https://slinkov.ru/openforum/vsluhforumID1/90587.html Здравсвуйте,опишу ситуацию.<br>На шлюзе настроена маршрутизация на двух провайдеров, маршрутизация настроена по принципу маркировки пакетов iptables и роутинга используя эти метки ip route. Далее на этом же шлюзе поднят OpenVPN клиент, клиенту выдается ip 192.168.173.6, на OpenVPn сервере настроена маршрутизация, то есть с самого шлюза я вижу IP адресс 192.168.172.100 (именно 172). <br>А теперь вопрос каким образом мне прописать маршрут, чтобы из внутренний сети все запросы на сеть 192.168.172.0 шли через интерфейс tun1 то есть через OpenVPN. <br> https://slinkov.ru/openforum/vsluhforumID1/90587.html#13 Thu, 03 Feb 2011 14:24:13 GMT &gt; Здравсвуйте,опишу ситуацию.<br>&gt; На шлюзе настроена маршрутизация на двух провайдеров, маршрутизация настроена по принципу <br>&gt; маркировки пакетов iptables и роутинга используя эти метки ip route. Далее <br>&gt; на этом же шлюзе поднят OpenVPN клиент, клиенту выдается ip 192.168.173.6, <br>&gt; на OpenVPn сервере настроена маршрутизация, то есть с самого шлюза я <br>&gt; вижу IP адресс 192.168.172.100 (именно 172).<br>&gt; А теперь вопрос каким образом мне прописать маршрут, чтобы из внутренний сети <br>&gt; все запросы на сеть 192.168.172.0 шли через интерфейс tun1 то есть <br>&gt; через OpenVPN.<br><br>Тут маркировать ничего не нужно.<br>1. Разрешите весь трафик через интерфес TUN1.<br>2. В конфиг openvpn на сервере добавьте строчку route 192.168.172.0 255.255.255.0, это отправит траффик в туннель.<br>3. Для определения, какому клиенту слать трафик - испрользуйте client-config-dir, а в файле с именем клиента укажите iroute 192.168.172.0 255.255.255.0<br><br>ЗЫ.<br>В п.2 должно быть несколько строчек (сеть из которой выдается IP клиентур, подсеть у клиент https://slinkov.ru/openforum/vsluhforumID1/90587.html#12 Wed, 22 Dec 2010 10:17:44 GMT &gt;&gt; если и после этого не заработает то tcpdump -n -i tun0 покажет <br>&gt;&gt; что происходит на интерфейсе <br>&gt; Спасибо за помощь, вроде работает но задержки очень большие <br>&gt; Ответ от 192.168.172.1: число байт=32 время=697мс TTL=126 <br>&gt; С чем это может быть вызвано?<br><br>а со шлюза?<br><br> https://slinkov.ru/openforum/vsluhforumID1/90587.html#11 Wed, 22 Dec 2010 10:06:54 GMT &gt; если и после этого не заработает то tcpdump -n -i tun0 покажет <br>&gt; что происходит на интерфейсе <br><br>Спасибо за помощь, вроде работает но задержки очень большие<br>Ответ от 192.168.172.1: число байт=32 время=697мс TTL=126<br>С чем это может быть вызвано?<br> https://slinkov.ru/openforum/vsluhforumID1/90587.html#10 Wed, 22 Dec 2010 09:39:44 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; -A POSTROUTING -m mark --mark 0xa -j MASQUERADE <br>&gt;&gt;&gt; -A POSTROUTING -m mark --mark 0xb -j MASQUERADE <br>&gt;&gt; iptables -t mangle -I PREROUTING -d 192.168.172.0/24 -j ACCEPT <br>&gt;&gt; iptables -I FORWARD -i tun+ -j ACCEPT <br>&gt;&gt; iptables -I FORWARD -o tun+ -j ACCEPT <br>&gt;&gt; так же если на стороне vpn-сервера маршрутов к вашей локалке нет и <br>&gt;&gt; вы не можете их там прописывать, то сделайте snat или MASQUERADE <br>&gt;&gt; на tun-интерфейсе <br>&gt; Спасибо за ответ, прописал но ничего не изменилось. Подскажите пожалуйста как правильно <br>&gt; прописать маскарадинг на tun?