https://www.opennet.dev/openforum/vsluhforumID1/90234.html Есть cервак (ubuntu 10.04) на него заведены 2 канала (VPN подключение)<br>схема<br>пров 1 &lt;------&gt;&#124;<br> &#124; 20mbit/s<br> &#124;&lt;---------&gt; (ppp0)<br> 5mbit/s ubuntu (br0)&lt;------------&gt;оффтопик<br> &#124;&lt;---------&gt; (ppp1)<br> &#124;<br>пров 2 &lt;------&gt;&#124; <br><br>задача: 1.сделать доступ на убунту одновременно с двух прово (решена)<br> 2.выводить софтопика через 2 провов с балансировкой (решена)<br> 3.переключение на оставшевогося в случаи падения другово (решена)<br> 4.прокинуть внуть сервисы до оффтпика(в часности VPN (pptp)) (решена частично)<br><br>Вопрос по 4 пункту - сервисы вроде прокинул но есть 1 небольшое но - когда подняты оба вровайдера - подсоединяюсь через ip первого провайдера и смотрю через tcpdump -i ppp0 -n proto GRE все в поорядке вижу прием и ответ через этот интерфейс все пакеты нормально отрабатывают SNAT + DNAT. а вот когда подсоединясь через другово провайдера (соединение устанавливаеться и работает) то https://www.opennet.dev/openforum/vsluhforumID1/90234.html#8 Thu, 18 Nov 2010 20:39:06 GMT &gt; есть лесть с машины в сети на RDP за DNAT в другой локалке<br><br>это как?<br> https://www.opennet.dev/openforum/vsluhforumID1/90234.html#7 Wed, 17 Nov 2010 15:13:25 GMT &gt;&gt; Как-то я ранее не обращал внимания ни на модуль iptables conntrack, ни<br>&gt;&gt; на опцию ctorigdst... =)<br>&gt; очень удобная вещь, и правила наглядные и логические получаются<br><br>Все опять ку - проблемой разобрался<br>немного подкоректировал правила<br>теперь стало как - вроде все заработало<br><br># ip rule list<br>0: from all lookup local<br>101: from all fwmark 0x1 lookup corbinawan<br>201: from all fwmark 0x2 lookup 2komwan<br>32766: from all lookup main<br>32767: from all lookup default<br><br><br># ip route list table corbinawan<br>192.168.69.0/24 dev br0 scope link<br>127.0.0.0/8 dev lo scope link<br>default dev ppp0 scope link<br><br><br># ip route list table 2komwan<br>192.168.69.0/24 dev br0 scope link<br>127.0.0.0/8 dev lo scope link<br>default dev ppp1 scope link<br><br>:POSTROUTING ACCEPT [814759064:1103320405488]<br>-A INPUT -i ppp0 -j CONNMARK --set-xmark 0x1/0xffffffff<br>-A INPUT -i ppp1 -j CONNMARK --set-xmark 0x2/0xffffffff<br>-A FORWARD -i ppp0 -j CONNMARK --set-xmark 0x1/0xffffffff<br>-A FORWARD -i ppp1 -j CONNMARK --set-xmark 0x https://www.opennet.dev/openforum/vsluhforumID1/90234.html#6 Wed, 10 Nov 2010 21:26:35 GMT &gt; Как-то я ранее не обращал внимания ни на модуль iptables conntrack, ни<br>&gt; на опцию ctorigdst... =)<br><br>очень удобная вещь, и правила наглядные и логические получаются<br> https://www.opennet.dev/openforum/vsluhforumID1/90234.html#5 Mon, 08 Nov 2010 19:21:39 GMT &gt;[оверквотинг удален]<br>&gt; 3000: from all fwmark 0x3e8 lookup IPS2<br>&gt; 32764: from xxx.xxx.xxx.xxx lookup IPS1<br>&gt; 32765: from yyy.yyy.yyy.yyy lookup