "route 10.0.0.0 255.0.0.0"
push "route 172.10.10.0 255.255.255.0"
push "redirect-gateway eth1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
push "dhcp-option DNS 8.8.4.4"

Заранее спасибо!

• OpenVPN и распределение интерфейсов,Аноним, 14:43 , 18-Авг-14
  • OpenVPN и распределение интерфейсов,Аноним, 14:51 , 18-Авг-14
    • OpenVPN и распределение интерфейсов,Mark.sVr, 16:25 , 18-Авг-14
      • OpenVPN и распределение интерфейсов,Аноним, 17:28 , 18-Авг-14
• OpenVPN и распределение интерфейсов,Z0termaNN, 14:14 , 21-Авг-14
  • OpenVPN и распределение интерфейсов,Mark.sVr, 01:02 , 22-Авг-14
    • OpenVPN и распределение интерфейсов,Z0termaNN, 12:35 , 22-Авг-14
      • OpenVPN и распределение интерфейсов,Mark.sVr, 23:00 , 22-Авг-14
        • OpenVPN и распределение интерфейсов,Z0termaNN, 09:21 , 25-Авг-14

http://gentoo.ru/node/17538
под клиента забиваешь фиксированный ип и дальше натишь весь траф от клиента через определенного прова

> http://gentoo.ru/node/17538
> под клиента забиваешь фиксированный ип и дальше натишь весь траф от клиента
> через определенного прова

openvpn висит сразу на всех 12-ти ip, каждый клиент сразу коннектится к своему прову, и клиенту выдается фиксированный ip который натится через этого прова

>> http://gentoo.ru/node/17538
>> под клиента забиваешь фиксированный ип и дальше натишь весь траф от клиента
>> через определенного прова

Правила ната мне где писать и какие?

> openvpn висит сразу на всех 12-ти ip, каждый клиент сразу коннектится к
> своему прову, и клиенту выдается фиксированный ip который натится через этого
> прова

Не совсем понял...
OpenVPN должен иметь 1 внешний ип...

>>> http://gentoo.ru/node/17538
>>> под клиента забиваешь фиксированный ип и дальше натишь весь траф от клиента
>>> через определенного прова
> Правила ната мне где писать и какие?
>> openvpn висит сразу на всех 12-ти ip, каждый клиент сразу коннектится к
>> своему прову, и клиенту выдается фиксированный ip который натится через этого
>> прова
> Не совсем понял...
> OpenVPN должен иметь 1 внешний ип...

ну можно и через один канал чтоб все ходили а выходили натом
iptables masquerade в гугле забейте

не совсем  понял, трафик откуда должен заворачиваться - со стороны клиента или сервера.
если со стороны сервера, то см. в сторону параметров --up, --down, --client-connect, --client-disconnect в зависимости от конфигурации сервера.
со стороны клиента чуть сложнее, но тоже возможно.

> не совсем  понял, трафик откуда должен заворачиваться - со стороны клиента
> или сервера.
> если со стороны сервера, то см. в сторону параметров --up, --down, --client-connect,
> --client-disconnect в зависимости от конфигурации сервера.
> со стороны клиента чуть сложнее, но тоже возможно.

Клиент подключается к серверу с OpenVPN, а дальше ему выдается ип с заданного для него интерфейса и весь траффик пользователя идет через этот интерфейс.

т.е., насколько я понял - после подключения у клиента default route должен быть через
tun/tap впна ? правильно ?

> т.е., насколько я понял - после подключения у клиента default route должен
> быть через
> tun/tap впна ? правильно ?

По идее так планировалось раньше. Задачу поменяли. Сейчас OpenVPN-сервер работает под Win2008r2... конфиг тот же. Если поменять метрику интерфейса, чтобы дефолтным шлюзом была машина с ClearOS в локальной сети - "redirect-gateway def1" поможет (соотв мудрить с натом на шлюзе)? Или же нужно будет локальный интерфейс заменить на туннель?

>> т.е., насколько я понял - после подключения у клиента default route должен
>> быть через
>> tun/tap впна ? правильно ?
> По идее так планировалось раньше. Задачу поменяли. Сейчас OpenVPN-сервер работает под Win2008r2...
> конфиг тот же. Если поменять метрику интерфейса, чтобы дефолтным шлюзом была
> машина с ClearOS в локальной сети - "redirect-gateway def1" поможет (соотв
> мудрить с натом на шлюзе)? Или же нужно будет локальный интерфейс
> заменить на туннель?

опять ничего не понял.
клиенту не получится выдать default route через шлюз с clearos, т.к. он напрямую не подсоединен к клиенту, т.е. все default routes должны идти через vpn сервер, да и то
с некоторой оговоркой, т.к. вполне возможно маршрутизацией снести маршрут до провайдера.
а вот на clearos как раз придется прописывать через какого провайдера кого маршрутизировать.