<br><br>iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE<br><br>если и после этого не заработает то tcpdump -n -i tun0 покажет что происходит на интерфейсе<br> https://slinkov.ru/openforum/vsluhforumID1/90587.html#9 Wed, 22 Dec 2010 09:32:34 GMT &gt;[оверквотинг удален]<br>&gt;&gt; -A OUTPUT -m connmark --mark 0xa -j MARK --set-mark 0xa <br>&gt;&gt; -A OUTPUT -m connmark --mark 0xb -j MARK --set-mark 0xb <br>&gt;&gt; -A POSTROUTING -m mark --mark 0xa -j MASQUERADE <br>&gt;&gt; -A POSTROUTING -m mark --mark 0xb -j MASQUERADE <br>&gt; iptables -t mangle -I PREROUTING -d 192.168.172.0/24 -j ACCEPT <br>&gt; iptables -I FORWARD -i tun+ -j ACCEPT <br>&gt; iptables -I FORWARD -o tun+ -j ACCEPT <br>&gt; так же если на стороне vpn-сервера маршрутов к вашей локалке нет и <br>&gt; вы не можете их там прописывать, то сделайте snat или MASQUERADE <br>&gt; на tun-интерфейсе <br><br>Спасибо за ответ, прописал но ничего не изменилось. Подскажите пожалуйста как правильно прописать маскарадинг на tun?<br><br><br> https://slinkov.ru/openforum/vsluhforumID1/90587.html#8 Wed, 22 Dec 2010 07:57:50 GMT &gt;[оверквотинг удален]<br>&gt; -A PREROUTING -s 192.168.0.192 -d ! 192.168.0.0/255.255.255.0 -j MARK --set-mark 0xb <br>&gt; -A PREROUTING -s 192.168.0.193 -d ! 192.168.0.0/255.255.255.0 -j MARK --set-mark 0xb <br>&gt; -A PREROUTING -s 192.168.0.197 -d ! 192.168.0.0/255.255.255.0 -j MARK --set-mark 0xb <br>&gt; -A PREROUTING -s 192.168.0.200 -d ! 192.168.0.0/255.255.255.0 -j MARK --set-mark 0xb <br>&gt; -A INPUT -i eth1 -j MARK --set-mark 0xa <br>&gt; -A INPUT -i eth2 -j MARK --set-mark 0xb <br>&gt; -A OUTPUT -m connmark --mark 0xa -j MARK --set-mark 0xa <br>&gt; -A OUTPUT -m connmark --mark 0xb -j MARK --set-mark 0xb <br>&gt; -A POSTROUTING -m mark --mark 0xa -j MASQUERADE <br>&gt; -A POSTROUTING -m mark --mark 0xb -j MASQUERADE <br><br>iptables -t mangle -I PREROUTING -d 192.168.172.0/24 -j ACCEPT<br>iptables -I FORWARD -i tun+ -j ACCEPT<br>iptables -I FORWARD -o tun+ -j ACCEPT<br><br>так же если на стороне vpn-сервера маршрутов к вашей локалке нет и вы не можете их там прописывать, то сделайте snat или MASQUERADE на tun-интерфейсе<br> https://slinkov.ru/openforum/vsluhforumID1/90587.html#7 Wed, 22 Dec 2010 07:36:19 GMT &gt; так как порядок следования правил имеет значения, нужно видеть что вы там <br>&gt; нагородили <br>&gt; iptables-save <br><br># Generated by iptables-save v1.3.8 on Wed Dec 22 13:34:40 2010<br>*mangle<br>:PREROUTING ACCEPT [170218709:100936197902]<br>:INPUT ACCEPT [1063848:113325365]<br>:FORWARD ACCEPT [169074864:100808426853]<br>:OUTPUT ACCEPT [608149:73634355]<br>:POSTROUTING ACCEPT [169678261:100881647506]<br>-A PREROUTING -s 192.168.0.0/255.255.255.0 -d ! 192.168.0.0/255.255.255.0 -j MARK --set-mark 0xa<br>-A PREROUTING -s 192.168.0.63 -d ! 192.168.0.0/255.255.255.0 -j MARK --set-mark 0xb<br>-A PREROUTING -s 192.168.0.57 -d ! 192.168.0.0/255.255.255.0 -j MARK --set-mark 0xb<br>-A PREROUTING -s 192.168.0.58 -d ! 192.168.0.0/255.255.255.0 -j MARK --set-mark 0xb<br>-A PREROUTING -s 192.168.0.59 -d ! 192.168.0.0/255.255.255.0 -j MARK --set-mark 0xb<br>-A PREROUTING -s 192.168.0.60 -d ! 192.168.0.0/255.255.255.0 -j MARK --set-mark 0xb<br>-A PREROUTING -s 192.168.0.61 -d ! 192.168.0.0/255.255.255.0 -j MARK --set-mark 0xb<br>-A PREROUTING -s 192.168.0.6 https://slinkov.ru/openforum/vsluhforumID1/90587.html#6 Wed, 22 Dec 2010 07:15:22 GMT &gt;&gt; правила. либо там где маркируете укажите , что не для 192.168.172.0/24, либо <br>&gt;&gt; перед правилами с маркировкой сделать разрешающее правило для подсети 192.168.172.0/24 <br>&gt; Ок, а не могли бы ва само правило написать например разрешающее для <br>&gt; 192.168.172.0/24 <br><br>http://www.opennet.ru/docs/RUS/iptables/<br><br>так как порядок следования правил имеет значения, нужно видеть что вы там нагородили<br><br>iptables-save<br> https://slinkov.ru/openforum/vsluhforumID1/90587.html#5 Wed, 22 Dec 2010 05:25:04 GMT Неужели никто не сталкивался?<br><br><br>