IPS2<br>&gt; 32766: from all lookup main<br>&gt; 32767: from all lookup default<br>&gt; # iptables -t mangle -I PREROUTING 1 -s 192.168.127.10 -m conntrack --ctorigdst<br>&gt; yyy.yyy.yyy.yyy -j MARK --set-mark 1000<br>&gt; # iptables -t mangle -I PREROUTING 1 -s 192.168.127.10 -m conntrack --ctorigdst<br>&gt; xxx.xxx.xxx.xxx -j MARK --set-mark 3011<br>&gt; По идее должно работать и с GRE<br><br>Как-то я ранее не обращал внимания ни на модуль iptables conntrack, ни на опцию ctorigdst... =) <br><br> https://www.opennet.dev/openforum/vsluhforumID1/90234.html#4 Mon, 08 Nov 2010 18:07:29 GMT &gt;&gt; попробуйте пробрасывать с разных ppp на разные ip или порты, а не<br>&gt;&gt; все на 192.168.69.2:1723.<br>&gt;&gt; и потом маркировать ответные пакеты на основании того от куда они идут.<br>&gt; так работает - но у меня 1 vpn сервак - мутить алиасы<br>&gt; на нем не хочеться - да и не правельно. должно работать<br>&gt; но не работает сволоч - вернее работает - но както странно.<br><br>да, вариант не красивый, то что предложил ALex_hha лучше.<br><br>по поводу "должно работать", помоему прикол в том что ответные пакеты маркируются не там где задумывалось.<br> https://www.opennet.dev/openforum/vsluhforumID1/90234.html#3 Mon, 08 Nov 2010 14:50:30 GMT &gt; попробуйте пробрасывать с разных ppp на разные ip или порты, а не<br>&gt; все на 192.168.69.2:1723.<br>&gt; и потом маркировать ответные пакеты на основании того от куда они идут.<br><br>так работает - но у меня 1 vpn сервак - мутить алиасы на нем не хочеться - да и не правельно. должно работать но не работает сволоч - вернее работает - но както странно.<br><br> https://www.opennet.dev/openforum/vsluhforumID1/90234.html#2 Mon, 08 Nov 2010 12:30:54 GMT На днях решал такую же проблему, пробрасывал запросы на внутр http сервер.<br><br># iptables -t mangle -L PREROUTING -n<br>Chain PREROUTING (policy ACCEPT)<br>target prot opt source destination<br>MARK all -- 192.168.127.10 0.0.0.0/0 ctorigdst xxx.xxx.xxx.xxx MARK set 0xbc3<br>MARK all -- 192.168.127.10 0.0.0.0/0 ctorigdst yyy.yyy.yyy.yyy MARK set 0x3e8<br><br># iptables -t nat -L PREROUTING -n &#124; grep :4321<br>DNAT tcp -- 0.0.0.0/0 xxx.xxx.xxx.xxx tcp dpt:4321 to:192.168.127.10:3389<br>DNAT tcp -- 0.0.0.0/0 yyy.yyy.yyy.yyy tcp dpt:4321 to:192.168.127.10:3389<br><br># ip ru sh<br>0: from all lookup local<br>2000: from all fwmark 0xbc3 lookup IPS1<br>3000: from all fwmark 0x3e8 lookup IPS2<br>32764: from xxx.xxx.xxx.xxx lookup IPS1<br>32765: from yyy.yyy.yyy.yyy lookup IPS2<br>32766: from all lookup main<br>32767: from all lookup default<br><br># iptables -t mangle -I PREROUTING 1 -s 192.168.127.10 -m conntrack --ctorigdst https://www.opennet.dev/openforum/vsluhforumID1/90234.html#1 Mon, 08 Nov 2010 11:43:38 GMT попробуйте пробрасывать с разных ppp на разные ip или порты, а не все на 192.168.69.2:1723.<br>и потом маркировать ответные пакеты на основании того от куда они идут.<br>